2018-05-29 | Digital transformering

Äntligen är GDPR över, eller?

Lästid: 6 minuter

Är ni precis som jag, en av alla dessa personer som har arbetat mycket med GDPR-förberedelser?  Det har varit otroligt intensivt, och för mig påminner arbetet mycket om det arbete som vi ofta genomför i samband med ISO-revisioner hos oss eller några av de kunder som vi historiskt har hjälpt med ledningssystem och processorientering av sin verksamhet. Många har tagit hjälp av juridisk expertis, och drivit ambitiösa projekt. Men jag funderar över hur mycket erfarenheter som har delats och om arbetet verkligen är över nu?

 

GDPRs intåg påminner om milleniebuggen

Flera av er som jobbat inom IT-branschen ett tag känner igen hysterin ifrån Y2K. Alltså rädslan för den så kallade millenniebuggen som skrämde slag på många företag och organisationer inför skiftet från år 1999 till år 2000.

Många gamla system hade datumformat där endast två siffror urskiljde årtal (precis som i våra personnummer) - och när året skulle gå från 99 till 00 befarades systemkollaps. Flera av dessa domedagsprofetior trädde lyckligtvis aldrig i kraft, men det vara stora initiativ som genomfördes hos de olika IT och dataavdelningar som riskerade att beröras.

När det gällde Y2K var det dock inga regulatoriska myndighetskrav med tillhörande viten som skrämde slag på företagen, utan det var systemleverantörer, konsulter och experter som ville erbjuda sina tjänster. Y2K skiljer sig också på så sätt att hysterin la sig omedelbart efter år 2000 och när det snabbt upptäcktes att de flesta system faktiskt fungerade som tilltänkt.

Men hur blir det med GDPR?

GDPR är inte över i och med 25 maj

Många av oss har nog ställt in 25 maj som en deadline för sina interna GDPR-projekt. Det är då huset skall vara rent, rent ifrån personuppgifter, gamla policydokument, biträdesavtal och synder. På plats skall istället nya processer, avtal och informationsportaler upprättas - allt för att efterleva tolkningarna som General Data Protection Regulation lett till. Men till skillnad från Y2K tar det inte slut den 25 maj - det är nu det börjar.

Precis som med andra regulatoriska krav eller certifieringar så är detta något som vi måste förhålla oss till hela tiden, varje dag och dygnet runt. Det gäller att få in dessa nya rutiner permanent i verksamheten. Det kan handla om gallring av data, laglig grund för databehandling och legala avtal för biträdesavtal. 

Här gäller det att skapa tydliga processer, rutiner och hjälpmedel för att personalen ska göra rätt. Jag skulle vilja kalla det för en ledstång att hålla i handen. Som guidar personalen i dess utövande av rutiner som sällan sker varje dag.

Företag med processtänk ligger steget före

De företag och organisationer som redan infört ett processbaserat ledningssystem har det oftast lite lättare att hantera GDPR. Organisatoriskt har de redan börjat jobba processorienterat, och de har oftast ett systemstöd på plats för att underlätta arbetet som sker tvärfunktionellt. 

Detta kan vara värdefullt exempelvis vid en tillgångsförfrågan enligt GDPR - alltså en av de rättighetsrutiner som gör det möjligt för en individ att begära ut den information som finns lagrad om den enskilde (och i vissa fall begära detta att bli raderad).

I ett tänkbart scenario kommer följande steg behöva ske:

  • Individen fyller i ett formulär för att ansöka om tillgång/utdrag av de lagrade uppgifterna
  • Identitetskontroll med Bank-ID (endast behörig ska få tillgång till personuppgifterna)
  • Dataskyddsombud eller liknande roll får i uppdrag att ta emot och bereda ärendet
  • Nu börjar en datainsamling hos respektive systemägare - det kan handla om CRM, HR-system, Marknadssystem, Ärendehanteringssystem, Emailverktyg, Pressrum, eLearning-portal etc.
  • Datat om individen samlas ihop i en akt likt en dossier - och baserat på de olika systemens hemvist kan ansvarig handläggare sitta hos marknadsavdelningen, kundtjänst, back-office eller hos HR för att nämna några.
  • Laglig grund för lagring behöver kontrolleras (Samtycke, Baserad på avtal, Legitimt intresse etc)
  • Överlämnande av personuppgifterna (på ett säkert sätt)

Som ni förstår är detta en process där många individer, avdelningar och system behöver involveras.  Personligen tror jag inte det räcker att endast dokumentera dessa steg, det krävs ett systemstöd för att få detta att flyta både smidigt och kvalitetssäkrat.

För er som vill se detta i praktiken har vi ett inspelat webinar där mina kollegor visar hur ett modernt systemstöd kan användas för att skapa "GPDPR-applikationer" som säkerställer en snabb och korrekt hantering med minimalt av manuella inslag. 

Kolla in GDPR-webinaret här eller via knappen nedan.

Anmäl dig