Farhågorna för GDPR visade sig överdrivna

När GDPR skulle införas befarades långt­gående konsekvenser, inte minst vid lärosätena. Men ett drygt halvår efter att förordningen trätt i kraft verkar farhågorna ha varit överdrivna. Det visar Universitetslärarens rundringning.

Kristina Ullgren, förvaltnings­jurist och dataskyddsombud vid Göteborgs universitet, understryker att varningarna för EU:s dataskyddsförordning GDPR (General Data Protection Regulation) var i allra högsta grad överdrivna.
– Konsultföretag som ville marknadsföra det här som århundradets stora grej har skrämt upp många och även våra medarbetare så det har blivit mycket större fokus på de här reglerna. Och det är ju väldigt bra att det har blivit en skärpning, säger hon.

Jesper Wokander, dataskyddsombud vid Malmö universitet, anser också att farhågorna var överdrivna.

Det fanns de som hävdade att man måste ta bort gamla uppsatser och forskningsartiklar eller rensa dem från personuppgifter. Behövs det?
– Nej, det finns ingen större risk för det, det finns ett undantag i GDPR för forskning och arkivändamål av allmänt intresse. Vi har som myndighet ett uppdrag att utbilda, forska och informera allmänheten. De artiklar vi har producerat och arkiverat bör finnas kvar, det är kunskap som samhället behöver, säger han.

Hur mycket betyder GDPR i ökad administration?
– Inte så mycket för den enskilde forskaren eller läraren, men det krävs helt enkelt tydliga rutiner och en bättre struktur för hur vi hanterar personuppgifter. Det som inte är tillåtet nu var i många fall inte det tidigare heller, men med skillnaden att konsekvenserna av att göra fel är större genom GDPR vilket kan leda till extra arbete för att rätta tidigare fel.

Det har också funnits farhågor att det centrala registret över alla personregister som finns på universitetet skulle vara en extra ingång för hackare?
– Det stämmer inte, det centrala registret är bara en förteckning över vilka behandlingar av personuppgifter som bedrivs och var de finns. Det innehåller inga uppgifter som finns i de olika registren.

Hur påverkar GDPR genomförandet av forskning som innefattar personuppgifter?
– Vi kan göra de undersökningar vi gjorde tidigare, men vi har en del nya formalia att förhålla oss till. Forskning som sedan tidigare har omfattats av lagen om etikprövning har fortsatt dessa krav att ta hänsyn till.

Sammanfattningsvis menar Jesper Wokander att man inom universitetens forskning kan göra samma saker som man gjorde tidigare, men att det är större kontroll med GDPR.
– På många sätt har GDPR varit väldigt bra för oss, eftersom vi har fått mer struktur på hur vi hanterar personuppgifter. Det är välkommet.

Personuppgifter finns på många ställen
Också Jacob Håkansson, dataskyddsombud vid Uppsala universitet, menar att farhågorna innan GDPR infördes var överdrivna. Men han betonar att mycket ännu återstår att reda ut. Dels har institutioner och andra enheter arbete kvar att göra. Dels är det många frågor som Datainspektionen behöver ta ställning till.
– För mer komplext juridiska frågor, till exempel vad som gäller rutiner för fotografier, tror jag vi alla väntar på ett avgörande från Datainspektionen.

Ett annat exempel är hur man ska hantera personer som begär registerutdrag över vilka uppgifter universitet har om dem.
– Personuppgifter kan finnas på många ställen, till exempel på ett Excelark med anmälda till en personalfest. Kanske är vi till och med skyldiga att redovisa en sådan uppgift om någon begär ett registerutdrag.

Också vid lagring av forskningsdata finns oklarheter.
– När det gäller forskningsdata så tror jag det är svårt att uppfylla alla regler som man kan läsa i förordningens alla artiklar. Man får räkna med att det kommer att utkristallisera sig en praxis för vad som är möjligt att genomföra i verkligheten.

Han menar att e-post är ett särskilt problem.
– På Uppsala universitet har vi för avsikt att skaffa ett systemstöd, en programvara, för att bland annat hjälpa den enskilde medarbetaren att städa bort personuppgifter i e-postkorgar. De uppgifter man har på sitt e-postkonto ska man ha laglig grund för att behålla, säger Jacob Håkansson.

Lärosäten vana vid offentlighet
Universitetsläraren har varit i kontakt med fler universitet som bekräftar bilden att införandet av GDPR har gått ganska smärtfritt men att en hel del arbete återstår.

Sista ordet går till Kristina Ullgren vid Göteborgs universitet:
– På lärosäten är vi vana att hantera personuppgifter och har ordentliga strukturer för det och vi har offentlighetsprincipen så vi är vana vid offentlighet. Så GDPR blev inget konstigt för oss.


Kategorier: Artiklar, Juridik
Lärosäten: Göteborgs universitet, Malmö universitet, Uppsala universitet