Detta är den första av fyra artiklar om leverantörskontroll i praktiken.
Jag hör det ofta.
«Vi har gjort GDPR.»
Sagt med en blandning av lättnad och stolthet — som om det var en examen de klarat. Integritetspolicy på plats. Databehandlaravtal signerade. Samtycken uppdaterade. Projektet är avslutat. Rapporten levererad.
Men personvern är inte ett projekt.
En steklagare kryddar inte maten en gång i kvartalet. Lagaren kryddar varje dag, varje rätt, där det behövs. Kryddan finns alltid till hands — inte i ett skåp i bakrummet som bara kvalitetschefen har nyckeln till.
Integritet fungerar på exakt samma sätt.
Det är inte dataskyddsombudets jobb ensamt
I många företag är dataskydd delegerat till en enda person – dataskyddsombudet, compliance-ansvarig, eller «hon på juristen». Alla andra andas ut. Någon har ansvaret. Då kan resten göra sitt jobb.
Men det är just där det halkar.
Säljaren som lägger in en ny kontakt i CRM-systemet. HR-ansvarig som tar emot ett CV. IT-chefen som ger en leverantör åtkomst till ett system. Verkställande direktör som skriver under ett nytt leverantörsavtal.
Alla dessa ögonblick är där integritet antingen upprätthålls eller kränks. Inte i regelefterlevnadsrapporten. I vardagen.
Dataskyddsansvarigs jobb är inte att «göra dataskyddet». Det är att se till att alla andra vet tillräckligt för att göra det själva — i sina egna processer, i sin vardag.
Projektfällan
När integritet behandlas som ett projekt händer något förutsägbart. Projektet får en budget, en tidsram och ett mål. Målet nås – dokumenten är på plats. Projektet avslutas.
Men verkligheten fortsätter att förändras.
Nya leverantörer kommer till. Gamla leverantörer utvidgar sina tjänster. System integreras. Anställda byter roller. Data flyter nya vägar som ingen kartlade i projektet.
Efter ett år har du dokumentation som beskriver en verksamhet som inte längre finns. Du har en känsla av kontroll — men inte verklig kontroll.
Det är värre än att börja från noll. För då vet du åtminstone att du saknar något.
Drift betyder rytm
Att operationalisera integritet innebär inte att du behöver en stor apparat. Det innebär att du bygger in enkla rutiner i det du redan gör.
Leverantörsåtkomst: kontrolleras vid varje kontraktsförnyelse — inte «när vi kommer ihåg det». Databehandlingsavtal: har ett granskningsdatum i kalendern, likt alla andra avtal. Beredskapsplanen: testas minst en gång per år — inte som ett tankeexperiment, utan som en verklig övning. Nya system: integritetstestning före inköp, inte efter att data redan flödar.
Det är KPI:er. I linje med omsättning, kundnöjdhet och sjukfrånvaro. Inte för att lagen kräver det – utan för att det är så du driver en verksamhet du har kontroll på.
Kryddorna ska ligga i köket
God personvern praksis bygges ikke i rapporter. Den bygges av folk som vet nok til å gjøre det riktige der det teller.
Om integritet bara existerar i ett dokument som skapades i ett projekt för två år sedan – då har du ett dokument, inte en praxis.
Frågan är inte om du har «gjort GDPR». Frågan är om du gör det — varje dag, där det verkligen betyder något.
I nästa artikel tittar vi på ett konkret exempel: leverantören som gradvis fick tillgång till mer data än vad någon hade bestämt.
