Pierre Ekeroth menar att GDPR är ett gyllene tillfälle att hitta förbättringar och säkerställa att man har rutiner som fungerar och som följer gällande lagstiftning.

PUL VAR EN LAGSTIFTNING som inte har fungerat som den var avsedd att göra. Många är de företag och organisationer som känner stark oro inför den nya datorskyddsförordningen GDPR som träder i kraft den 25 maj. Det är mycket att sätta sig in i och genomföra på kort tid samt kostsamt. Det blir heller inte bättre av att stora böter väntar den som inte genomför förändringarna. Istället borde man se detta som ett bra tillfälle att bli lönsammare genom digital innovation, förbättrade rutiner.

FÖR FÖRSTA GÅNGEN PÅ MÅNGA ÅR kan nu företaget kartlägga hela sitt digitala arbetsflöde, personuppgifter och IT-system. Många är kanske de arbets- och datorrutiner som tillkommit och byggts på, efterhand som företaget har växt. Man har kanske inte ifrågasatt varför och hur man använder dem.
­– Att arbeta med GDPR borde innebära att man ska kolla upp vilka processer som man har och undersöka om man arbetar effektivt. Att utgå från verksamheten och sedan applicera den, anser Pierre Ekeroth.

Att titta på de stora digitala systemen, avtalen som styr personuppgifterna och leverantörsavtal, säkerheten samt rutiner kring dem, kan vara att börja i fel ände. Om man inte får användaren att följa de rutiner som företaget har ställt upp, så har man ett ogjort arbete. Användaren har om den stöter på krångel, en tendens att använda genvägar som äventyrar säkerheten. Många är de som misstror GDPR, eftersom den tidigare lagstiftningen PUL, var tämligen verkningslös. Detta eftersom den inte gav något straff om man missbrukade den.
– Att göra ett bra arbete kring GDPR handlar till stor del om att utgå från och kartlägga hur den vanliga användaren gör sina digitala rutiner i vardagen. Man behöver komma ut till personalen och kommunicera i verksamheten, vad lagen innebär. Vad ska till exempel användaren göra då man får ett visst mejl? säger Pierre Ekeroth.

DET HANDLAR OM ATT ENGAGERA PERSONALEN. Att utbilda och göra dem delaktiga. Tala om för dem vilka unika möjligheter som den ger. Den förenklar vardagen för oss alla. Det gäller att pränta in att du som användare äger rätten till dina egna personuppgifter. Anställda behöver veta att det måste finnas ett syfte med att lagra olika uppgifter. Att lagra på sin egen dators hårddisk ska undvikas av användaren. Tydliga regler och rutiner för att lagra data i mappar och servrar för olika ärenden bör komma till för att göra arbetet säkrare.

I DEN NYA DATORSKYDDSFÖRORDNINGEN har man en mycket positiv sak och det är en incidenthantering. Att organisationer ska anmäla vissa typer av personuppgiftsincidenter till Datainspektionen inom 72 timmar efter det att överträdelsen har upptäckts. Det kan vara diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning, finansiell förlust samt brott mot sekretess eller tystnadsplikt. Detta gör det möjligt för Datainspektionen att bland annat bevaka vad de personuppgiftsansvariga gör för att motverka negativa effekter. Dessutom leder det till att myndigheten ser till så att personuppgiftsansvariga vidtar nödvändiga åtgärder vid behov.
– Det många inte inser är att Datainspektionen är ett stort stöd i arbetet med GDPR eftersom man kan fråga dem om råd vid incidenter. Viktigt är att man har säkerställda rutiner kring detta inom företaget, säger Pierre Ekeroth.

TA HJÄLP AV ETT KONSULTFÖRETAG. Vill man utveckla företaget eller känner sig osäker kan man ta hjälp externt. De ska vara skickliga i att intervjua personalen för att kartlägga beteenden. En fördel är om det konsultföretag man samarbetar med har både affärs- och verksamhetsutvecklare, systemutvecklare och utvecklare inom IT- infrastruktur (plattform). Dessa delar kan då samarbeta med företaget i fråga och tillsammans arbeta fram en optimal kundanpassad lösning. Har man sedan erfarenhet från flera olika branscher, så är det en fördel, vilket skapar kunskap och flexibilitet. Under en eller två dagar kan man genomföra workshops och utan att det behöver vara kostsamt. Man kan använda resurser inom företaget för att spara pengar.

ATT ANAMMA GDPR GER EN HELT NY TRANSPARENS. Det är en norm och standard att följa. Alla gör detta arbeta samtidigt. Lyckas man, så har man fördelen av att det blir radikalt enklare att samarbeta med både kunder, leverantörer och samarbetspartners. Arbetet är en investering som sparar pengar och på köpet blir man ett attraktivt företag.
– GDPR kan leda till nya kontaktytor genom att man samarbetar med partners kring dessa frågor och som leder till nya affärsmöjligheter. Man kommer till exempel att tänka till innan man skickar eller sparar mejl. Färre mejl kommer att skickas och med bättre innehåll. Det i sig kommer att leda till en effektivisering, tror Pierre Ekeroth.

 

TEXT: Per Oddman
FOTO: Per Oddman