Det har snart gått två år sedan den nya dataskyddsförordningen (GDPR) trädde i kraft den 25 maj 2018, sorlet har lagt sig och artiklarna har försvunnit ur nyhetsflödet. Då rustade organisationer, företag och privatpersoner för fullt och GDPR stod högt på allas agendor. Nu har bruset av GDPR-röster tystnat och frågan är hur väl organisationer egentligen hanterat omställningen? Hur rustad är du?
Hög kännedom
Datainspektionens nationella integritetsrapport 2019 visar att åtta av tio medborgare känner till dataskyddsförordningen (GDPR). Myndighetens rapport är ett steg i arbetet med att bevaka utvecklingen kring frågor om dataskydd och integritet och den första nationella integritetsrapport som myndigheten publicerat.
Från Datainspektionens nationella integritetsrapport framgår också att tre av fyra privata och offentliga verksamheter anser att införandet av GDPR har gått bra. Dock uppger bara hälften av de tillfrågade att de kontinuerligt arbetar systematiskt med dataskydd och integritetsfrågor.
Ett förbättringsarbete - inte en kostnadspost
Ett viktigt första steg i arbetet mot att möta GDPRs krav är att se arbetet som ett förbättringsarbete och inte som en kostnadspost. En stor del av en organisations arbete kring dataskydd handlar om att rensa, kartlägga och klargöra processer, arbetssätt och access till personuppgifter. Ett sådant arbete skapar ordning, struktur och smidighet i organisationen. Vidare vårdar man samtidigt relationer med kunder, samarbetspartner och anställda. Således kan arbetet rentav medföra nya affärsmöjligheter, förkorta organisationen reaktionsförmåga och effektivisera processer.
För de organisationer som redan fått GDPR-processerna på plats kvarstår nu att underhålla och förvalta arbetet man redan lagt ned. GDPR måste vara ett naturligt inslag i verksamheten och inte ses som en administrativ börda eller stödfunktion. Detta kan kortfattat handla om att bearbeta, följa upp och utveckla följande områden:
- Återkommande utbildningar för samtliga anställda
- - Den mänskliga faktorn som felande länk går inte att blunda för och att bygga in personberoenden i GDPR-processen bör undvikas
- Löpande se till att personuppgifter som inte längre behövs raderas
- - Lagring och gallring på ett korrekt sätt är både ett lagkrav och kan innebära stora kostnadsbesparingar
- Nya typer av personuppgiftsbehandlingar skall följas upp kontinuerligt
- - Alla personuppgiftsbehandlingar behöver granskas kontinuerligt för att att säkerställa att lagkraven efterlevs.
När rösterna tystnat
När sorlet lagt sig kring GDPR, artiklarna försvunnit ur nyhetsflödet och informationsbreven flyttats till skräpposten är det lätt att tro att faran är över, att riskerna minimerats och att arbetet kan fortsatta som vanligt. Denna falska trygghet tycks vara ett högst mänskligt fenomen och det är inte konstigt att man fokuserar på kärnverksamheten så snart de värsta bränderna slocknat. Men detta är också faran. Att tro att man undkommer GDPRs regelverk bara för att man till exempel fått en informationssäkerhetspolicy på plats och en handbok för persondataincidenter publicerad på intranätet är just en falsk trygghet.
Förvisso visar Datainspektionens rapport att de flesta privata och offentliga verksamheter har kommit en bra bit på vägen när det kommer till implementering av GDPR. Organisationer och företag inom bank- och finans samt IT- och telekombranschen har kommit betydligt längre än andra branscher vad gäller integritet, informationssäkerhet och dataskydd. Bank- och finansbranschen är enligt rapporten också den bransch där flest personuppgiftsincidenter anmälts. Detta tyder på att de har kommit långt i arbetet med att etablera rutiner och riktlinjer för just incidentrapportering, integritet och säkerhet. Hotell- och restaurangbranschen samt kommuner och regionala verksamheter verkar enligt Datainspektionens rapport vara de branscher där man har haft störst svårigheter med att implementera rutiner och processer kring lagstiftningen.
Nästa steg
I takt med ett allt mer digitaliserat landskap blir frågor kring integritet, dataskydd, risk och informationsspridning allt mer aktuella. Trots avancerad teknisk säkerhet tycks många risker fortsatt bestå, varför utbildning, vägledning och tydliga instruktioner bör lyftas ännu mer. Detta, i kombination med Datainspektionens tillsyn och en allt mer praktiserad lagstiftning, understryker hur viktigt det är för organisationer och företag att ha gedigna GDPR-processer och instruktioner på plats – även när sorlet lagt sig.
Centigo arbetar kontinuerligt med att stötta organisationer i genomförandet av nödvändiga GDPR-anpassningar. Detta ofta genom att ta fram kundanpassade instruktioner, tillvägagångssätt, ramverk och processer för hantering av personuppgifter enligt GDPR. På så vis möjliggörs såväl kostnadsbesparingar som organisationseffektivisering. Vi gör också genomlysningar av processer och tidigare genomförda åtgärder för att identifiera gap i efterlevnaden av GDPR, i en så kallad GDPR Post Implementation Review. Syftet är att skapa insikt i vilket arbete som återstår, lyfta vidare affärsmöjligheter samt att presentera en plan för att prioritera och genomföra ytterligare justeringar och förbättringar. Vill ni veta mer om hur vi skulle kunna hjälpa er att skapa ytterligare värden och organisationsförbättringar genom GDPR?
Tveka inte att höra av er till oss!
Caroline Söderberg och Christina Vult von Steyern
Ellen Bergh
ellen.bergh@centigo.se
Cecilia Landsberger
cecilia.landsberger@centigo.se
Caroline Söderberg
caroline.soderberg@centigo.se