Den 25 maj 2018 började en ny EU-förordning att gälla och som nu efter drygt två år kanske äntligen börjat landa lite.
Dataskyddsresan hittills
Constance: ärligt talat så hade jag väldigt lite koll på vad dataskydd var för två år sedan. Det var något som hände ”above my pay grade”. Jag kommer dock ihåg känslan av brådska och osäkerheten i hela organisationen med den 25 maj som en mållinje. Inledningsvis kändes det konstant som att beslut fastnade på olika håll, man hörde endast brottstycken. Jag blev sen inblandad i implementeringsprojektet i mitt arbete som systemspecialist, och när dåvarande dataskyddsombud skulle byta arbetsplats förra året blev jag ombedd att ta vid. Det har varit en virvelvind av nya begrepp, nytt tänk och nya sätt att se på organisationens arbete.
Det jag har lärt mig sedan jag klev på som dataskyddsombud, och som jag inte hade greppat tidigare, är att dataskydd och informationssäkerhet bara delvis handlar om lagstiftningar och rutiner. Det är organisationens kultur och värderingar som måste stå i fokus, hur vi ser på vårt dagliga arbete och informationen vi hanterar varje dag. Dataskyddslagstiftningen är för krånglig, lång och omständlig för att minnas utantill, så förutom den grundläggande kunskapen kan det inte vara enbart själva lagen som implementeras, utan även attityden till lagstiftningen. Jag vill att mina kollegor ska känna sig trygga nog att ställa frågor när något inte stämmer, när något saknas, när de upptäcker något nytt. Hur de ska veta vad de ska fråga om? Där kommer jag in med utbildningar, informationsfilmer och besök.
Roland: Som konsult inom informationssäkerhet hade jag några tidspressade uppdrag inför 25 maj. Det var roligt och lärorikt. Jag försökte åstadkomma verksamhetsnytta med så kallade risk- och gap-analyser, incidenthantering och leverantörsstyrning. Jag samarbetade med IT-chefer, jurister, verksamhetsutvecklare, informationssäkerhetssamordnare och dataskyddsombud (DSO). Det var inspirerande och stressande att ta fram tillräckligt bra rutiner som skulle fungera i praktiken och samtidigt tåla en granskning.
Nu som heltids-CISO (Chief Information Security Officer) på kommunen har jag fått möjlighet att arbeta än mer strategiskt i att ta fram ett ledningssystem för informationssäkerhet (LIS) och ansvara för implementeringen. Det handlar framför allt om att klassa och hantera information på ett effektivt och säkert sätt digitalt. Vi har mognat i vårt dataskyddsarbete. Den slutsatsen kan man dra eftersom antalet rapporterade incidenter har ökat.
Jag har också fått möjligheten att lära mig mer om trygghets- och säkerhetsarbete i en kommun. Det handlar bland annat om bevakning, passersystem, brand, larm och beredskap.
Samarbetet är viktigt!
Informationssäkerhet och dataskydd har väldigt mycket gemensamt. Dataskyddsombudet har fokus på medborgarnas rätt att kontrollera sina egna personuppgifter och användningen av dem, informationssäkerhetssamordnaren har fokus på organisationens användning av information i alla situationer. Informationssäkerheten skyddar dessutom exempelvis Sverige (säkerhetsskyddslagen), IT-utrustning och ekonomiska värden. Oavsett vilket område det gäller håller vi därför kontinuerlig kontakt och ser till att den andra alltid vet vad som finns på agendan. Då kan vi alltid stötta varandra och bolla idéer och frågor, vilket är värdefullt när beslut ibland behöver tas med kort varsel.
Vi leder också ett nätverk med kontaktombud från de olika kommunala förvaltningarna. Kontaktombuden bidrar bland annat till att underlätta implementeringen av de policyer och riktlinjer som beslutats på högre nivå, och kan involveras operativt i dataskyddsarbetet. De underhåller också nämndernas behandlingsregister och samordnar hästjobbet som kallas inventering. De kan verksamheterna bättre än vad vi någonsin kommer att kunna och vet vilka oskrivna regler (för ärligt talat, de finns) som styr deras dagliga arbete, vilket är oerhört värdefullt för att vi faktiskt ska kunna nå ut på riktigt.
Hur vi arbetar – tips!
Constance: För att kulturskiftena ska nå ut förbi den inre kretsen av dataskyddskunniga behöver man göra två saker: nätverka och kommunicera med alla samt konkretisera vad som behöver göras.
Nätverka och kommunicera
Låt dina kollegor lära känna dig! Visa att du är en människa av kött och blod som bryr dig om att verksamheten ska fungera. Be om fem minuter på APT, lägg upp en nyhet på kommunens interna nyhetskanaler, boka in en timme med nyckelpersoner och be dem förklara hur de arbetar och förklara sen vad ditt jobb går ut på, fika i olika fikarum under veckan, skriv om arbetet på Linkedin. Hitta också andra inom samma arbetsområde genom att gå med i nätverk, så att du alltid har någon att bolla tankar med, och mentorer som du kan lära dig av.
Ledningen får man heller inte glömma i kulturskiften, förändring måste ske i alla led. Ledningen har dock hand om precis allt övergripande och viktig information kan ibland försvinna i flödet. De behöver stöd i att veta hur och när de kan vara behjälpliga. Rapportera regelbundet och ofta, be att få komma och berätta om viktiga punkter, förtydliga vilka aktiviteter som konkret måste förankras och när i tiden det behöver ske. Avdramatisera prat om dataskydd och personuppgifter, det är en del av det vardagliga arbetet och ska behandlas som så.
Konkretisera
Ja, hela lagstiftningen ska följas. Men att slänga lagtexten på någon och säga ”De här 150 kraven måste ni följa, vi ses om en månad” har nog aldrig fungerat. Om mina kollegor inte förstår vad som gäller förstår de inte heller vad de ska göra, och hur ska det då gå med den sanna efterlevnaden? Börja med de absoluta grunderna, och gå inte vidare förrän de faktiskt förstått. Jag har till exempel gjort om de grundläggande principerna till frågor när jag utbildar, för att ingen ska kunna gömma sig bakom tanken att dataskydd är ”above my pay grade” som jag gjorde. ”Ändamålsbegränsning” kan viftas bort som ”för krångligt, någon annan får göra det”. Frågan ”Har vi ringat in varför vi använder uppgifterna?” kan däremot diskuteras, bollas runt och besvaras.
Det viktiga första steget är att hitta good enough-nivån. Vad MÅSTE vi ha på plats varje dag? Det måste konkretiseras först. Sen kan man fortsätta bygga på, och alltid återkomma till att alla ska förstå innan man går vidare. Jag ser mycket hellre att det tar längre tid, och att alla är med på tåget, än att vi slänger ihop något som ser snyggt ut men som bara blir en hyllvärmare. Det varken skyddar registrerades rättigheter eller underlättar för verksamheterna.
Roland: Det gäller att ha tillräckligt bra register över personuppgiftsbehandlingar och avtal med leverantörer samt att hålla dem uppdaterade. Då har man en gällande överblick över behandlingarna och leverantörerna. Satsa på utbildning, både lärarlett och e-learning. Nanoutbildning, en kort intensiv utbildning, kan vara effektivt. Diskutera nuvarande arbetssätt, ifrågasätt och arbeta med ständiga förbättringar.
Praktik
Det finns många utbildningar, bl.a. inom informationssäkerhet, där praktik på arbetsplatser är en viktig del. Sådan praktik (lärande i arbete) är ofta mycket givande för båda parter, ger nya perspektiv och en bra relation. Den studerande får insikt i och kunskap om det praktiska informationssäkerhetsarbetet, samtidigt som hen får möjlighet att pröva de kunskaper som erhållits. Den studerandes uppgift bör vara tydlig och avgränsad. Handledaren måste finnas tillgänglig för stöd.
Det är organisationens kultur och värderingar som måste stå i fokus, hur vi ser på vårt dagliga arbete och informationen vi hanterar varje dag.
IT
Ingenting fungerar bra och säkert utan bra och säkra it-lösningar. Sätt dig in i hur it-lösningarna fungerar på en övergripande nivå och i praktiken. Studera informationens livscykel från skapande och klassning, till användande och gallring. Skapa bra nätverk och beslutsforum med it-chefer, it-säkerhetsansvariga, lösningsarkitekter, systemförvaltare och it-tekniker. Glöm inte bort arkivarien.
Vad händer nu?
Constance: Tvåårsstolpen innebär att vi nu kan börja arbeta på allvar med dataskydd, med sanna kulturskiften i organisationerna. Den första paniken har (förhoppningsvis) lagt sig, prejudikat börjar komma in från hela EU och nätverk har börjat formas så att alla som arbetar med området kan stötta och rådfråga varandra. Lagstiftningen ÄR krånglig, så att fler EU-gemensamma riktlinjer kommer ut regelbundet är guld värt. Men vi behöver strukturera upp hur vårt arbete ska se ut nationellt. 2020 har blivit ett viktigt år som ger oss riktningen för hur arbetet ska fortgå. Ett bra exempel är vårens pandemiläge, där vi fick uppleva hur dataskyddsarbetet appliceras under stress, med frågor om hur och när man får offentliggöra känsliga personuppgifter, och att insamling av personuppgifter har samma krav oavsett om det är kris eller ej.
Eftersom jag själv jobbar i en kommun ser jag fram emot fler riktlinjer uppifrån gällande hur kommuner, med flera myndigheter i samma organisation, ska navigera mellan de olika lagstiftningarna. Det känns dumt att alla kommuner gör olika och konstant försöker uppfinna hjulet på nytt. ”Dataskydd är inte ett ensamarbete”, säger jag regelbundet till mina kollegor, ”inte ens för mig”.
Roland: Coronaviruset har tvingat oss att ta det digitala språnget som vi pratat om så länge. Mycket av mitt arbete nu handlar om säkert distansarbete och säker distansundervisning, att vi kan hantera information lika säkert när vi inte är på plats på jobbet eller i skolan.
CONSTANCE BELL DAHLBÄCK
är dataskyddsombud och informations- och processförvaltare på Danderyds kommun. Hon är beteendevetare inom socialpsykologi i grunden, och har tidigare jobbat inom projektledning och systemadministration.
ROLAND LYCKSELL
är informationssäkerhetssamordnare på Danderyds kommun. Han är civilingenjör inom teleteknik och har de senaste åren arbetat som konsult inom informationssäkerhet, dokumenthantering och kvalitetssäkring.
