GDPR blev snabbt en het potatis och ett stort fokus för många företag under hösten 2017 och våren 2018. Den 25 maj 2018 började EUs dataskyddsförordning, GDPR att tillämpas, och rapporteringen och de flesta verksamheters dataskyddsarbete klingade av. Äntligen var den stora kapplöpningen över. Men vad hände egentligen sen? Var hoten om höga bötesbelopp bara tomma ord? Vi reder ut vart ert fokus kring GDPR bör ligga framöver utifrån de vanligaste frågeställningarna.
Vi är fortfarande osäkra på vad GDPR egentligen kräver. Vad bör vi göra?
GDPR är inte helt enkelt, utan är ett regelverk öppet för tolkningar och det är knepigt att ibland få ett rakt svar på en GDPR fråga. Med tiden kommer praxis att skapas vilket kommer att underlätta. Oavsett tolkningar behöver man komma ihåg att en lag alltid är en lag, och visst kan man chansa på att inte följa den, men det finns ett otroligt stort värde i att få en god kontroll över den information som flödar i företaget och som är kopplat till GDPR och stärker företagets varumärke. Det är därför en god idé att ta hjälp av ett dataskyddsombud som varje bolag kan utse och i vissa fall har en skyldighet att utse och som kan stötta i frågor man är osäker på.
Vi är klara med vårt GDPR arbete. Vad behöver vi som företag göra idag?
Arbetet med GDPR bör vara som en levande organism, som aldrig tar slut och som bör utvecklas i takt med att företaget växer och förändras. Verksamheten måste vara observant på förändringar inom bolaget och analysera dessa förändringar utifrån GDPR för att identifiera nya åtgärder som behöver implementeras.
Medvetenheten kring GDPR behöver genomsyra hela organisationen
En verksamhet måste inse att GDPR innebär en attitydförändring för alla inom företaget, oavsett teknik, verksamhet eller funktion. Som företag innebär detta bland annat att få bättre kontroll på sitt nuläge i relation till GDPR och klargöra de gap som finns, samt genomföra åtgärder för att möta gapen genom att upprätta kontrollfunktioner och styrdokument. Processer behöver upprättas för att säkerställa att verksamheten fortlöpande efterlever regelverket och att information om GDPR kontinuerligt sprids inom företaget.
Ett tips är att läsa den tillsynsplan som Datainspektionen tagit fram. Tillsynsplanen anger de huvudsakliga områden som kommer att granskas under året utifrån mediala händelser eller särskilt känsliga uppgifter. Genom att ta del av planen kan ni förbereda er på vilka områden datainspektionen framöver kommer att fokusera på.
Vilka är nycklarna till ett lyckosamt GDPR arbete?
Ansvarsfrågan är oerhört viktig. Säkerställ att ni tydligt inom organisationen vet vem som äger informationen. En fälla är att attityden inte förändras hos de anställda, och där fyller ledningen och cheferna en enormt viktig funktion i att se till att förändringen sker. Gemensamt för de mest lyckosamma implementationerna av GDPR är att det har funnits en medvetenhet inom hela organisationen i de frågor som rör regelverket.
Det är även viktigt att vara ödmjuk inför att all IT och leverans av information enligt GDPR innebär ett stort arbete, för att inte prata om alla avtal/texter som kontinuerligt behöver skrivas om och alla tolkningar som behöver göras. Dataskyddsarbete är ett arbete som hela tiden måste pågå och som tar mycket kraft från linjen. Se därför till att avsätta tillräckliga resurser i form av tid och kompetens för att kontinuerligt arbeta med dessa frågor.
Behöver din organisation hjälp i ert GDPR arbete? Vi genomför bland annat genomlysningar, implementationer och driver förändringsarbete för att säkerställa er regelefterlevnad. Hör av dig till oss så hittar vi den lösning som passar just er.