Carsten Jörgensen, affärsområdesansvarig på Ricoh, möter ofta den reaktionen. Han träffar regelbundet organisationer som inte har kommit så långt som de borde i sitt arbete för att möta kraven i EU:s dataskyddsförordning GDPR.

Han hävdar att många faktiskt inte kommer att hinna möta kraven som börjar gälla redan den 25 maj 2018.
– Det rör sig om företag inom en rad olika branscher och även inom offentlig sektor. Det finns inget tydligt mönster utan det handlar om många olika typer av organisationer.

Särskilt ett område är lätt att glömma bort. Det handlar om utskrifter, skanning och kopiering. Alla uppgifter som går att koppla till en individ måste kunna spåras och hanteras, enligt den nya förordningen. Många företag använder visserligen utskriftslösningar som innebär att användaren loggar in på skrivaren eller MFP-enheten (multifunktionsskrivare) med ett personligt kort eller en kod, och kan på det sättet visa vem som har gjort en utskrift vid en viss tidpunkt.
– Men de kan inte tala om vad som har skrivits ut, påpekar Carsten.

Och det är något som kommer att krävas från och med den 25 maj.

Läs mer om hur du kan dela information på ett säkert sätt. 

Många vet inte heller vilken information som ligger kvar i skrivarnas eller skannrarnas minnen och hårddiskar efter utskrifter eller inskanningar, vilket även det skulle innebära en överträdelse av förordningen.

Men det finns system som löser båda de här knutarna. Det rör sig om funktioner som faktiskt funnits en tid men som ingen riktigt efterfrågat. I det ena fallet är det en mjukvara som tolkar all text i de dokument som ska skrivas ut eller skannas – i det senare fallet med hjälp av OCR-teknik. Om dokumentet innehåller en eller flera uppgifter som går att koppla till individer kontrollerar systemet om den aktuella användaren har behörighet att skriva ut den typen av uppgifter. I ett senare steg lagras också en kopia av utskriften eller det skannade materialet, tillsammans med logguppgifter om vem som skrev ut det och när.

– Först då kan man uppfylla kravet i dataskyddsförordningen som säger att du behöver kunna spåra all personlig information, visa vem som har hanterat den och på vilket sätt, förklarar Carsten.

Utöver loggen som visar vem som har skrivit ut vad behöver skrivarna och skannrarna också löpande rensas från dokument.

– Om du råkar ut för en revision och det visar sig att det ligger ett dokument med exempelvis personnummer på en disk i skrivaren på lagret, kan företaget beläggas med vite. Maximalt rör det sig om fyra procent av den totala omsättningen, men i praktiken kommer nivån rimligen att variera beroende på hur allvarlig överträdelsen är.

I många MFP-enheter finns en funktion som automatiskt skriver över all data på hårddisken när ett dokument är utskrivet eller skannat. Men eftersom den här åtgärden tar lite extra tid brukar funktionen inte vara aktiverad, berättar Carsten.

Så hur ska företag agera som känner att de kanske inte kommer att hinna möta GDPR-kraven i tid? Carsten förklarar att det är klokt att agera snabbt men strukturerat. Börja med att utse en projektledare om det inte redan är gjort. Därefter gäller det att hitta de områden där man är som mest sårbar, och börja med dem, råder han.
– Print brukar vara ett av dem.

Läs mer om hur du kan skriva ut och dela information säkert.