Dataskyddsombudet – Att skapa mervärden samtidigt som man skyddar
Att följa förordningar brukar mest generera kostnader. Jag har, tillsammans med många organisationer, istället använt det som en språngbräda för en värdeskapande verksamhetsutveckling. I det att en organisation börjar få en bättre bild av sin information och dess flöden, finns här en möjlighet till effektivisering och ett bättre skydd.
Dataskydd eller skyddande av data är reglerat i ett flertal lagar och förordningar. Dataskyddsförordningen (GDPR), patientdatalagen och socialtjänstlagen är de mest kända. Lagar är bra, men ett känt faktum är att de är reaktiva.
De tillkommer som svar på otillbörliga handlingar som inte accepteras av samhället. I en verklighet där allt mer av våra liv hanteras eller publiceras digitalt, behöver man ställa sig frågan om dessa regleringar räcker.
Hur ska vi lära oss att vara sunda och försiktiga med hur vi hanterar data? Dataskyddsombud, ett ombud för de registrerade, är vissa organisationer skyldiga att ha enligt dataskyddsförordningen som trädde i kraft i maj 2018. Ombudets roll är att ge råd och stöd samt granska att organisationen följer förordningen. Det är myndigheter, kommuner och organisationer som hanterar större mängder eller mycket känsliga personuppgifter som har krav på att ha ett ombud. Men det finns även organisationer som anlitar ett dataskyddsombud, utan att ha kravet, för att få professionell hjälp mad att följa förordningen.
Trots att dataskyddsförordningen inte är särskilt komplicerad och att vi i princip haft samma lag genom PUL sedan 1996, finns ett flertal organisationer som inte riktigt kommer i mål med att hantera personuppgifter på ett korrekt sätt. Det är nog i många fall här som det går lite tokigt. Vad är ett korrekt sätt? Jurister har skrivit spaltkilometrar med hur man ska tolka lagen. Tyvärr blir man oftast inte klokare, då de endera behandlar något mycket speciellt fall eller så väcker artiklarna nya frågeställningar och konstaterar att man varken kan säga bu eller bä. Men juridiken är bara en sida av myntet. Den andra, informationssäkerheten, hanteras oftast av helt andra delar i organisationen. Det är här som ett bra ombud kan göra en värdeskapande insats – genom att hjälpa till att samordna verksamhetsutvecklingen på ett sätt så informationssäkerheten ökar och att den är anpassad till förordningen. Enligt förordningen kan kraftfulla sanktionsavgifter utdömas till organisationer som inte följer den. Dessa döms oftast ut för att man brustit i säkerheten.
Vår syn på ett dataskyddsombud
Ombudet ska ha en god kunskap och förståelse för de lagar och regler som verksamheten styrs av. Ombudet är väl förtrogen med informationssäkerhetsarbete och de standarder och metoder som finns. Ombudet har en ledande roll och kan kommunicera i alla delar av organisationen. Ombudet är pedagogisk och kan förmedla vad som behövs på ett sätt som kan förstås och hanteras. Ombudet är pragmatisk och fastnar inte i detaljer utan försöker ha fokus på att organisationen har en fortsatt utveckling framåt. Sist men inte minst, det är inte ombudet som ska göra verksamhetsutvecklingen. Det är organisationen, verksamhetens jobb. Ombudet ska ge råd, stöd och granska. Ombudet är även kontaktperson gentemot tillsynsmyndigheten. Ordet systematiskt har en central betydelse. Det betyder planerat och kontinuerligt. Det kan uttryckas med exempelvis årshjul eller handlingsplaner.
Om du är ett ombud eller jobbar med förordningen i er organisation och inte känner igen dig i beskrivningen ovan, finns det en risk att ert arbete inte blir så värdeskapande som det skulle kunna bli.
Det räcker inte med att du vet vad som står i lagen. Du måste kunna omsätta det till verksamheten. Alla medarbetare måste förstå principerna och vara väl införstådda i hur just deras arbetsmoment påverkas. Jag trycker särskilt på att trots att det är samma lag ska instruktionerna till de olika delarna av verksamheten vara specifika. Regler och instruktioner ska vara riktade till den mängd och typ av personuppgifter som hanteras. Det är då det blir lättare för var och en att veta vad som gäller. Många organisationer väljer att göra en stor regelsamling på intranätet. Det kan fungera i vissa fall. Allt beror på vilka man riktar informationen till och vilken typ av personuppgifter man hanterar. Många organisationer hanterar i princip bara kontaktuppgifter eller publika uppgifter, undantaget HR. Där är skyddsvärdet lågt och man behöver generellt bara uppfylla minimikraven i förordningen.
Hur samverkar informationssäkerheten med dataskydsförordningen?
I förordningen förekommer på några ställen ordet ”lämplig säkerhet”. Betydelsen är lika diffus som det låter. För att veta vad som är lämplig säkerhet gäller det att man har kontroll på vilka personuppgifter man hanterar, var man hanterar dem, hur de lagras, vilka som hanterar dessa med mera. Det är här som informationssäkerheten kommer in i bilden. Organisationen ska och behöver ha kontroll på hur och var information hanteras i verksamheten. Information är ofta en av de viktigaste tillgångar som en organisation har för att kunna verka med en god kvalitet. Personuppgifter är också information. Det betyder att dataskyddsförordningen ingår i informationssäkerhetsarbetet. Därför finns det ett flertal standarder och regelverk som verksamheten kan följa för att uppnå denna kontroll. Tyvärr finns inte dessa standarder framtagna specifikt till förordningen än. Men man kan lätt med en smula flexibilitet använda de vedertagna standarder och metoder som finns för informationssäkerhet för att följa upp sitt arbete med förordningen. Genom att kontinuerligt följa upp var man har sin information, inklusive personuppgifter, klassificera dessa och ge dem ett lämpligt skyddsvärde har organisationen gjort den viktigaste biten i förordningen. Kontroll och god dokumentation är honnörsorden för informationssäkerhet, detsamma gäller efterlevnaden av dataskyddsförordningen. Förordningen innehåller dessutom några specifika regler som bara finns där. Ett exempel rör integritetspolicy och personuppgiftsbiträdesavtal. Men de är ofta mer av engångskaraktär och ska bara revideras om behov finns.
Den värdeskapande samordningen
Det första organisationen behöver göra är en analys av vilken information som hanteras i verksamheten. Utifrån den analysen, samt en omvärldsanalys, kan man göra en bedömning av värdet och riskerna med informationen. I omvärldsanalysen ingår bland annat hot, lagar och regler. Med dessa analyser bestäms ”lämplig säkerhet” för respektive informationsklass. Att skilja hanteringen av personuppgifter från hantering av all annan information är kontraproduktivt och kan tvärtom vara riskabelt. Vad som menas med det är, att om hantering av personuppgifter sker i en del av verksamheten och informationssäkerheten i en annan del, och dessa inte är samordnade, finns det uppenbara risker. När vi pratar om värdeskapande samordning menas att man genom att utveckla och förstärka informationssäkerheten, kommer att öka kvaliteten. Om man inom ramen för detta kvalitetsarbete belyser dataskyddsförordningen och anpassar verksamheten efter denna, kommer det arbetet inte att vara belastande utan tvärtom värdehöjande. Planera för ett helhetstänk kring dataskyddet. Öka medvetenheten hos alla medarbetare i att information är en viktig tillgång som inte får missbrukas eller förstöras. Ansvariga i verksamheten ser över att det är korrekt, laglig information som samlas in och sparas. Rutiner och riktlinjer skapas för att det ska vara enhetligt och tydligt. Information som inte fyller något syfte tas bort.
Och framför allt: Det här är en kontinuerlig process.
Börja med en hygglig nivå som sedan kan förbättras.
Jag kan inte nog poängtera detta:
Varje person har ett ansvar att behandla data på sunt och försiktigt sätt. Detta gäller såväl privat som på jobbet. Tro mig, hoten är många och det finns alldeles för många personer i världen som har som sin näring att lura personer som inte förstår bättre. Att ha en normal sund skepsis räcker långt. Men bättre är att alltid ifrågasätta varför någon vill ha dina uppgifter och alltid ifrågasätta säkerheten (om inte annat i tanken).
Vad händer framöver?
Fler och fler länder och regioner utanför Europa kommer med motsvarigheter till GDPR. Samtliga är anpassade till den verklighet och lagstiftning som gäller nationellt. Men här finns även inslag av att nationell lagstiftning, i tillämpliga delar, anpassas till skydd av personuppgifter. Detta öppnar för så kallad Code of Conduct eller hänvisning till motsvarande lagstiftning.
De europeiska tillsynsmyndigheterna börjar att få igång sitt samarbete och ett flertal vägledande domar och sanktionsavgifter har utdömts. Prognosen är att under 2020–2021 kommer ett flertal sanktionsavgifter att utdömas på redan prövade avsteg från förordningen. Med det menas även att förutsägbarheten för sanktionsavgift kommer tydliggöras.
GDPR börjar sakta att vävas in i verksamheterna. Framöver kommer inte GDPR bara ses som en lag, utan efterlevnaden kommer att vara en del av den trovärdighet man vill visa för sina kunder och leverantörer. Det kommer att vara en konkurrensfaktor lika naturlig som kvalitet och miljö.
ROGER BROBERG
Arbetar på ArkivIT med dataskydd. Främst som dataskyddsombud, men med stor vikt på informationssäkerhet. Utöver lång erfarenhet inom IT i olika roller driver jag även utbildningar och seminarier inom dataskydd. Jag är dataskyddsombud (DSO) på ett stort antal organisationer. I denna artikel vill jag ge min syn på hur man kan tänka kring det professionella dataskyddsarbetet.