GDPR- General Data Protection Regulation… Bara det långa namnet kan verka avskräckande om man inte som Carin Johansson på Fujitsu, älskar att läsa långa och krångliga lagtexter och omvandla dem till praktiskt tolkningsbara handlingar.
– Ja, jag är nog lite annorlunda på den punkten! skrattar hon när vi ses en eftermiddag på kontoret i Linköping. Men så har ju mitt jobb de senaste tjugo åren bestått i att formulera dokument och skrivningar till och för regulatoriska myndigheter, eller ”sitta på andra sidan av bordet” och tolka sådana, runt om i världen.

Till Fujitsu kom hon för ett år sedan och fokus låg redan från början på att bli expert på GDPR och sedan oktober är hon ansvarig för implementeringen av GDPR hos bolaget och internt gentemot dess kunder i Sverige. Hittills har hon utbildat ungefär 200 personer i att förstå hur man ska omsätta GDPR i de egna arbetsuppgifterna.
– När EUs Dataskyddsdirektiv utfärdades 1995 tog det oss i Sverige 3 år att omvandla direktivet till den nationella lag som vi alla känner igen som PUL. Men det som då var ett EU-direktiv tolkades naturligtvis olika i olika länder. När nu GDPR, som till skillnad från Dataskyddsdirektivet är en förordning och alltså i princip inte ger utrymme för nationella tolkningar, ska harmonisera personskyddet i hela EU, då har de som arbetar efter PUL redan en bra grund och kan egentligen fokusera på det som är skillnaden mellan PUL och GDPR, säger hon.

Att många företagare inte ens börjat med sitt GDPR-arbete, när det i skrivande stund bara är en månad kvar tills den nya lagen träder i kraft, tycker Carin tyder på något av en struts-mentalitet. Man har helt enkelt inte orkat sätta sig in i det 100 sidor långa regelverket plus det stora antalet utredningar av hur andra lagar berörs av GDPR, vad det innebär och hur man ska hantera det.
– Men många har fått lite eld i baken nu när de inser vilka bötessummor det handlar om, berättar Carin. Den högsta summan är på 20 000 000 euro eller 4 % av den globala årsomsättningen. Mindre förseelser kan bestraffas med 10 000 000 euro eller 2 % av omsättningen. En nyhet är att även myndigheter enligt förslaget ska, trots att man delvis kan luta sig mot offentlighetsprincipen, kunna bötfällas med maximalt 10 000 000 svenska kronor om man inte följer GDPR.
Hon betonar att GDPR är ett styrelseansvar, som inte kan delegeras. Och det finns inga quick-fix. Alla företag har sina olika områden att arbeta med, och om man inte är fullt insatt i vad GDPR innebär ska man absolut ta hjälp av expertis. Någon som kan förklara vad som är aktuellt att jobba med i just det här företaget. Medvetenhet är otroligt viktigt, menar hon och säger att ett första steg är att göra upp en plan, och dokumentera, för att kunna visa upp hur man har tänkt fortsätta jobba.
– GDPR handlar inte, som många tror, enbart om IT-system, nätverk, behörighets- och säkerhetslösningar, säger Carin. Det handlar också om policys, processer och rutiner. Om att ha alla legala dokument på plats. Man behöver även se över organisationen. Man ska kunna visa vilka uppgifter man har, varför man har dem, och hur länge man tänker ha dem innan de ska tas bort och på vilken rättslig grund man hanterar olika data. Det ska finnas dokumenterat vem som har tillgång till vilka uppgifter och hur rutinen ser ut för hanteringen när någon till exempel vill bli raderad.
Allt detta regleras utifrån sju grundläggande principer vilka tillsammans med formuleringarna av den registrerades rättigheter utgör navet i hela GDPR. Här ser Carin ett stort behov av utbildning för att göra hanteringen greppbar och förståelig för den personuppgiftsansvarige och dess personuppgiftsbiträden likaväl som för den registrerade. Att bryta ner regelverket i lagom stora portionsbitar och förvandla det stora otäcka GDPR-spöket till lilla hanterbara spöket Laban.

Hur kan man då rent konkret jobba med GDPR i sitt företag? Fujitsu har utvecklat en 4-stegsprocess som Carin jämför med sjukvårdens akutbehandling. För det första; Var finns problemen? Utvärdera nuläget, hitta gapen. Var blöder det? Andra steget är att stoppa blödningen. Att analysera och göra riskanalyser, ta fram strategier och handlingsplaner. Steg nummer tre är att börja arbeta efter de framtagna riktlinjerna. Att behandla såren på rätt sätt så att de läker. I det här fallet genom en korrekt hantering av persondata. Och till slut; Förebygga och säkerställa att en liknande skada inte kan uppkomma igen. Det vill säga att arbeta kontinuerligt med säker drift, underhåll och support.
– Dokumentera! uppmanar Carin. Dokumentera mera och dokumentera lite till! Det räcker inte att göra rätt- Du måste kunna visa att du gör rätt!

Hon berättar att det finns fem olika nivåer av mognadsnivåer inom GDPR där 0 betyder att det saknas arbete över huvud taget, 1 är minimal nivå och 2 är grundläggande. Nivå nummer 3 är godkänd, 4 är sofistikerad och vid nivå 5 är man marknadsledande.
– Definiera vilken nivå just ert företag måste uppnå, och vilken nivå ni vill upp till, tipsar Carin. Ett gediget GDPR-arbete kan vara en konkurrensfördel gentemot dina konkurrenter och en kvalitetsstämpel ut mot dina kunder.

Hon menar också att man kan se på GDPR- arbetet som ett städprojekt som innehåller en hel del delar som kanske redan borde ha gjorts, men när man nu tar tag i det kan man passa på utnyttja det stora arbete man ändå gör till att skydda, inte bara persondata utan all information som är skyddsvärd i verksamheten.
– Alla företag har sina hemligheter som man inte vill ska hamna i orätta händer. Var smart och passa på och skydda dem också, när ni ändå gör GDPR-jobbet för att skydda persondata, tipsar hon.

 

TEXT: Mirjam Lindahl
FOTO: Mirjam Lindahl