För företagen innebär de nya reglerna i många fall en mental omställning. 
Företagen har hittills betraktat insamlad data som sin egendom, och man har samlat data utan att riktigt veta eller kunna redogöra för vad datan ska användas till.
– Nu gäller det att inse att all insamlad data är till låns, det är konsumenten själv som äger sin data, säger han.
En nyhet är också att konsumenten ska ge sitt samtycke till att lämna ut sina uppgifter, men också att de ska vara informerade om vad de insamlade uppgifterna ska användas till.

Samtycke ska vara aktivt
Det duger inte längre att kunden ger ett passivt samtycke genom att kryssa i en ruta för att ange att man läst och förstått alla villkor.
– Enligt GDPR ska kunden ge sitt aktiva samtycke till hur datan används. Ändamålet med datainsamlingen ska anges tydligt, och dessutom ska man komma ihåg att ett samtycke inte gäller för evigt, säger Örjan Nordlund.

Skydda från start
Han framhåller att skydd för data måste byggas in i systemen från start. Processer som skyddar lösningar och data måste finnas på plats. Det gäller också att skapa transparens så att man kan rapportera till både myndigheter och privatpersoner vilka personuppgifter som finns i systemen och hur de hanteras.
Det ska också vara enkelt att på begäran ta fram och radera samtliga uppgifter om en person.

Finns ingen mall
Med detta sagt framhåller han att det inte finns en entydig mall som alla kan tillämpa. Kvalificerad hjälp behövs.
­– Exakt vilka åtgärder som varje företag ska vidta beror på hur deras it-struktur ser ut, på vilket sätt de håller kontakt med kunder och mycket annat. Den analysen kan få företag göra själva, så de flesta behöver ta hjälp med detta säger han och framhåller att lagstiftningen bygger på ett antal principer som varje företag måste tolka för att kunna bedöma vilka åtaganden man har.En grundregel är dock att man bör minimera den mängd data som samlas in och lagras om kunden:
­ –Var ytterligt restriktiv med vad om samlas in och tänk noga igenom ändamålet, råder Örjan Nordlund.

Ansvaret ligger hos beställaren
Han förklarar också att en handlare inte kan överlåta ansvaret för sin GDPR-anpassning till tredjepartsleverantörer av exempelvis marknadsföringstjänster, transporter, kundklubb eller andra tjänster.
– Man kan inte att slå sig till ro med beskedet att tredjepartsleverantören är GDPR-anpassad. Ansvaret vilar alltid på den som beställt tjänsten.
När det gäller marknadsföring kommer företagen få tänka om, menar han. Så kallad profiling, att företag kartlägger konsumenter via sociala medier och riktar marknadsföring direkt personer som lagt ut bilder på Facebook har funnits länge. Enligt Örjan Nordlund kan det bli svårare att använda den typen av tjänster eftersom det ställs högre krav på att varje åtgärd ska ha det som kallas laglig grund eller aktivt samtycke.

Profilen är guld
En laglig grund är att man behöver personuppgifter för att kunna skicka faktura eller påminna om service. Andra åtgärder, exempelvis att man använder intresseprofil och köpmönster kommer att kräva aktivt samtycke.
Men det blir inte stopp för riktad marknadsföring. När konsumenten själv äger sin data kan hen också medvetet  låna ut den till marknadsföraren mot relevanta riktade erbjudanden. Den typen av tjänster blir allt vanligare.
Privatpersoners profiler är guld, inte bara för marknadsförare, utan också för kriminella som får stora möjligheter till sofistikerade bedrägerier. Därför är det viktigt att profilerna skyddas och endast kan användas av pålitliga partners och inte sprids. GDPR är till för att skydda privatpersonen i den digitala världen – det handlar i grunden om sunt förnuft, anser Örjan Nordlund.

Artikeln är en del av vårt tema om Koll på GDPR.