Några praktiska tips kring ert GDPR arbete

Vi delar med oss av lite praktiska och handfasta tips kring den nya Dataskyddslagen (GDPR). Vi programleder sedan en tid ett par tunga GDPR program, såsom hos Resurs Bank och Upplysningscentralen UC.

Vi är medvetna om att det många gånger är svårt för var och en att veta hur man skall förhålla sig till den nya lagen och vad det kommer att krävas av den egna organisationen. Det kan vara stort, det kan vara mindre.

Men oavsett vad: tänk att detta arbete i slutändan leder till ökad ordning och reda i era processer och informationshantering. I förlängningen innebär arbetet med GDPR att det kommer att gynna hela företaget – så att den kan effektiviseras ytterligare och att kanske nya möjligheter uppenbaras – nu när ni börjar vända på era stenar. 

Här är lite praktiska tips som ni kan och bör göra på egen hand. I sammanfattning är de:

  • Skapa ägarskap kring frågan
  • Definiera innebörd för den egna verksamheten
  • Skapa ett projekt/program
  • Utveckla egen kompetens kring GDPR och dess innebörd. Ha kunden/medarbetaren i centrum, dvs verksamheten.
  • Utgå från beröringspunkter med era kunder/medarbetare när ni kartlägger nuläge och utvecklar nya processer
  • Bestäm er vilka personuppgifter ni vill spara för framtiden och på vilka lagliga grunder ni vill det
  • Se över vilka förmågor ni har, behöver utveckla och/eller anlita för att driva detta arbete.
  • Stanna upp och reflektera löpande – kommunicera med alla berörda på ett strukturerat och kontinuerligt vis.

Lite mer utvecklat innebär detta följande:

  • Först behövs förståelse och förankring i organisationen – och då främst hos ledningen. Bjud gärna in en intern/extern aktör som kan utbilda ledning/styrelse om vad lagen innebär, konsekvenser och behov av aktiviteter. Denna del har många redan gjort under våren.
  • Vad den nya dataskyddslagen innebär i grunden är ökad integritet för fysiska personer (oftast era kunder och medarbetare) – och i förlängningen av detta ett ökat fokus på att utveckla och förstärka förtroende er emellan. Rådet kan vara att definiera tidigt för er själva vad integritet innebär för er organisation.
  • Vi förordar att ni skapar ett projekt/program kring GDPR, varför en budget bör definieras och avsättas för det kommande arbetet samt utse en styrgrupp då många beslut behöver tas på ett effektivt sätt under projektets/programmet gång. Det kan komma att bli ett omfattande arbete att bli så kallat GDPR-anpassad – men säkra att ni själva har kontroll över förloppet. Tänk på att detta skall ni leva med långt in i framtiden och om ni är över 250 anställda och/eller behandlar viss typ av känslig information är kravet att ni även skall ha en ansvarig utsedd på er organisation i dessa frågor.
  • Så undvik från start att göra fel saker och/eller att ni blir för beroende av externa intressenter såsom juridik och IT-expertis, genom att se över era egna kompetenser och förmågor. Se sista punkten nedan.
  • Personuppgifter färdas och dokumenteras i era IT system och den nya lagen leder till ett behov av att kartlägga var och hur ni idag behandlar personuppgifter – för att sedan kunna definiera hur ni ska och bör göra i framtiden. Det finns systemstöd för kartläggningen alternativt görs det genom manuella genomgångar system för system och process för process. Konsekvensen blir att processer och beröringspunkter med kunder kommer att ändras såväl som att avtal behöver skrivas om.
  • Information om personer ligger i regel på många händer och system och det gäller att bestämma sig var källan ligger eller skall ligga. Så utgå från beröringspunkter med kunden/medarbetaren och jobba er bakåt i processerna – när ni kartlägger era IT system och den informationshantering som sker där. Gör en första grov scanning själva innan ni eventuellt engagerar externa konsulter. Identifiera till detta leverantörer och vilka av dem som på olika sätt hanterar organisationens personuppgifter.
  • För att driva programmet och införa dess resultat i organisationen krävs olika typer av förmågor. Förmågor som ni kan behöva i detta arbete är:
    • Projekt/Programledning – förmåga att se till att flera olika delprojekt/aktiviteter kan samverka och att resurser styrs mot definierade målbilder
    • IT analys/scanning – förmåga att kartlägga nuläget bland IT system och processer och göra det begripligt för alla involverade
    • Processutveckling – förmåga att definiera nya processer och beröringspunkter med kunder/medarbetare – som kan utveckla affären
    • Kommunikation – förmåga att driva och utveckla kommunikationsplan och strategi – så att alla involverade kan gå i jämn takt
    • Juridisk expertis – förmåga att översätta lagkrav anpassat för den egna organisationen och affärsmodell
    • Beställarkompetens – förmåga att driva rätt resurstillsättning av programmet, sköta relationer med leverantörer och hålla koll på budgeten.
    • IT-säkerhet – en mycket känslig punkt är förlust/otillbörlig åtkomst av persondata – så kallad Data Breach. Här måste tidigt en förmåga och förståelse finnas kring vilken data som berörs och hur säkerställer ni att den är skyddad, samt hur kan ni så tidigt som möjligt upptäcka att skada är skedd.

Vi hoppas att dessa punkter kan vara till er hjälp. Har ni undringar eller frågor hur definierar/startar upp ert arbete kring GDPR så kontakta gärna: Mika Valtonen-André på telefon 0708670913 eller via mail mika@do-be.se