Känns det här med GDPR jobbigt?

Publicerat av Cecilia den

Vad är GDPR?

Den 25:e maj 2018 träder den nya EU-harmoniserade personuppgiftslagen i kraft. På svenska heter den Dataskyddsförordningen men många kallar den ”GDPR” som är en förkortning av det engelska namnet General Data Protection Regulation. GDPR ersätter nuvarande Personuppgiftslagen (PUL).

GDPR skiljer sig inte så jättemycket från PUL förutom på en avgörande punkt; att bryta mot GDPR kan kosta väldigt mycket pengar! Nämligen upp till 4% av företagets globala årsomsättning om det visar sig att företaget mer eller mindre struntat i lagen. Detta har gjort att GDPR compliance blivit en lednings- och styrelsefråga till skillnad mot PUL compliance som oftast var något som ledningen tyckte att CRM-chefen borde ha koll på…

Som konsulter kan vi vittna om att det är lite sisådär med efterlevnaden av PUL i svenska bolag, stora som små. Trots att PUL ändå inte är helt tandlös straffmässigt – man kan faktiskt åka i fängelse i upp till två år – så har företag inte tagit den på allvar, vilket är ett av skälen till att det nu kommer en ny hårdare lag.

Ett annat skäl är att vi som individer lämnar så mycket fler digitala spår efter oss nuförtiden att risken för att blir kartlagd och i värsta fall kränkt på grund av dessa har ökat dramatiskt och att regleringen av området därför behöver stramas åt.

Det tredje skälet är EU-harmoniseringen vilket är välkommet givet att det blir mer och mer vanligt med Cloud-lösningar som har servrar placerade runt om i världen. Men så länge personuppgifterna ”fysiskt” är inom EU så gäller samma lag.

Så var ska man börja?

Vi rekommenderar våra kunder att ta tag i tre huvudsakliga delar:

  • Inställning och medvetenhet om den nya lagen
  • Vad kan vi göra inom linjen?
    • För att bli compliant
    • För att förbli compliant över tid
  • Vad måste vi göra i projekt?

Inställning och medvetenhet om den nya lagen

Att stoppa huvudet i sanden inför GDPR är inget vi rekommenderar. Se istället den nya lagen som en möjlighet till att bli kundorienterade.

Som vi nämnt ovan har många företag sett PUL som något nödvändigt ont och i valet mellan att lägga utvecklingspengar på att bli/vara compliant med PUL mot att lansera en ny produkt eller något annat viktigt utvecklingsprojekt har PUL-utvecklingen oftast fått stryka på foten i den hårda prioriteringen.

Att fortsätta stoppa huvudet i sanden gentemot GDPR kommer dock sannolikt att vara en mycket jobbig och riskfylld väg framåt. Så vår rekommendation är att helt enkelt vända på steken och istället se GDPR som en möjliggörare för:

  • att bli så kundorienterade som möjligt – Känner ni att ni inte kan se en kund i ögonen och berätta vad ni gör med hens data – Så gör det inte!
  • att få ordning och reda – Känner ni att ni inte kan se tillsynsmyndigheten i ögonen och visa hur ni arbetar med kunders, personals och andra samarbetspartners personuppgifter – Se då till att få ordning på dessa processer och dokumentation!

Det första steget är att utbilda styrelse och ledning för att sedan ta det vidare i hela organisationen. Mycket viktigt att ledningen talar om de förändringar som krävs på ett positivt sätt samt betonar att det inte enbart är en compliance-fråga utan också en möjlighet till bra kundupplevelse och intern effektivitet om detta görs på rätt sätt.

Vad kan vi göra inom linjen?

Många advokatfirmor har tagit på sig rollen att förklara vad GDPR reglerar och vad skillnaderna mot PUL är, men de har i många fall svårt att konkretisera vad det egentligen betyder. Det blir lätt lite för juridiskt. Det blir ännu svårare när företag inte har en bra efterlevnad av PUL i dagsläget, vilket många advokatfirmor utgår ifrån. Steget till att bli GDPR compliant blir tyvärr så mycket större då.

Det som behövs är konkreta exempel på Vad Produkt behöver göra? Vad Marknad behöver göra? Vad Kundservice behöver göra? Vad IT behöver göra? Och vem tar lead?

Vårt förslag är att Compliance/Legal primärt tar lead genom att utse en dedikerad ”Privacy compliance officer”. Drömprofilen för denna roll är en bred OCH djup förståelse för juridik, verksamhet och IT, och det behöver nödvändigtvis inte vara en jurist. Någon som är kunnig inom Enterprise architecture, Information management, analys och kvalitet kan fungera minst lika bra. Någon som tycker att tvärfunktionell styrning är viktigt och naturligt, och som kan kommunicera.

Huvudsakliga uppgiften för denna roll i starten är konkretisering, utbildning och kommunikation tvärs hela företaget för att fler ska börja förstå och känna ansvar för att personuppgifter hanteras på rätt sätt inom alla områden.

I större bolag bör det även på varje enhet/avdelning utses ”Privacy Coordinators” som har ett ansvar för att uppmärksamma brister i lagefterlevnaden samt driva förbättringarna som krävs. Dessa Privacy coordinators kan anses ha en streckad linje till Privacy Compliance officer.

För att företaget ska förbli compliant bör dessa roller permanentas. Sannolikt blir arbetsbördan betydligt större fram t o m 2018 då mycket av anpassningarna måste ske, men det är mycket viktigt att arbetet med att behandla personuppgifter korrekt fortsatt är ett prioriterat område även efter 2018. En fungerande Risk management-process som Privacy-riskerna kan hanteras inom som alla andra risker är en bra lösning tycker vi.

Vad måste vi göra i projekt?

Vår rekommendation är att genomlysa alla verksamhetsprocesser och IT-system och anpassa dessa till de nya reglerna. Då genomlysningarna i sig samt vissa anpassningar sannolikt kommer att vara betydande föreslår vi att dessa uppgifter görs i projektform.

Utgångspunkten i denna genomlysning bör utgå ifrån huvudkraven i lagen som är:

  • Det ska finnas ett tydligt syfte med att behandla personuppgifterna (lagligt)
  • Fler personuppgifter än nödvändigt för syftet får inte samlas in
  • Individen ska vara informerad om behandlingen och ha godkänt den (samtycke)
  • Individen ska ha rätt att dra tillbaka samtycket
  • När anledningen till behandlingen är slutförd eller att individen begär det ska personuppgiften gallras (gallring)
  • Individen ska enkelt kunna få tillgång till vilka personuppgifter som behandlas och varför (registerutdrag)
  • Om det finns konflikterande lagstiftning för behandling för vissa syften, t ex av brottsbekämpande karaktär, ska dessa processer och IT-system särskiljas från övrig verksamhet i så hög utsträckning som möjligt.

Viktigt att förstå huvudkraven i lagen utan att krångla till det.

Om det inte redan finns så måste ett register upprättas för samtliga system som behandlar personuppgifter. Varje system måste även ha en ägare vilket oftast är den som äger verksamhetsprocessen som systemet stödjer. Detta register måste underhållas och uppdateras löpande. Om företaget har en etablerad förvaltningsmodell för IT-system är detta oftast ganska enkelt att få på plats.

Förutom att behandla personuppgifter korrekt enligt ovan stipulerar GDPR till skillnad mot PUL även att:

  • Företag måste kunna visa att de är compliant – dvs det ska finns beskrivna processer, checklistor, utbildningar, mallar, systemdokumentation, etc om hur personuppgifter hanteras och bevis för att dessa efterlevs.
  • Företag måste rapportera eventuella läckor av personuppgifter till tillsynsmyndigheten inom 72 timmar efter att läckan upptäckts samt informera de drabbade individerna. Detta gäller även om det är en samarbetspartner som är skyldig till läckan.

GDPR stipulerar också något som kallas ”Dataportabilitet”, vilket i princip betyder att man som individ ska kunna ta med sig all sin data till en annan leverantör, men det är i nuläget oklart exakt vad förväntningarna är på det. Till en början rekommenderar vi att se till att kunderna kan få digitala registerutdrag som eventuellt på sikt skulle kunna överföras direkt till en annan leverantör för import i deras system, men om detta ska kunna göras smidigt måste branschöverskridande API:er utvecklas och det känns som att det ligger en bit fram i tiden i så fall.

Om ni behöver hjälp

Moderamen har praktisk erfarenhet från två stora svenska företag att strukturera och få igång arbetet mot GDPR compliance och vi hjälper gärna fler. Tveka inte att kontakta oss på cecilia@moderamen.se om ni vill ha hjälp vare sig det rör sig enbart om lite rådgivning/bollplank eller mer fullskaligt projektarbete.