När dataskyddsförordningen trädde i kraft rådde hos många verksamheter stor förvirring rörande hur man på bästa sätt skulle kunna leva upp till och inkorporera bestämmelserna i sin verksamhet. Nyfiken på hur andra verksamheter hanterade arbetet? Vi skickade ut en enkät till Sveriges kommuner där de anonymt kunde besvara hur de hanterade GDPR-arbetet, vilka utmaningar som de stötte på och hur de har påverkats av införandet.
Dataskyddsförordningen (GDPR) påverkar i princip alla verksamheter, men eftersom alla verksamheter fungerar olika kan hur man arbetar med GDPR-frågor och försöker leva upp till bestämmelserna i förordningen skilja sig mellan verksamheterna. En enkät skickades till Sveriges samtliga kommuner där de anonymt kunde besvara frågor kring deras arbete med GDPR. 85 kommuner svarade. I denna text har deras svar sammanfattats.
Hur har ni gjort för att hantera kraven i GDPR?
Detta är första frågan som respondenterna möts av när de trycker sig in i enkäten. En väldigt vag och bred fråga, men intressant nog har majoriteten ändå gett liknande svar. Utbildat, tillsatt dataskyddsombud och infört nya/uppdaterade rutiner/riktlinjer är de vanligaste svaren. Någon har angett att det är ”chefer och nyckelpersoner” som erbjudits utbildning, men en klar majoritet verkar ha utbildat medarbetare överlag och självklart tas registerförteckningarna som har skapats upp. Många verksamheter visar sig även ha skapat organisationer med GDPR-ansvariga eller samarbetat med andra, genom exempelvis arbetsgrupper eller nätverk. Införandeprojekt verkar också ha varit ett vanligt sätt att arbeta på för att hantera kraven som GDPR medförde, och en kommun skriver följande:
[Vårt] arbete med att hantera kraven i GDPR inleddes med ett omfattande införandeprojekt som alla förvaltningar deltog i. Projektet avslutades under hösten 2018 och sedan dess ansvarar respektive förvaltning för att kraven i förordningen efterlevs. Kommunens dataskyddsombud följer upp arbetet med GDPR två gånger om året genom granskningar som resulterar i åtgärdslistor. Dessa listor stäms av vid nästa granskningstillfälle.
Detta är enda svaret som nämner interna granskningar och åtgärdslistor, en metod som känns som ett bra sätt att säkerställa att arbetet sker kontinuerligt och ständigt förbättras istället för att GDPR-arbetet görs en gång och sedan glöms bort. Ett par svarande anger att deras verksamheter sen tidigare arbetade aktivt med personuppgiftslagen och att då kraven inte var så olika behövdes bara vissa anpassningar göras. En annan person anger däremot att de hade ”[a]rbetat med frågorna i projektform för att i ett första läge nå PUL:s krav. Sedan har vi försökt öka arbetstakten med de nya frågeställningarna.” Alla verksamheter levde alltså inte ens upp till föregående lagstiftning, vilket kan förklara varför att mer arbete krävdes.
Vilka har varit de största utmaningarna?
Som så ofta när det kommer till förändringsarbete framkommer av svaren att återkommande utmaningar var att förändra medarbetares beteenden och att få dataskyddsarbetet att genomsyra verksamheten. Respondenterna berättar att alla anställda inte upplever att de berörs av den nya lagstiftningen, att det är viktigt att ”få all personal att se nyttan med lagen och inte bara merjobbet” och att det är en utmaning att försöka undvika att GDPR-arbetet endast blir en ”pappersprodukt”. En av de svarande beskriver följande som den största utmaningen:
Att få medarbetare på alla nivåer att förstå att GDPR är vår nya vardag. GDPR kommer in på så många olika sätt i vår verksamhet, att maila personnummer innebär nya sätt att skicka, bilagor kan innehålla känslig information. Att höja medvetenheten om att vi inte kan göra som vi alltid gjort är en utmaning.
Andra återkommande svar är, som så ofta inom alla verksamheter, tidsbrist och resursbrist, likväl som att det är svårt att förstå GDPR då förordningen kommer med nya begrepp, och rättspraxis ännu saknades, varför egna tolkningar behöver göras. Ytterligare svar som angavs var att det var svårt att skapa intresse för lagstiftningen efter införandet och att få verksamheterna att prioritera frågan. I vissa fall verkar det till och med ha varit svårt att få stöd från ledningen, vilket skulle kunna vara en bidragande faktor till varför tid inte avsätts – arbetet prioriteras inte av ledningen. En respondent skriver att ”alla var vansinnigt trötta på GDPR efter maj 2018… svårt att hålla liv i frågan. DSO har för lite tid avsatt för att driva på frågan internt”, vilket visar på både intresse- och tidsbristen i verksamheten.
Har några rutiner lagts om eller ändrats?
Som vi redan sett från svaren på första frågan är införandet och uppdatering av rutiner ett vanligt sätt för verksamheterna att hantera förordningens krav, och detta speglas även i svaren på denna fråga. En klar majoritet svarar ”ja” på enkätfrågan, men antalet förändringar verkar variera då det ibland anges ”många”, ibland ”flera” och i vissa fall uppräkningar av vilken eller vilka rutiner som har förändrats. Flera gånger nämns rutiner kring e-post och personuppgifter, men även rutiner för registerutdrag och incidentrapportering tas upp som sådana som har behövts införas. En av respondenterna anger att det är med rutinarbetet som ”den största arbetsinsatsen [har] varit”.
Fascinerande nog verkar inte rutiner ha ändrats i alla verksamheter. Svar som ”Inte alls”, ”Nej, inte direkt”, ”Nej, inte vad jag vet” och ”Nej, inte i någon större utsträckning” förekommer också. Några kanske är samma respondenter som tidigare skrev att de hade ett så bra PUL-arbete sen tidigare att inga större förändringar behövdes göras, men det var bara två personer och här är det fler än två. En av dem som har svarat anger att rutinerna inte har ändrats i den utsträckning som de skulle ha behövt ändras, vilket är intressant eftersom det visar att de vet om att större förändringar egentligen krävs. Detta skulle kunna hänföras tillbaka på den brist på tid och resurser som påtalats i flera svar.
Vilken är den största skillnaden jämfört med
innan GDPR:s införande?
På frågan om vad som är den största skillnaden jämfört med tidigare är det främst fyra svar som återkommer: en högre medvetenhet vid och om personuppgiftsbehandling (”alla känner till GDPR och vet ungefär vad som gäller”), sanktionsavgifterna, att GDPR är administrativt krävande och att ”missbruksregeln”1 försvann. Den högre medvetenheten kan förklaras med att den utbildning som vi såg i svaren på första frågan var vanlig. I flera av svaren nämns även en rädsla för GDPR, vilket kan förklaras med högre medvetenhet, avsaknad av rättspraxis och hotet om sanktionsavgifter. En svarande anger att ”[d]et har blivit mer tung-arbetat genomgående. GDPR har skapat en stor osäkerhet bland medarbetarna för vad som är ok eller inte och de mest triviala saker så som t.ex. namnskyltar kan ha blivit ett problem”. Alla vet att förordningen ska efterlevas och att höga sanktionsavgifter kan bli resultatet om man misslyckas, men är osäkra på hur de ska göra för att helt följa den.
1 Missbruksregeln innebar enklare regler för personuppgifter i ostrukturerat material.
Fascinerande nog verkar inte rutiner ha ändrats i alla verksamheter. Svar som ”Inte alls”, ”Nej, inte direkt”, ”Nej, inte vad jag vet” och ”Nej, inte i någon större utsträckning” förekommer också.
Tidigare nämndes att två personer angav att de inte behövde göra några större förändringar då de redan arbetat aktivt med PUL, vilket andra inte verkar ha gjort. En möjlig förklaring till detta kan ses i följande respons: ”GDPR ställer tydliga krav på kontinuerlig efterlevnad, inte bara vid ett visst tillfälle som lagstiftningen gäller. PUL kändes som att man gjorde jobbet och när det var klart så var där inga tydliga kontrollmekanismer.”
Är ni färdiga eller vilka utmaningar kvarstår?
En klar majoritet av respondenterna var överens om att GDPR-arbetet är menat att ständigt pågå: ”Man blir aldrig färdig, detta är ett förändrat arbetssätt som ständigt måste vara levande.” Vissa verkade dock vara av uppfattningen att de var i princip klara, med svar som ”för det mesta färdiga”, ”saknas fortfarande en del pub-avtal” och ”[r]utinerna finns på plats men det går alltid att bli bättre”. Det behöver såklart inte tolkas som att de inte håller med om att det är ett ständigt pågående arbete, utan kan även tolkas som att de stora arbetena är färdiga och vardagliga, mindre saker, som fortsatt ifyllande av register över personuppgiftsbehandlingar, inte uppfattas som någon stor utmaning.
Hur har införandet av GDPR påverkat dig?
Flera meddelar att de efter införandet av GDPR arbetar som dataskyddsombud och att arbetet med GDPR tar upp mycket tid och arbetsuppgifter. Några nämner att det belastar det övriga arbetet, då ingen tid har frigjorts för uppdraget. En person skriver att GDPR-arbetet ”har lett till väldigt mycket merarbete som mestadels har försvårat för medarbetarna utan att leda till någon uppenbar nytta för organisationen eller medborgarna”. Ett av svaren på första frågan angav att det var en utmaning att få medarbetarna att se nyttan i GDPR-arbetet och i citatet kan vi se att respondenten endast ser GDPR-arbetet som onödigt merarbete. Detta kan naturligtvis vara ett resultat av att resurser och tid inte har satts av till arbetet eller att man har svårt att tolka förordningen, varför man ser negativt på detta ”tidskrävande krångel”.
Att arbete med GDPR därutöver är mer administrativt krävande än arbetet med personuppgiftslagen tas upp många gånger och jag vill igen koppla till de personer som angav att inga stora förändringar hade behövts göras i verksamheten när GDPR infördes, då de sedan tidigare hade en bra grund i PUL-arbete. Det är svårt att utan mer insyn i verksamheterna veta om de personerna underskattar GDPR:s krav eller om de faktiskt hade rutiner sen tidigare som till stor del levde upp till de nya kraven. En skillnad i hur administrativt krävande arbetet framstår är dock tydlig i dessa två fall.
Men även om arbetsbelastningen och den tillhörande tidsbristen är de vanligast förekommande svaren ses inte införandet av GDPR av alla som någonting negativt. Den utbildning som respondenterna anger har skett i verksamheterna har gett effekt då flera konstaterar att de har mer kunskap kring personuppgiftsbehandlingar, integritet och informationssäkerhet än tidigare och likaså att verksamheterna nu har bättre koll på personuppgiftsbehandlingarna överlag. Men även om några skriver att införandet har varit ”positivt” och ”till det bättre” finns det också de som menar att införandet ”inte alls” eller ”inte speciellt mycket” har påverkat dem. Detta är intressant då resten av svaren i enkäten tycks visa på att GDPR har krävt mycket mer arbete, att det har skett utbildningar och att det har förändrat de vanliga arbetsrutinerna väldigt mycket. Det tydliggör om inte annat hur stor skillnad det är från verksamhet till verksamhet.
Jag vill avsluta artikeln med ett svar som lämnades på den sjätte frågan: ”som gammalt PUL-ombud som numer är DSO så har rollen fått ökad status och tydlighet och större mandat”. Kontentan verkar vara att även om vissa anser att GDPR mest inneburit onödigt arbete tas åtminstone lagstiftningen seriöst och verksamheter anstränger sig för att utbilda, inventera och skapa rutiner (även om det beror på hotet från sanktionsavgifter). Betydligt mer tid och resurser behöver däremot avsättas för att arbetet ska kunna göras ordentligt oavsett hur man har arbetat med GDPR-frågan, om man ska tro de svar som har lämnats in på enkäten.
ALICIA BERGLI
Är arkivkonsult på ArkivIT, med en masterexamen i ABM med inriktning arkivvetenskap i ryggen. Hon skyller sitt val av arbete på sitt historieintresse, och riskerar att hamna med näsan i gamla arkivhandlingar lite väl länge om ingen stoppar henne.
