Att förvalta sitt dataskydd
– Ett kontinuerligt arbete som kräver en plan
För att lyckas med det praktiska arbetet med dataskyddsfrågor räcker det inte att kunna manövrera rätt i den snåriga juridiken. Det krävs också en bra plan. Det finns en stor risk att arbetet med dataskyddsfrågorna blir ineffektivt och tidsödande om man inte har en övergripande strategi för hur arbetet ska bedrivas.
Inför den 25 maj 2018, och i viss mån den närmaste tiden därefter, lade företag, myndigheter och organisationer över hela Sverige oändligt många projekttimmar på GDPR. Hur ska man med lite distans till detta säkerställa att allt arbete som lagts ner inte varit förgäves?
Det är knappast ett kontroversiellt påstående att förutsättningarna för arbetet förändras över tid hos de flesta verksamheter. Det kan till exempel handla om nya IT-system, digital utveckling och nya affärsmöjligheter, men också om organisatoriska förändringar och omgjorda arbetsprocesser. Allt sådant leder till att personuppgifter kan komma att behandlas på nya sätt. Dessutom sker saker i omvärlden som påverkar vad man behöver och vill göra i sin verksamhet, det har vi inte minst sett under coronapandemin. Dataskyddslagstiftningen i sig kan naturligtvis förändras den också. Att säkerställa ett gott dataskydd kräver därför mer än en engångsinsats i projektform. För att kunna efterleva lagkraven behöver dataskyddsarbetet bedrivas kontinuerligt, med översyn och uppdateringar.
Många verksamheter har kommit längre
Datainspektionen konstaterar i sin årsredovisning från 2019 att många företag, myndigheter och andra organisationer har kommit till en ny nivå i sitt dataskyddsarbete. Såhär beskriver Datainspektionens generaldirektör förändringen:
Om 2018 för många präglades av intensiva förberedelser inför dataskyddsreformen och att få grundläggande processer och rutiner på plats, så har 2019 snarare kännetecknats av att få strukturerna att fungera i praktiken, och utmaningar i form av mer komplexa rättsliga frågor och tolkningar.
Det är också tydligt att medborgarna har allt högre förväntningar på att deras persondata hanteras på ett korrekt, säkert och transparent sätt.
Datainspektionen framhåller samtidigt att behovet av vägledning och stöd från dem i mer komplexa rättsliga frågor är fortsatt stort. Många kan säkert skriva under på att det väldigt ofta saknas tydlig praxis för specifika situationer, eftersom det inte gått tillräckligt lång tid för att tillsynsmyndigheter och domstolar ska ha haft tid och tillfälle att över huvud taget ta ställning i många frågor.
Att dataskyddsarbetet har mognat och gått framåt i många verksamheter är något som också vi på Draftit kan konstatera. Vår verksamhet erbjuder digitala verktyg och tjänster inom dataskyddsområdet och de senaste åren har vi haft kontakt med många verksamma dataskyddsombud och
GDPR-ansvariga. Det råder ingen tvekan om att kompetensen totalt sett har ökat. Från att ha handlat om grundläggande frågor med svartvita svar har våra kunders frågeställningar börjat vara alltmer branschspecifika och komplexa. Ett flertal olika aspekter och lagstiftningar samspelar. Allt oftare kommer också frågor om granskning och revision upp. För när alla grundläggande delar i en organisations ”dataskyddsmaskineri” är på plats är det dags att gå vidare till förvaltningsfasen.
Med rutiner för revision och internkontroll går det att göra förvaltningen av GDPR till en del av den dagliga verksamheten.
Det kan låta klyschigt och kanske rent av överambitiöst.
Men faktum är att först då kan dataskyddsarbetet upprätthållas och förbättras, både så att man successivt får ett allt bättre integritetsskydd, men också ur ett kostnadsperspektiv. Redan utfört arbete går inte förlorat, och allt blir mycket effektivare!
Ett systematiskt dataskyddsarbete fördelat över hela året
Hur ska då organisationer hitta sätt att arbeta långsiktigt med GDPR med löpande omvärldsbevakning och uppföljningar, strukturerade revisioner med mera? För att underlätta revisionsprocessen och för att inte alltihop ska kännas ogreppbart och luddigt är det en bra idé att bryta ner arbetet i mindre delar. Att systematiskt ta en sak i taget, helt enkelt. Ett sätt att göra detta på är att utgå från ett årshjul.
Med hjälp av ett årshjul ser man till att olika delar av dataskyddsarbetet får uppmärksamhet i tur och ordning medan verksamhetsåret löper på. Året kan exempelvis börja med att adressera frågor som rör styrning och ledning. Finns det stöd och mandat från styrelse/verksamhetsledning att fortsätta möta kraven i GDPR? Har de ansvariga personerna inom dataskydd tillräckliga resurser till sitt förfogande?
Nästa steg kan exempelvis vara att se över registret över alla personuppgiftsbehandlingar. Finns samtliga behandlingar av personuppgifter dokumenterade, även sådana som tillkommit eller förändrats i närtid? Är informationen komplett och korrekt, med utgångspunkt i lagstiftningens krav (främst artikel 30 GDPR)? Låt fokus ligga på att granska och uppdatera registret om det behövs. Först när det är gjort, gå vidare till nästa steg, som skulle kunna vara att se över vilka kommunikationsinsatser som skett inom organisationen. För varje månad väljer man ett nytt fokusområde. Sett över ett helt år skulle det kunna se ut som i illustrationen nedan.
Som ett sista steg i slutet av året sammanställer man förslagsvis en rapport. Observera att det inte finns specifikt reglerat i dataskyddslagstiftningen i vilken form eller med vilken frekvens som revisioner ska redovisas för ledningen. Hur de som arbetar med dataskydd i praktiken informerar och rapporterar resultat internt är något som till stor del beror på hur den egna verksamheten är uppbyggd. Exakt vad som ska ingå i en årsrapport beror på vilka områden som varit i fokus under året, vilka problemområden och riskfaktorer som behöver lyftas, hur ofta och på vilken detaljnivå rapporteringen ska göras och så vidare. Hur genomförda granskningar sammanställs och rapporteras är kort sagt valfritt, men det behöver göras i någon form. Att presentera en årsrapport blir ett naturligt sätt att flagga för risker, synliggöra problem och föreslå åtgärder.
Flera fördelar med årshjul som involverar alla
Det finns flera fördelar med att arbeta utifrån ett årshjul eller motsvarande upplägg. Förutom att arbetet blir konkret, genomförbart och lättare att ta sig an så kan ett årshjul också bidra till att dataskyddsombudets roll som objektiv granskare tydliggörs och förstärks, om det finns ett dataskyddsombud i organisationen. Naturliga rapporteringsvägar skapas så att dataskyddsombudet inte riskerar att missa viktiga saker eller anklagas för att ha brustit i sitt uppdrag som informatör. Frågan om dataskyddsombudets personliga ansvar har kommit upp i media vid flera tillfällen under det gångna året. Vi kan konstatera att det ska mycket till för att ett dataskyddsombud ska kunna hållas personligt ansvarig av sin arbetsgivare i Sverige. Men för att undvika att hamna i riskzonen gäller det att alltid vara uppriktig och tydlig med vilka brister man ser. Hur då? Jo, genom att säkerställa att allting dokumenteras och rapporteras till ledningen.
Dessutom finns en skyldighet enligt dataskyddsförordningen att som organisation kunna visa att man följer reglerna. Utförlig dokumentation är därför ofta avgörande.
De olika fokusområdena över året tydliggör också hur olika delar i organisationen blir involverade i olika faser. Det visar på vikten av att involvera olika enheter. Förändringsarbetet kan visserligen ledas av ett dataskyddsombud eller en ansvarig projektgrupp, men det kan aldrig i praktiken utföras av en liten klick som jobbar ensamma på sin kammare, utan det måste ske ute i verksamheten – på IT-avdelningen, i kund-tjänst, hos ledningen och så vidare – genom ett medvetet förhållningssätt och rutiner som införlivats hos alla anställda. När det kommer till att granska att personuppgiftsbiträden såsom IT-leverantörer lever upp till krav och överenskommelser behövs IT-kompetent personal. När det gäller att upptäcka nya behandlingar av personuppgifter så behövs stöd från hela verksamheten. När informationsinsatser ska utvärderas och granskas behöver kanske HR- och informationsavdelningen involveras och svara på frågor. När det kommer till regler för webbplats, utskick och nyhetsbrev, cookies med mera behöver marknadsavdelningen sannolikt bidra. För att ta några generella exempel.
Genom att arbeta löpande och systematiskt med dataskyddsfrågorna på ett förhållandevis konkret sätt signalerar man en strävan att faktiskt koppla lagstiftningen till den egna verksamheten i praktiken. I och med detta uppnår man förhoppningsvis också en ökad förståelse för att dessa frågor bidrar till förbättringar.
Kom ihåg att de allra flesta i en organisation inte är dataskyddsombud eller GDPR-ansvariga med integritetsfrågorna för ögonen varje dag. I slutänden är en verksamhets främsta mål troligtvis något annat än att uppnå hundraprocentig efterlevnad av GDPR. Men de som lyckas göra dataskyddsfrågorna till en integrerad del i vardagen på sin arbetsplats kan skapa en kultur där integritetsaspekterna inte uppfattas som ett nödvändigt ont, utan något som till och med kan stödja bredare strategiska mål.
Att förvalta GDPR-arbetet handlar i praktiken om att övervaka den egna organisationen över tid och se till att verksamheten fortsätter följa gällande dataskyddslagstiftning, även när det sker förändringar. Och förändringar sker hela tiden, antingen i den egna verksamheten eller i omvärlden. Genom att arbeta utifrån ett årshjul kan man säkerställa att man fortsätter ha kontroll. På lite sikt går det förhoppningsvis till och med att dra fördel av att allt är i ständig förändring.
VIKTORIA NORDSTRÖM
Är examinerad språkkonsult i svenska med ett stort intresse för att göra juridik och komplexa informationsmängder tillgängliga för en bredare målgrupp. Hon arbetar som produktägare och innehållsspecialist hos Draftit som tillhandahåller digitala verktyg, tjänster och kompetensstöd inom dataskyddsjuridik. Under de senaste åren har hon arbetat tillsammans med erfarna dataskyddsexperter och konsulter för att utveckla och förvalta ett omfattande kompetensstöd för GDPR som både förklarar det juridiska regelverket i sig och vägleder i den praktiska tillämpningen av det.
