Myt 1. GDPR är som år 2000

En del företag hanterar GDPR på samma maniska sätt som man modifierade IT-lösningar inför milleniumskiftet, med andra ord som ett enda projekt med ett fast slutdatum. Men GDPR är inte den typen av förändring som kan genomföras en gång för alla, för att allt sedan skall vara klart. GDPR implementeringen är ett löpande arbete utan slutdatum och det vore mycket dumt att dra slutsatsen att allt prat om krav på förändringar på grund av GDPR är överdrivet bara för att detta blivit eftermälet till millenniebuggen.

Myt 2. Ingen kommer att bli bötfälld

Somliga hävdar att risken för att råka ut för stora böter på grund av GDPR är överdriven. Men det är tvärtom mycket troligt att myndigheterna noggrant kommer att tillse att GDPR efterlevs. Detta gäller i synnerhet välkända företag. Det måste därför anses väldigt våghalsigt att chansa på att inga böter kommer att delas ut.

Myt 3. Alla kommer att få böta fyra procent

Det där är en sanning med viss flexibilitet. Många faktorer påverkar bötesbeloppet, till exempel vilka typer av data det handlar om och om ett företag har slarvat tidigare. Det finns två nivåer, två och fyra procent av föregående års omsättning. Vad det gäller fyraprocentsnivån kan företag med upp till 500 miljoner euro få upp till 20 miljoner euro i ”böter”, alltså mer än fyra procent av omsättningen. Formuleringen i lagen anger fyra procent eller 20 miljoner euro, det som är högst. För tvåprocentsnivån gäller samma sak för gränsen tio miljoner euro. Dock är det oklart hur de här formuleringarna kommer att tillämpas, att ett företag med en omsättning på fem miljoner euro ska böta 20 miljoner euro, även om det skulle gå enligt lagen, är ju orimligt.

Myt 4. Det är lugnt så länge inget intrång skett

Räkna inte med att slippa bötar bara för att inget intrång skett eller inga data kommit på vift när man har slarvat med att uppfylla GDPR. Böter kan, och kommer troligtvis, att delas ut ändå.

Myt 5. Det blir bara böter på två procent om intrång skett

Företag som har olika roller i hantering av data kan råka ut för olika bötesstorlekar om det skett intrång eller data läckt. Men även om ett företag som ”bara” hanterat data, alltså inte bestämt syftet med hanteringen, får ett lägre bötesbelopp så kan det fortfarande råka ut för stämningar.

Myt 6. Alla intrång måste rapporteras inom 72 timmar

Faktum är att bara intrång eller dataläckage (breaches) som gäller persondata behöver rapporteras. Och kraven på rapporteringen varierar beroende på vilken roll ett drabbat företag har haft i hanteringen av data.

Myt 7. Det är bäst att inte rapportera intrång

På vissa håll resonerar man att det är bäst att dölja intrång och dataläckage och därigenom komma undan böter. Men det är en riskabel strategi och dessutom kan man bli bötfälld för att inte ha rapporterat.

Myt 8. Man måste kryptera allt

GDPR kräver att man upprätthåller en viss nivå av säkerhet som är avhängig sannolikheten för problem och hur allvarliga följderna av dem kan bli. Det inbegriper alla aspekter av hanteringen av data, till exempel lagring och dataöverföring. Vilka insatser som krävs beror alltså på vilka risker som finns, samt på vilka tekniska lösningar som finns och vad de kostar. På ren svenska: Det beror på.

Myt 9. Man kan outsourca GDPR-ansvaret

Visst kan man lägga ut hantering som faller under GDPR, men det gäller att skriva avtal som täcker in risker. Det gäller även utförare som i sin tur lägger ut jobb på egna underleverantörer. Det gäller även ansvar, även om det kanske inte går att försäkra sig eller friskriva sig mot böter för vissa förseelser.