​Livet efter 25:e maj

Just nu går anpassningsprojekt mot GDPR på högvarv, men hur ser ert anpassningsarbete efter den 25:e maj ut?

Såhär precis innan den 25: e är det många anpassningsprojekt mot GDPR som går på högvarv. Kanske kommer du just nu ifrån ytterligare ett avstämningsmöte där ni kunnat konstatera att systemleverantören inte kommer hinna ut med den nya versionen innan maj. Eller så kanske du just haft en lång diskussion om vems biträdesavtal som ska användas – ert eller motpartens. Kanske skrivs det just nu flitigt på allt ifrån styrande dokument till processbeskrivningar och mallar för exempelvis incidentrapporteringar i ert projekt, och ni är mitt i rekryteringsprocessen för ett Dataskyddsombud. Oavsett var ni befinner er i ert arbete kan det kännas både som att maj är oändligt långt bort – men samtidigt skrämmande nära, med hösten som ett okänt dis i fjärran.

Utmaningen för de flesta organisationer nu är just hösten. Ja, egentligen all tid ifrån maj och framåt. GDPR 2019 – hur ser det ut? Vad jobbar ni med då? 2020? Här behöver många organisationer redan nu lyfta blicken och titta framåt (trots alla möten om biträdesavtalen och annat). Konkreta frågor att fundera kring är till exempel:

Vad är det långsiktiga målet med ert privacy-arbete? ”Vi vill bara slippa böter” är en nog så vanlig kommentar på den här frågan, och det är förstås ett utgångsläge som något annat, men hur säkerställer ni då att ni fortsatt undviker böter de kommande åren? Vem i organisationen håller koll på kompletterande lagstiftning, avgörande domar och olika standarder som sannolikt kommer att dyka upp i rask takt de kommande åren? Och hur enkelt är det för er att ställa om hur ni satt upp ert arbete enligt ert ambitiösa projekt, om det skulle komma nya direktiv längre fram? Vissa organisationer ser GDPR som en konkurrensfördel – de bör fråga sig hur man avser upprätthålla fördelen. Hur säkerställer ni att ni fortsatt är bäst i klassen?

Vem ska driva det dagliga arbetet i organisationen? De flesta har nog insett att GDPR-anpassningen inte är ett engångsjobb, utan någonstans i allt det dagliga ska koncept som ”Privacy by Design” och ”lämpligt skydd för uppgifterna” hanteras i praktiken. Varje organisation måste kunna visa på hur de har gjort det. Tänker ni att GDPR är någon som ert Dataskyddsombud kommer att lösa? Tänk om! Arbetet med förvaltningen är så mycket bredare än så. Vilket ansvar har en inköpare i er organisation för att säkerställa att det nya dyra affärssystemet också kan gallra personuppgifter enligt era nya rutiner? Vad förväntas en anställd veta om vad man får maila för personuppgifter och inte? Hur vet utvecklaren vilken krypteringslösning som är tillräckligt säker när er nya webbtjänst ska utvecklas? Underskatta inte arbetet med att definiera vem och vad som förväntas ta ansvar för de olika delarna i den dagliga verksamheten!

Hur ska ledningen vara medveten om och fatta beslut om organisationens riskexponering? För de organisationer som har tänkt att utse ett Dataskyddsombud blir ombudet en naturlig kanal för ledningen när det kommer till att förstå organisationens arbete och mognadsgrad. För andra organisationer är det kanske inte alls lika tydligt vem som ska tillhandahålla, eller när och hur ledningen ska få information om verksamhetens riskexponering i förhållande till GDPR. Ett konkret exempel kan vara om 3-4 år, när ett internt utvärderingsarbete visar på att effektiviteten av de säkerhetsåtgärder ni implementerade under projektets gång kanske inte var tillräckliga, men att höja säkerheten skulle innebära väldigt stora kostnader. Ett sådant beslut är ett ledningsgruppsbeslut, givet riskexponeringen kontra kostnaden för att åtgärda problemet. Hur hamnar detta på agendan? 

Författare: Sofia Arveteg