Hur står det till med GDPR införandet?

Hur står det till med GDPR införandet?

Olika angreppssätt för att hantera GDPR i verksamheten

I vårt arbete med att hjälpa några av våra kunder att försöka göra sig redo för att hantera den nya dataskydds-förordningen GDPR i sin verksamhet så kan vi konstatera att det finns olika sätt att ta sig an den uppgiften. Angreppssätten varierar – från att förankra frågan på ledningsnivå med en aktiv support och engagemang starta ett dedikerat projekt. Till att dela ut uppgiften på lägre nivå i organisationen och att arbetet får utvecklas efterhand underifrån, utan ett direkt samlat grepp och uttalat ledningsstöd.

Förankring hos ledningen

Vårt råd är att ta frågan på allvar från början, inse att den måste hanteras, ta ett helhetsgrepp och förankra den i ledningen direkt. Skapa ett projekt som skall löpa tvärfunktionellt genom hela verksamheten. Avsätt resurser i form av kompetens, personal, tid och pengar och med direktrapportering till ledningen för beslut och support. Frågan är såpass genomgripande att det krävs ett helhetstänk för att täcka in alla delar från början.

Förstå informationsbehovet

I grund och botten så handlar den nya dataskyddsförordningen GDPR om informationshantering samt ett förändrat förhållningssätt till framförallt sk personlig data. Alla verksamheter och organisationer måste börja hantera denna data meden större respekt och skydd för den enskilda individen jämfört med idag. Den nya lagstiftningen syftar till att ge ett ökat skydd för individens personliga information. Det skall finnas tydliga syften till varför man vill ha tillgång till viss information och en laglig grund för att få använda den. Den enskilde har också rätt till att neka användningen av information, rätta till den, få den utlämnad eller flyttad. Information är ju en tillgång som, väl hanterad, kan ge nya möjligheter och konkurrensfördelar.

Ordning och reda

Fören verksamhet gäller det alltså att skapa god ordning och reda kring sin egen interna information. Att veta vilken typ av information man har, i vilken form (digitalt, papper) och var den finns (IT-system, arkiv, register) samt hur man skall hantera den framåt och vilka krav det ställer. Även hur man skall skydda den mot obehöriga (säkerhet),vem som skall ha tillgång till den (access), vad man i framtiden får lov att spara samt hur länge? Lagstiftningen ställer krav och det gäller att tolka den utifrån sin egen verksamhet. Man måste göra vägval som man bedömer är på en riktig och avvägd nivå som vägleder verksamheten i utformningen mot att att bli sk compliance mot GDPR.

Man kan mycket väl behöva legalt stöd i tolkningen men besluten ligger hos verksamheten där avvägningarna måste göras och i detta fallet utan färdiga lösningar att benchmarka mot. Det kan handla om anpassningsnivåer, nya funktioner, ändrad organisation och processer, policies, guidelines, instruktioner och verktyg som måste förändras.

Förändringsresa

Det är en förändringsresa som måste göras i organisationen för att kunna skapa en önskvärd hantering i linje med lagkraven. Det innebär att man i praktiken måste göra vissa saker annorlunda i framtiden jämfört med idag (change journey). Den förändringen sker inte av sig själv, medarbetarna måste medverka. Viktigt är också att skapa ett nytt mindset kring synen på och hanteringen av information att bygga på. Det ligger ju i allas vårt intresse att informationen om oss hanteras på ett mer kontrollerat sätt och med högre säkerhet än idag.

Prioritera

Många verkar ha kommit igång sent med sina anpassningar och då kan det bli svårt att hinna med allt som krävs till i maj nästa år. Ta då de viktigaste delarna först och arbeta sedan på i den takt man mäktar med. Även viktigt att kunna visa vilka intentioner och planer man har för sin anpassning och kan påvisa att man stegvis tar sig mot målet i rimlig tid. Dessutom hoppas på att man slipper en revision eller anmälan från en individ som känner sig illa hanterad under tiden…

2018-01-15T15:11:27+00:00

Om författaren:

Mitt huvudfokus är förändringsarbete - grunden för strategi, teori, modeller och god praxis - att försöka skapa den önskade förändringen i kundens organisation i samarbete med ledning och medarbetare, att få det att hända. Besök Bengt's LinkedIn profil