’Getting it right’ – Tre kriterier för framgångsrik implementation av regelverk hos större organisationer

Att implementera ett nytt regelverk, vare sig det är GDPR, ett AML-direktiv eller PSD2, innebär ofta stora utmaningar för alla organisationer. Svaret på ”vad?” är ofta betydligt lättare att ge än svaret på ”hur?”.

För mig som jurist, som den senaste tiden arbetat uteslutande med GDPR, landar det kontinuerligt en del knepiga frågor på mitt bord. Många av frågorna är relaterade till hur man ska tolka förordningens i många fall generellt hållna artiklar. Vad som alltjämt är uppenbart - oavsett regelverk - är att den största utmaningen till att efterleva regelverk ofta handlar om den faktiska implementationen av de råd man som jurist ger, vilket i sin tur är beroende av de förutsättningar en verksamhet har för att genomföra en implementering.

Av ett stort antal kriterier som bidrar till en framgångsrik implementation finns det tre stycken som jag vill framhålla som mer avgörande än andra:

1.Modern IT-arkitektur

”Vi har ett stordatorsystem från 80-talet som vi måste ta hänsyn till”, ”Det här systemet kommer ursprungligen från ett bolag vi förvärvade 2001 och vi har aldrig riktigt fått det att fungera med resten av vår IT-miljö”, och så vidare. Dagens regelverk kräver i mycket större utsträckning än tidigare att en organisation har koll på exakt vilken data man har och var man har den. Om din organisation använder ”quick fixes” och ”work-arounds” kring gamla IT-lösningar för att efterleva regelverk finns det sannolikt ett kvalificerat behov av att göra investeringar i din IT-miljö; de tekniska kraven kommer inte att bli mindre i framtiden. Identifiera problem när de uppstår och försök vara proaktiv i IT-strategin.

2.Roller och ansvar

En absolut väsentlig del av implementeringen, men också efterlevnad över tid, är att roller och ansvar är tydligt kartlagda i en organisation. Det betyder inte att man behöver jobba efter en filosofi om maskinbyråkrati á la Henry Ford, men ni har sannolikt behov av att försäkra er om att någon ansvarar för varje konkret åtgärd och att det finns översyn kring vilka roller som kan ha ett överlappande ansvar. Detta hjälper att förhindra två individer från att göra samma sak (kanske dessutom på olika sätt) samt minskar på motsatt vis sannolikheten för att två individer förlitar sig på att den andre tar nödvändiga åtgärder!

3.Relevant kunskap

Den kanske allra viktigaste variabeln i ekvationen är att ni har tillgång till individer med god kunskap om regelverket och personer med god kunskap om er verksamhet. En optimal implementering sker när specialisterna får all relevant input om hur verksamheten fungerar, och verksamheten får korrekta råd att följa i implementeringen.

Med ovanstående sagt handlar mycket också om transparens och rak kommunikation. Den inställning till förändring man från ledningens håll kommunicerar kommer att färga hela organisationens förhållningssätt och förmåga att följa gällande lagar och regler; i slutändan kan detta vara den avgörande skillnaden mellan dryga böter och ’getting it right’!

Skriven av Thomas Blomgren