Det har pratats om GDPR ett bra tag nu. Vissa organisationer och företag har nyligen påbörjat sina initiativ medan andra har kommit långt i anpassningsarbetet. Den 25:e maj 2018 är det dags. Då börjar GDPR att gälla och alla berörs. Detta blogginlägg gästas av Per Ditzinger från Olingo, som ger sin syn på vad GDPR innebär och vikten av att alla delar i ett företag eller organisation – ledning, IT, HR, verksamheten – förstår hur deras roll och arbetsuppgifter påverkas av den nya lagen. Under GDPR-dagen leder han workshopen GDPR – så påverkas din organisation och så bör du hantera det.

perditzinger

olingo

Det är sant att GDPR inte i så stor utsträckning skiljer sig från den idag gällande Personuppgiftslagen (PUL). Grunden att skydda den enskilda individens integritet kvarstår. Principer och bestämmelser är till stora delar samma även om de har förtydligats och anpassats till den tid vi idag lever i. Den stora skillnaden för den som hanterar andras personuppgifter är att det krävs kontroll och att man ska kunna påvisa efterlevnad av regelverket. Det räcker inte med att IT har en förteckning över vilka system som lagrar vilken data eller att ledningen bestämmer vad som är tillåtet internt. Ytterst är det medarbetarens dagliga hantering av personuppgifterna som kan vara den svaga länken och genom detta påverkas alla.

Organisationer behöver bygga medvetenhet hos personal och partners. Alla behöver förstå och bli påminda om vilket förhållningssätt som krävs för att undvika att personuppgifter läcker ut eller exponeras. Att se GDPR som ett datasäkerhetsarbete där det enbart krävs ett antal tekniska åtgärder för att möta lagkraven är att gena i kurvorna. Internt behöver medarbetarens beteenden kryddas med en ganska stor skopa riskmedvetenhet.

För att uppnå en tillräcklig grad av efterlevnad – inte bara inför 25:e maj utan även under tiden därefter – krävs kartläggning av de uppgifter organisationen behandlar. I det arbetet behöver man fråga sig om det finns personuppgifter som inte är nödvändiga att hantera. ”Bra att ha” är ”dåligt att ha” efter 25:e maj… och det gäller alla.

Det är svårt att föreställa sig att det finns verksamheter i Sverige som, till följd av GDPR, inte kommer behöva vidta några särskilda åtgärder. Många brottas med frågeställningar såsom ”hur kommer jag fram till vad som behöver göras?” och ”hur genomför vi förändringsarbetet hos oss?” Givetvis finns det inte ett svar. Olika verksamheter har olika förutsättningar och utgångsläge. Däremot finns mer eller mindre enkla vägar på framåt på resan.

Om det inte redan har initierats så kommer det, med största sannolikhet, krävas ett arbete för att omhänderta behovet av omställning. För många kommer det innebära behov av tekniska åtgärder, det är ofrånkomligt. Anvisningar behöver utvecklas och etableras. Avtal ska omförhandlas. Dokumentation har anledning att genomarbetas samt interna rutiner och arbetssätt förädlas. Glöm inte heller bort att kommunicera och utbilda personal. GDPR påverkar alla!

 


 

Den 22 november leder Per, tillsammans med sin kollega Regina Rasmanis, workshopen GDPR – så påverkas din verksamhet och så bör du hantera det. Det blir en heldag fylld med interaktion där deltagarna under workshopledarnas guidening tillsammans hittar lösningar och svar, utifrån givna frågeställningar och utmaningar. Läs mer om både konferensen och workshopen på GDPR-dagens hemsida.

Logga m bakgrund