Åke Dahlqvist

Expert analys och compliance

Åke började arbeta på UC för drygt 20 år sedan. Han har under åren arbetat som affärsområdeschef för flera av UCs affärsområden och har där skaffat sig en gedigen kunskap om betydelsen av att tillhandahålla information på ett sätt som är till nytta för samhällsutvecklingen. Åke är vår expert inom analys, GDPR och compliance och bloggar här om dessa ämnen.

Det kan bli dyrt att ignorera GDPR

Även om många av oss har haft semester så fortsätter GDPR att leva sitt eget liv. Den 24 juli publicerade EU kommissionen en rapport* som ska ligga till grund för den utvärdering av GDPR som kommissionen kommer att genomföra under 2020. Rapporten kommenterar utvecklingen fram till idag, men det är speciellt en punkt jag tänkte reflektera lite kring, då den har en koppling även till Sverige och vår datainspektion. Kommissionen uttrycker ett tydligt önskemål kring behovet av ett fördjupat samarbete mellan tillsynsmyndigheterna inom EU. Samtidigt meddelar den svenska Datainspektionen den 11 juli att man kommer att ta över ordförandeklubban för den arbetsgrupp inom EDPB som ska ta fram riktlinjer för att harmonisera sanktionsavgifterna för de som bryter mot förordningen. Arbetsgruppen består av representanter från Sverige, Holland och England. När man tittar på vad man gjort i dessa länder hittills kan man inte låt bli att notera att den Brittiska Dataskyddsmyndigheten har aviserat att man avser utfärda vite mot British Airways på £123 miljoner (1,5 % av deras årliga globala omsättning), och mot Marriott International på £99 miljoner vilket, sannolikt är de hittills största beloppen som förekommit. I Holland pågår utredningar kring hantering av personuppgifter inom sjukvården och i Sverige vet vi att inspektionen bland annat tittar på 1177 Vårdguiden, Polisen samt Utbildningsnämnden och hur de har hanterat personuppgifter, men några större vitesbelopp har vi ännu inte sett. Jag tror att det är mycket viktigt att inse att det kan bli kostsamt att ignorera detta. Det viktiga är givetvis att ständigt ha GDPR på agendan men när det gäller viten så är det sannolikt så att vi måste räkna med att i allt större utsträckning närma oss en europeisk nivå även i Sverige. /Åke * "Data Protection rules as trust-enabler in the EU and beyond – taking stock”Länk till rapporten här

Trovärdighet och transparens i fokus

Jag är precis hemkommen från en intressant konferens i Aten där ett 40-tal kreditupplysningsföretag deltog, främst från Europa men även bolag från Asien till Karibien. På konferensen deltog även representanter från EU Kommissionen, Konsumentintressenter, Riksbanker och tillsynsmyndigheter. Efter två dagars konferens blir det tydligt att vi alla står inför en rad spännande utmaningar och alla måste förhålla sig till utvecklingen vi ser kring informationshantering. Begrepp som Big Data, Artificiell Intelligens, Machine Learning och en rad andra delvis nya tekniker diskuterades. Detta i kombination med ny lagstiftning ställer med all rätt stora krav på alla som är en del av den processen. Två ord återkom ständigt under dessa två dagar oavsett vem som talade och det var ”Trust” och ”Transparency”. Jag tror att det är viktigt att alltid sätta dessa ord hög upp på listan. Vi som kreditupplysningsföretag har en mycket viktig samhällsroll att fylla, och samtidigt är vi beroende av samhällets förtroende för att få hantera information om individer och företag. Då är öppenhet och förtroende grundläggande. Något som var påtagligt var att detta återkom oavsett om talaren representerade bolag i Asien, Europa eller någon annan världsdel vilket inte alltid är så vanligt när det gäller denna typ av frågeställningar. Nu är det ibland lättare sagt än gjort att göra allt begripligt för alla, och med nya tekniker blir det ibland ännu mer utmanande. Men det måste vara en ständig process att förbättra information och beskrivningar kring vad vi som kreditupplysningsföretag och informationshanterare gör i första hand till de vars information vi registrerar, men även i förhållande till andra intressenter som myndigheter, politiker med flera. /Åke

En internationell utblick på kreditbranschen

Vår bransch har under flera år haft stort fokus på införandet av den nya dataskyddsförordningen GDPR. Det är givetvis både riktigt och viktigt med tanke på den stora mängd information vi hanterar. Nu har det snart gått ett år sedan GDPR började gälla så vad händer, är vi klara? En risk som finns med en lagstiftning som GDPR är att den har begränsande effekt på områden som den inte var avsedd att påverka. Sverige och hela EU behöver en proaktiv utveckling av produkter och tjänster där man använder information som ett verktyg för att skapa framtidens lösningar. Vi behöver bland annat skapa tillväxt, nya arbetstillfällen, hjälpa våra företag att våga göra affärer och ge medborgare insikt i sina egna möjligheter. För att vi ska lyckas måste vi vara konkurrenskraftiga och kunna använda ny teknik och information på ett ansvarsfullt sätt. En risk idag är att man fokuserar mer på att inte göra fel än att göra rätt. De nyheter som når oss från vår omvärld idag handlar om viten och bestraffningar. I exempelvis Cypern, Spanien, Polen, Norge och Danmark har nyligen relativt stora viten dömts ut för brott mot GDPR. Vi vet att det pågår ärenden även i Sverige som kan komma att resultera i viten framöver. Med ovanstående i beaktande är det glädjande att höra om ett initiativ från den Engelska Dataskyddsmyndigheten (ICO) där man tillsammans med representanter från offentliga och privata sektorn har startat ett projekt för att skapa förutsättningar för s.k. ”Regulatory Sandboxes” där syftet är att inom GDPR’s ramar skapa förutsättningar för framtida utveckling. När det gäller vår nordiska omvärld så finns det idag ett samarbete mellan våra nordiska tillsynsmyndigheter där man under det närmsta året kommer att titta på frågor som maskininlärning, automatiserade beslut, ansiktsigenkänning, profilering och blockkedjor. Ett företag som UC och vårt moderbolag Asiakastieto Group utvecklar ständigt produkter och tjänster där nya tekniker är viktiga pusselbitar. Detta gör att vi hela tiden måste hålla oss uppdaterade kring vad som händer i vår omvärld och det blir ännu viktigare framöver då det är först nu vi börjar få en inblick i vad GDPR i praktiken kan komma att innebära. Vill du prata mer om detta hör gärna av dig! /Åke

Tack för 2018

Helt plötsligt så står vi mitt i december och 2018 är på väg att stänga dörren vilket känns för tidigt då det alltid är lite till man vill få gjort. Vi på UC har fått uppleva mycket under året som gått, vi har slutfört vårt GDPR program där över 100 medarbetare och en rad partners varit delaktiga. UC har dessutom blivit en del av det, på Helsingforsbörsen noterade, Asiakastieto Group. Vi har nu förmånen att få vara med och skapa ännu attraktivare erbjudanden framöver, inte minst med nordisk profil, vilket känns fantastiskt rolig. Att utveckla nya lösningar för framtiden är otroligt viktigt, samtidigt som vi vill behålla vårt fokus på kundnyttan i närtid. Vi är mycket tacksamma för det förtroende våra kunder visat för oss på UC under 2018. UC kommer att fortsätta arbetet med att ligga i framkant när det gäller produkter och tjänster, samtidigt som jag är övertygad om att informationshantering och förädling kommer att förändras framöver. Vi kommer att få se en fortsättning på trenden att individer och företag i framtiden kommer att ta ägande för sin egen information i en allt större utsträckning vilket förstärkts även som en konsekvens av arbetet med GDPR. Detta i kombination med ny teknik där olika nya AI lösningar kommer att bli allt vanligare leder till en mycket spännande mix av möjligheter för oss på UC att ta tag i. Att alla som fattar affärs- och kreditbeslut fortsatt har stort behov av korrekt, relevant och uppdaterad information är uppenbart. Men jag tror även att individer och företag, vars information vi behandlar, kommer att inse betydelsen av strategisk informationshantering i framtiden, vilket kommer att leda till många nya intressanta möjligheter de närmsta åren. Jag skulle kunna ägna tid åt att även delge er mina tankar kring information i sociala medier, andra nya informationskällor, hur informationen kommer används framöver eller hur GDPR kommer att tolkas nu när lagen trätt i kraft, men något intressant behöver vi ju spara för att kunna blogga om det under 2019. Jag vill avsluta med att tacka alla våra värdefulla kunder, medarbetare och partners för ett fantastiskt 2018 och önska er alla ett gott slut på detta år. Vi på UC ser fram emot att fortsätta resan in i framtiden tillsammans med er när klockorna ringt in 2019. Åke

GDPR och millenniebuggen – blev det som vi trodde?

GDPR har nu gällt i snart tre månader och många kanske undrar vad som hände. Blev det som vid millennieskiftet där det investerades enorma summor i nya IT-lösningar? Nu, liksom då, undrade alla om det var värt det och har vi faktiskt uppnått något? Den 25 maj var UC var redo när förordningen trädde i kraft men givetvis har vi, som alla andra, att fråga oss om vi gick i mål den dagen eller helt enkelt hade tränat och förberett så bra att vi var redo att ställa oss på startlinjen. Det är nu resan börjar och alla vi som följer förordningen kommer att succesivt få klarhet i om vi tolkat lagen rätt, om våra informationstexter är begripliga och om vi lyckats utbilda våra medarbetare tillräckligt bra. Helt enkelt om vi har lyckats få de grundläggande principerna i förordningen att genomsyra våra verksamheter och våra personuppgiftsbehandlingar. Vi på UC har bedrivit tillståndsplikt verksamhet sedan 1970-talet, integritet har alltså varit en naturlig del av vårt DNA under många år. Samtidigt är jag övertygad om att det arbete vi, och alla andra som behandlar personuppgifter, har bedrivit inför ikraftträdandet av förordningen har resulterat i att den personliga integriteten har stärks vilket är till gagn för oss alla. GDPR och incidentrapportering Det kommer att vara många frågor och utmaningar att hantera framöver kopplat till detta arbete och en fråga avser risker förknippade med rapporteringen av incidenter till Datainspektionen. För att inspektionen ska kunna göra ett så bra arbete som möjligt är det viktigt att man får tillgång till så relevant information som möjligt i samband med personuppgiftsincidenter. Samtidigt kan en incidentrapport innehålla känslig information och det finns ett behov att kunna sekretessbelägga delar för att förhindra att informationen som lämnas exempelvis kan används av ljusskygga krafter i helt andra syften än att stärka integriteten. Värt att notera är att Kammarrätten den 2 augusti (Mål nr 5200-218) mellan Dagens Industri och Datainspektionen konstaterat att inspektionen i det aktuella ärendet inte hade rätt att sekretessbelägga information i incidentrapporten men samtidigt ska det noteras att det fortsatt finns möjlighet för Datainspektionen att sekretessbelägga delar av incidentrapporter om det kan antas leda till skada. Så var dessa gränser går blir en av många viktiga frågorna att följa framöver. En sak är säker, vi har intressanta år framför oss för att se hur GDPR utvecklas och hur vi företag, myndigheter och andra aktörer ansvarsfullt kan skydda medborgares integritet. Åke Dahlqvist