Hur tar man sig an GDPR?

Elias Björnestål Insikter

Den digitala utvecklingen har påskyndat dataskyddsreformen inom EU och lett fram den nya dataskyddsförordningen GDPR som träder i kraft i maj 2018. Centigo ger här sin syn på hur ett GDPR-initiativ bör drivas för att bäst hantera de hot och möjligheter som kommer att kanta vägen fram till maj 2018.

GDPR berör många inom en verksamhet

Vi arrangerade nyligen ett event om GDPR och när vi frågade deltagarna hur långt man kommit i GDPR-arbetet svarade 14% att de är på god väg eller har full kontroll. 43% har inte påbörjat något arbete alls. Många verksamheter försöker förstå i vilken ände de ska börja. Vem ska driva initiativet? Vem äger frågan? Hur mycket behöver man egentligen göra? Och vad ska man göra?

Vi frågade också vilka som är engagerade i initiativet och kan konstatera att GDPR idag till stor del drivs av IT och/eller Juridik/Complience.

Vi är övertygade om att GDPR är en så pass omfattande förändring för många verksamheter att den måste drivas tvärfunktionellt – att tro att enskilda funktioner löser allt som behöver komma på plats är att tro på underverk. GDPR kommer att få stora konsekvenser för många funktioner, personer, system och processer i en verksamhet som hanterar personuppgifter.

Samtidigt tror vi inte att GDPR-förordningen endast kommer att utgöra ett hot. Vi ser många möjligheter i samband med att man lyfter på locket och rör runt – att faktiskt adressera integritetsfrågan vid utformning av processer och system kan skapa en bättre kundupplevelse!

Vad behöver man göra?

I GDPR-arbetet är det många saker som behöver göras, vi har listat de saker som vi tror att de allra flesta behöver göra på någon nivå. Vilken nivå som passar avgör respektive verksamhet utifrån sin riskbenägenhet.

  • Datainventering – Gör en genomlysning av vilken information ni har, vilka behandlingar gör ni, vilken är den lagliga grunden för behandling, hur efterlevs minimeringsprincipen att inte ha mer information än vad som krävs för varje enskild behandling.
  • Organisation och styrning – Utgå från dagens PuL-regelverk (om det finns ett) och uppdatera utifrån GDPR. Fundera över vem som ansvarar för efterlevnaden för respektive personuppgift och vem som fattar beslut om vilka behandlingar som får genomföras, eller om det t ex krävs ett nytt samtycke.
  • Översyn av avtal och villkor – Identifiera eventuella personuppgiftsbiträden, dvs en tredje part som hanterar era personuppgifter å era vägnar, behöver dessa avtal uppdateras? Hur ser anställningsavtalen för era anställda ut, informerar ni om att de anställdas personuppgifter kommer att användas för vissa ändamål?
  • Riskbaserat arbetssätt – Hitta ett arbetssätt som passar er och prioritera utifrån risker. Allt kanske inte behöver vara klart till maj 2018, men börja med de största riskområdena.
  • Bygg in dataskydd i processerna – Att sätta upp en kontrollfunktion som bara är avsedd för att följa upp efterlevnad av GDPR kanske känns som den enklaste lösningen, men på sikt tror vi inte att en sådan modell kommer att bli effektiv eller populär i den övriga verksamheten. Se istället till att lägga ansvar och kontroller i verksamhetens ordinarie arbete. Kanske krångligare att införa, men långsiktigt en bättre investering.
  • Skapa medvetenhet – Se till att alla anställda vet vad som gäller i er verksamhet, en kedja är aldrig starkare än den svagaste länken. Vår erfarenhet är att denna fråga faktiskt är en uppskattad diskussionspunkt!
  • Identifiera möjligheter på vägen – Passa på att lyfta fram integritetsfrågan i er organisation och prioritera de områden som även ger andra vinster.

Hur gör man? Driv GDPR som ett tvärfunktionellt projekt

Vi rekommenderar att man driver frågan som ett projekt, för att få kontroll över arbetet. Utgå från den projektmodell som ni använder till andra projekt som alla känner igen sig i. Alla projekt kommer se lite olika ut, men vi kan utgå från en generisk projektmodell och resonera kring hur man kommer igång.

Under initieringen gäller det att hitta sponsor, styrgrupp, sätta mål och ambitionsnivå. GDPR berör flera delar av verksamheten och det är inte säkert att det från början är tydligt vilka som ska vara engagerade och vilka som ska äga frågan, bestäm formerna tidigt för att underlätta det fortsatta arbetet. Det är även viktigt att göra en kompetensinventering och bestämma om ni behöver ta hjälp med något och vilken kompetens som finns internt. Ni kommer behöva både juridisk kompetens och genomförandekraft. Vilket angreppssätt som passar er beror på er ambitionsnivå och verksamhetens struktur. Bemanningen av projektet kan se olika ut mellan olika verksamheter och kan behöva variera under projektet, utgå ifrån vilka som har kunskap om era personuppgifter och behandlingar idag.

Det första steget under förstudien är att kartlägga nuläget, vilka personuppgifter har ni, vilka behandlingar gör ni och hur ser dagens regelverk inklusive efterlevnad ut. Utifrån nuläge görs en analys av vilka åtgärder som krävs för att efterleva GDPR. Prioritera dessa åtgärder utifrån risk och prioritera de åtgärder som har andra positiva effekter och kanske finns det uppstartade initiativ som man kan hänga på. Det kan även vara bra att tidigt bestämma den långsiktiga organisationen för GDPR för att involvera rätt personer i projektet och kunna använda samma grupperingar och strukturer i projektorganisationen för att jobba in den långsiktiga organisationen.

Under planeringen detaljeras de prioriterade åtgärderna till krav och lösningsförslag och kanske är det dags att planera för införandet av den långsiktiga organisationen och hur man skapar medvetenhet i hela verksamheter.

Genomförandet liknar nog mest ett ”vanligt” projekt där de beslutade åtgärderna införs i form av nya lösningar, uppdaterade avtal, nya/ändrade processer, utbildning, tillsätta nya roller och införa nya ansvarsområden.

Utmaningar

Det finns många utmaningar som man kan stöta på under vägen, här är några vanliga utmaningar som vi har identifierat och som ni kan diskutera om det kan vara utmanande för er:

  • Individens rättigheter stärks – innebär bl a att den registrerade ska kunna bli glömd och få sin information raderad, men en del information kan behöva sparas för att kunna uppfylla andra lagkrav. Den registrerade ska även kunna få veta vilken information som finns om hen och det ska även vara möjligt att få ut informationen i ett format som går att portera till en annan aktör.
  • Samtycke – Att kunder t ex måste lämna sitt samtycke för att personuppgifter ska kunna sparas och behandlas är inget nytt, utan har funnits sedan tidigare, men det finns högre krav på att samtycket ska vara skrivet på ett sätt att alla förstår innebörden och det ska vara särskilt.
  • Missbruksregeln försvinner – Missbruksregeln innebär att personuppgifter i ostrukturerat format är undantagna från dagens personuppgiftslag (PuL). Sverige försökte få med detta undantag i GDPR, men det godkände inte EU, vilket innebär att personuppgifter som hanteras i ostrukturerat format såsom i mail, dokument, excelfiler etc. kommer att omfattas av GDPR. Vilka praktiska konsekvenser det får återstår att se.
  • Yttrandefrihet och offentlighetsprincipen – Sveriges grundlagar skiljer sig från övriga Europa, särskilt offentlighetsprincipen och grundlagsskyddet för medier. Sverige behöver utreda och argumentera för att våra lagar är förenliga med förordningen.
  • Datasäkerhet – Kravet att skydda personuppgifter blir högre, särskilt känsliga uppgifter, eller uppgifter om barn. En ny kategori uppgifter klassa som känsliga: Biometriska uppgifter.
  • Incidentrapportering – Intrång i personuppgiftsregister ska rapporteras inom 72 timmar till berörda och till datainspektionen.
  • Behörighetsstruktur – För att skydda de registrerade behöver man säkerställa att bara de personer som behöver ha tillgång till uppgifterna kommer åt dem, vilket kan bli praktiskt svårt att kunna styra behörigheter på en mer detaljerad nivå.
  • Informationshantering – Det finns flera generella utmaningar om hur information som innehåller personuppgifter ska hanteras. T ex arkivering, back-uper, kryptering, anonymisering av testdata, shadow-IT som inte styrs genom IT-funktionen (t ex att medarbetare använder drop-box)

GDPR i kundnära verksamheter

Framöver kommer förmågan att kombinera framåtlutande utveckling inom Customer Experience med kundintegritetsfrågor vara avgörande för framgång inom kundnära verksamheter.

Framtidens konsument

Konsumenten av idag är inte lika lojal som tidigare. Konsumenter byter friskt relationer i jakten på den för tillfället bäst fungerande upplevelsen här och nu. För att vara relevant måste aktörer på marknaden utforma tjänster och upplevelser kring den specifika konsumenten för att i stunden – där och då – vara relevanta och täcka det behov som finns. Helst utan att vara påträngande eller ställa för mycket krav tillbaka.

Vi tror att med en relation som är upprättad på lika villkor med en öppen och fungerande dialog i alla kanaler blir viljan att interagera och konvertera avsevärt större. Om tillit till leverantören finns är kunden mycket öppnare för att dela personuppgifter och öka sitt engagemang. En förutsättning för personifiering och individuell behovsanpassning är analys av stora datamängder och förmågan att utifrån analysens resultat utveckla flexibla och relevanta produkter och tjänster. Detta kräver ofta helt nya angreppssätt, produkter, kompetens, system, processer och organisation. Integritetsfrågan ger ytterligare en möjlighet att tidigt i kundrelationen identifiera, anpassa och skapa ytterligare relevans.

Att jobba kundcentrerat med GDPR

Kundperspektivet är en central del i Centigos arbete inom kunddriven affärsutveckling. Vi arbetar ständigt med att identifiera hur vi kan stärka våra kunders kunskaper, verktyg och processer externt och internt.

Ofta tar vi oss an uppdrag där det handlar det om att identifiera kundens tankegångar, känslor, upplevelser och tillvägagångssätt i relation till upplevelser från olika produkter och tjänster. Exempel på metoder att använda är Customer Journey Mapping och Value Proposition Canvas. Men är de metoderna verkligen applicerbara ur ett integritets- och personuppgiftsperspektiv? Ja, i allra högsta grad! De ger oss möjligheten att tydligare och tidigare identifiera människors positiva och negativa upplevelser, tankegångar, känslor i interaktioner mot företaget och organisationen och göra förändringar. Att redan nu i GDPR-mobiliseringen sätta på sig kundglasögonen ger möjligheter att genom ökad transparens och tydligt ställningstagande för kunders och anställdas integritet stärka både förtroende i relationen och varumärket.

7 summerande tips om hur man bör hantera GDPR-frågan

  • Börja nu – tiden fram till maj 2018 går snabbt, det finns ingen anledning att vänta.
  • Tänk tvärfunktionellt – se till att bredda frågan och involvera alla funktioner som har beröring till kund- och personuppgifter
  • Riskbaserad prioritering – vid prioritering av vilka aktiviteter som ska utföras först, utgå ifrån de som medför störst risk
  • Ta hjälp vid behov – gör en kompetensinventering och komplettera er egen organisation med de förmågor som behövs, t ex juridiskt stöd och genomförandekraft
  • Identifiera möjligheter – när ni ändå gör anpassningar och förändringar, agera proaktivt och fånga de möjligheter som finns för att förbättra upplevelsen i samband med integritetsfrågor
  • Scope-hantering – det är lätt hänt att projektet sväller. Sätt tydliga scope och håll i dem för att komma framåt.
  • Tänk långsiktigt redan från början – det handlar inte om att vara klara med allt i maj 2018. Utforma processer och en organisation som kan hantera integritetsfrågorna löpande för att jobba med ständiga förbättringar.

På Centigo hittar du ovanligt engagerade människor med en unik kombination av spetskompetens och förändringskraft. Utifrån ett helhetsperspektiv utvecklar vi tillsammans med våra kunder spänstiga och välmående företag och organisationer. Vi kallar det Business Wellness. Ur ett GDPR-perspektiv hjälper vi organisationer att komma igång och tillför genomförandekraft. Vi stöttar med metoder inom förändringsledning, kartläggning av kundresor och val av affärslösningar.

 

Författare:

Cecilia Landsberger, Erik Thorén, Michael Ericsson, Ellen Bergh