Från sidoprojekt till normal drift – praktiskt dataskydd i organisationer

Praktisk personvern i organisationer handlar om personuppgifter i praktiken och GDPR till normal drift. Alltså att personvärn blir en del av vardagen, inte ett projekt som dyker upp när någon frågar, eller när något går fel.

Kort sagt. GDPR blir ofta ett sidoprojekt eftersom «att inte göra något» sällan ger omedelbara konsekvenser. Då slutar många verksamheter med ingenting, snabblösningar eller Excel. Varaktig kontroll får du när integritet byggs in i de rutiner ni redan måste ha för att driva verksamheten. Tydligt ägandeskap, överblick som hålls uppdaterad och dokumentation som följer arbetsflödet. Det är personuppgifter i praktiken.

Tips. Denna fackartikel är avsedd som ett ankare i serien om GDPR som normal drift. Jag kommer att länka tillbaka hit från flera korta inlägg om ägande, rutiner, verktyg och praktiska exempel.

Innehåll

1. Varför GDPR förlorar i praktiken
2. “Biff-kock i integriteten. Integrerade rutiner
3. Tre mönster som gör integritet till ett sidoprojekt
4. Kort fall. “Det var först då kunden frågade...”
5. Vad som faktiskt fungerar över tid
6. Många små blir till en stor helhet
7. Faktaruta. Små grepp som ger stor effekt
8. Checklista. Tecken på att integritet blir en del av den normala verksamheten
9. Relaterad läsning

Varför GDPR förlorar i praktiken

I många företag är dataskydd viktigt, men sällan akut. När en uppgift inte upplevs som akut, vinner som regel allt som är brådskande mer. Leveranser, försäljning, drift, rekrytering, IT-projekt och «det som brinner nu».

Jag kallar detta konsekvensgapet. Risken är verklig, men konsekvensen känns avlägsen. Resultatet är att GDPR lätt blir ett sidoprojekt, ända tills något triggar behovet. Det är därför som GDPR som normal drift och personuppgifter i praktiken må byggas in i sättet vi faktiskt arbetar på.

Typiska utlösare som plötsligt gör integritet viktig

• Revision eller kontrollfrågor
• Kundkrav inom försäljning eller inköp
• Begäranden om insyn som tar tid och skapar oro
• Avvikelser eller händelser
• Tillväxt, omorganisation, förvärv eller nya system och leverantörer

När integriteten först prioriteras när den utlöses ser vi ofta en av två reaktioner. Antingen skjuts det upp igen, eller så försöker man lösa det snabbt. Båda delarna kan ge en känsla av kontroll, utan att kontrollen blir varaktig.

Tillbaka till innehåll

“Biff-kock i integriteten. Integrerade rutiner

När en kock steker biff kryddar han den också. Kryddning är inte ett separat projekt vid sidan av matlagningen. Det är en integrerad del av rutinen för att få ett bra resultat.

Integritet fungerar på samma sätt. Det blir inte robust förrän du bygger in det som en del av vardagens rutiner. Det är så du får personuppgifter i praktiken och GDPR som normal drift.

1) Upphandling och leverantörsval

När ni överväger pris, kvalitet och leveransförmåga, bör rutinen även innehålla en enkel integritetskontroll

• Ska leverantören behandla personuppgifter
• Vilka typer data, och vilken omfattning
• Vilka risker och konsekvenser kan det ge
• Behöver vi en personuppgiftsbiträdesavtal, och hur följer vi upp det i praktiken?

Då blir integritetsskydd en naturlig del av upphandlingsprocessen, inte en dokumenthantering som kommer i efterhand.

2) Ändringar i system och processer

När ni gör ändringar, ny funktion, nytt system eller nytt arbetsflöde, bör rutinen också innehålla en enkel kontroll

• Ändrar detta hur personuppgifter samlas in, används, delas eller lagras
• Ska vi uppdatera interna register, rutiner eller extern information, till exempel integritetspolicy

Då blir integritet en del av ändringshantering, inte något man tänker på «till slut».

3) Onboarding, offboarding och åtkomsthantering

När en anställd börjar eller slutar, har ni redan rutiner för utrustning, åtkomst och utbildning. Dataskydd bör vara en integrerad del av detta flöde

• Åtkomst endast till det som är nödvändigt
• Rollbaserad förväntan kring dataskydd som en del av utbildningen
• Avsluta åtkomster och säkerställ korrekt hantering vid avslutning

Poängen. Ansvar, dokumentation och kontroll fungerar bäst när det skrivs in som en del av en rutin, inte som ett extra GDPR-projekt vid sidan om.

Tillbaka till innehåll

Tre mönster som gör integritet till ett sidoprojekt

Genom praktiskt arbete med verksamheter dyker samma mönster upp om och om igen. De är förståeliga, men de skalar dåligt över tid.

Något

Integritet ligger på ritningen, men blir ständigt skjutits upp. Det känns stort att börja, och det finns alltid något som är mer brådskande.

Typisk följd. Verksamheten saknar överblick när ett anspråk eller en incident plötsligt uppstår och måste arbeta under tidspress.

2) Snabblösningar

Man försöker lösa det snabbt, till exempel genom att

• Kopiera en integritetspolicy från någon som «liknar»
• Underteckna databehandlingsavtal utan verklig granskning av faktisk behandling och risk
• Tänka att «vi behöver inte RoPA», eller skjuta upp översikten för att den verkar tung
• Delegera allt till «X» (ekonomichef, HR, IT eller en nyckelperson) och hoppas att det löser sig

Typisk följd. Det ser bättre ut på papperet än i praktiken. Integritet skyddas inte i det arbete där personuppgifter faktiskt behandlas.

3) Excel

Excel kan føles billig och överskådligt, men slutar ofta i dubbelarbete. Först måste man designa och underhålla «systemet» (struktur, versioner, uppdateringar). Därefter måste man göra själva GDPR-arbetet utöver det, och säkerställa att alla använder rätt version.

Typisk följd. Kontrollen blir ömtålig. Underhåll blir en separat uppgift, och översikten blir snabbt föråldrad när vardagen tar över.

Tillbaka till innehåll

Kort fall. “Det var först då kunden frågade...”

Tenk følgende scenario. En virksomhet har “orden” på GDPR, tror de. De har en personvernerklæring og en mappe med noen dokumenter. Så kommer et kundekrav i en anskaffelse. “Beskriv behandlingen, leverandører og sikkerhetstiltak. Legg ved databehandleravtaler.”

Då visar det sig att

• Ingen har en samlet översikt över vilka leverantörer som faktiskt behandlar personuppgifter
• Personuppgiftsbiträdesavtal är utspridda och delvis föråldrade, och vissa saknas
• Flera processer har ändrats utan att integritetspolicyn har uppdaterats

De hade “gjort GDPR”, men det var inte inbyggt i rutinerna för upphandling och förändringar. Det blev därför reaktivt. Resultatet blev stress, improvisation och en känsla av att GDPR kom i vägen, istället för att ge stöd, kontroll och förutsägbarhet. Detta är precis vad GDPR som normal drift ska lösa.

Tillbaka till innehåll

Vad som faktiskt fungerar över tid

1) Början där allt startar. Skaffa dig överblick

Det händer inget förrän du börjar. Och lite fungerar om du inte har överblick.

En praktisk utgångspunkt är att kartlägga

• Vilka system behandlar personuppgifter
• Vad används de till, vilka processer stöder de
• Vem driver och stöder dem, internt och externt
• Vilka typer personuppgifter ingår, och var flödar de

Målet är inte perfektion, utan en överblick som är tillräckligt bra för att styra, prioritera och förbättra. Det är personuppgifter i praktiken.

2) Ledningen äger riktning och prioritet

Ledningens jobb är sällan att “göra GDPR”. Ledningens jobb är att äga riktning och prioritet. Fastställ förväntningar, klargör ansvar och säkerställ uppföljning när dataskydd konkurrerar med brådskande uppgifter.

I praktiken betyder det ofta

• Att besluta vad som är “minsta rimliga nivå” av kontroll för verksamheten
• Att säkerställa att integritet byggs in i viktiga rutiner
• Att följa upp att rutiner faktiskt används och underhålls
• Att prioritera integritet när nya system, leverantörer eller processer ska införas

3) Personvern kan inte ägas av en enda person

Många frågar. “Kan inte bara X ta detta?” Det kan verka rationellt, men integritetsfel sker sällan där ansvaret formellt är lagt. De sker där jobbet görs. I HR, kundtjänst, försäljning och marknadsföring, ekonomi, drift, produkt och IT, och i leverantörsdialogen.

Det betyder inte att alla ska bli integritetsmän. Det betyder att alla som hanterar personuppgifter måste förstå grunderna och veta vad som förväntas kring integritet i sin roll. Det är GDPR som normal drift.

4) Gör rutiner rollbaserade och realistiska

Rutiner bör vara så enkla att de faktiskt används. En bra rutin är inte den som ser bäst ut i ett dokument, utan den som överlever en hektisk tisdag.

Exempel på rutiner som ofta bör finnas på plats

• Onboarding och offboarding. Åtkomsthantering, utrustning, e-post, delade ytor, avslutning av åtkomster
• Begäran om insyn. Vem gör vad, inom vilka tidsfrister och hur dokumenteras svar och bedömningar
• Leverantörshantering. Vem godkänner, vad kontrolleras, var dokumenteras det, och när omprövas leverantören
• Avvikelser och händelser. Låg tröskel för att anmäla, tydlig bedömningsprocess, lärande och förbättring.
• Ändringar. Personverbedömning som del av ändringsprocessen innan nya lösningar lanseras

5) Dokumentation som en del av rutinen, inte ett dokumentprojekt

Dokumentation behandlas ofta som ett sido krav. Det fungerar sällan. Det som fungerar är när dokumentationen uppdateras i samma flöde som arbetet, och är tillgänglig för dem som behöver den.

Ett praktiskt exempel är dokument och avtal

• Låt avtalstexten beskriva roller, ansvar, leverans och villkor, så mycket som möjligt utan personuppgifter
• Lägg personuppgifter i ett standardiserat bilaga (till exempel kontakt- och rollöversikt) som kan uppdateras och bytas ut

Effekten är ofta stor. Huvuddokumentet kan leva länge utan att dra med sig personuppgifter onödigt. Bilagan kan uppdateras när personer slutar eller byter roll. Det blir enklare att hålla ordning, och enklare att efterleva lagring och radering.

6) Verktyg som hjälper dig att hålla det uppdaterat

Verktyg löser inte svagt integritetsarbete. Men ett väldesignat verktyg kan hjälpa på två sätt. Det gör det enklare att komma igång, och det gör det enklare att hålla kontrollen uppdaterad när vardagen tar över.

Ett enkelt tecken på att ni närmar er verktygspunkten: ni lägger mer tid på att underhålla översikten än på att förbättra praxis.

Tillbaka till innehåll

Många små blir till en stor helhet

Om du vill ha framsteg utan att göra integritet till ett stort projekt, kan du börja med fem frågor. De ger ofta mer effekt än att starta med stora dokumentleveranser.

• Vad triggade detta nu
• Var behandlas personuppgifter mest, topp 3 processer och områden
• Hur håller ni er uppdaterade idag, och vem gör det
• Vilka rutiner är mest relevanta att “krydda” först
• Vad är nästa minsta steg som ger effekt

Tillbaka till innehåll

Faktaruta. Små grepp som ger stor effekt

Små omstruktureringar kan minska onödig personuppgiftshantering, göra det enklare att hålla data uppdaterad, och samtidigt göra resten av informationen mer tillgänglig, utan GDPR-brus.

• Kontrakt och avtal. Flytta personuppgifter till bilagan. Låt huvudavtalet vara så fritt från personuppgifter som möjligt
• Mötesprotokoll. Behåll beslutet som huvuddokument. Lägg personliga detaljer i bilagor.
• Rapportering. Aggregera statistik från personidentifierande data
• Kundtjänst. Undvik att duplicera personuppgifter i fritext. Hämta data från system vid behov
• E-post. Låt e-post vara transport, inte arkiv
• Excelfunktioner. Separera identitet från innehåll, och flytta när det skalar
• Delade områden. Använd mallar som minimerar fritext, och egna områden med striktare åtkomst och raderingsrutin
• Leverantörsstyrning. Gör integritet till en integrerad del av rutinen, i linje med pris och kvalitet.

Tillbaka till innehåll

Checklista. Tecken på att integritet blir en del av den normala verksamheten

• Vi vet vilka 5 till 10 processer som står för störst hantering av personuppgifter
• Integritet är inbyggt i upphandlingar, ändringar samt in- och utcheckning
• Ansvar är tydligt i linjen där data behandlas, inte bara hos en koordinator
• Insyn kan hanteras förutsägbart utan panik och detektivarbete
• Leverantörer bedöms enligt en fast och realistisk rutin
• Dokumentation uppdateras i samma takt som arbetet förändras
• Det finns grundläggande rollbaserad förståelse inom relevanta team

Avslutning

Integritet fungerar bäst när den är begriplig och relevant över roller, har tydligt ägarskap i linjen och är inbyggd i rutiner som faktiskt används. Med dokumentation som följer arbetsflödet.

Ledningen måste äga riktningen, men dataskydd måste integreras i de rutiner där arbetet sker. Ungefär som att krydda en biff. Det sker bäst medan kocken steker den.

Relaterad läsning

Databehandlingsavtalet är dörröppnaren till ömsesidig förståelse av integritetsskydd.
Om ni vill få leverantörsstyrning att fungera i praktiken, är detta en bra plats att börja.

Sportadmin-frågan. Databehandlare kan sanktioneras direkt
Ett konkret exempel på varför “säkerhet och integritet som standarddrift” inte bara är fina ord.

MFA är bra. Nätfiske-resistent inloggning är bättre
Om du vill förstå vad som faktiskt tål nätfiske, utan att bli teknisk.

GDPR och dataskydd. En kritisk guide för framåtblickande ledare
När du vill förklara GDPR med ett ledningsperspektiv, inte som en dokumenthantering.

Tillbaka till innehåll