Lisa Bjerre / 18.03.2019

Varning: Här är GDPR-missen som företag gör

Ett år – så länge har vi snart levt med GDPR. Många företag la ner stor kraft inför den nya datalagen, men det finns ett misstag som är både vanligt och allvarligt. Det säger Caroline Olstedt Carlström, ordförande för Forum för Dataskydd och partner på advokatbyrån Cirio.

– Många företag avslutade sitt GDPR-arbete när lagen infördes. Då var de klara med projektet, stängde det och gick vidare till annat. Men GDPR är inget projekt! Införandet av GDPR var inte mållinjen, det var ett startskott på ett löpande arbete. Och det har många missat, säger hon.

Risken är att tre saker händer när man betraktar GDPR-arbetet som avslutat:

1 Investeringen som organisationen har gjort i GDPR tappar i värde.

Kanske har företaget lagt ner både möda och pengar på GDPR-förberedelser. Om man släpper GDPR-arbetet kommer kunskaperna och processerna ganska snabbt att bli opålitliga.

– Finns det ingen som håller kunskapen vid liv tappar investeringen snabbt i värde och klingar av, säger Caroline Olstedt Carlström.

2 Företaget är inte längre GDPR compliant, det följer inte regelverket.

– Har man inte ögonen på bollen är risken stor att när man tar fram dokumentet ett år senare så stämmer inte längre innehållet. Då måste man göra om sin kartläggning. Man behöver uppdatera GDPR-dokumentationen löpande, råder Caroline Olstedt Carlström.

3 Man förlorar kontrollen över sin databehandling.

En av fördelarna med GDPR är att företaget får ordning och reda på sin data. Att följa regelverket ger en tydlighet internt, och kontroll över verksamhetens databehandling.

– Uppfyller ni inte kraven har ni troligtvis inte god kontroll. Man bör passa på att lära sig av fall som Vårdguiden, där man inte synes ha full kontroll över sin data, konstaterar Caroline Olstedt Carlström.

Lätt glömma radera data

För att undvika dessa risker behöver företagets GDPR-arbete gå in i ett förvaltningsläge.

Två saker är särskilt viktiga att förvalta löpande. Det första är avstämning av nya produkter och tjänster som införs. Det behövs rutiner för checka av mot dataskyddslagen varje gång man gör en förändring i arbetssättet – som att lägga servrar i molnet eller skaffa ett nytt projektverktyg.

– Det är lätt hänt att man för in både infrastruktur och tjänster utan att tänka på att det behöver kartläggas och komma in i systemet. Man behöver också se till att informationen till företagets kunder hålls uppdaterad, säger Caroline Olstedt Carlström.

Det andra som behöver hanteras löpande är radering av data som inte längre är aktuell.

– Förvaltningsarbetet behöver ske i bägge ändar. Någon måste se till att data tas bort när den inte längre är aktuell. Annars sitter man på alldeles för mycket information som ingen har tänkt på att radera.

Ytterligare en utmaning är internutbildning. Under förberedelserna inför GDPR utbildade kanske företaget personalen i vad regelverket innebär för just deras jobb. Det utbildningsarbetet går inte att släppa.

– Alla i verksamheten behöver påminnelser om förutsättningar och policies i organisationen. På samma sätt som man går igenom exempelvis säkerhetsutbildning någon gång varje år, behöver man också uppdatera kunskapen om dataskyddet, säger Caroline Olstedt Carlström.

Hur ska man då göra för att klara av förvaltningen av GDPR-arbetet i företaget? Caroline Olstedt Carlströms råd är se till att en person i organisationen äger frågan.

– Ägarskapet är det viktigaste. Sedan tycker jag också att det är viktigt att ledningen tar till sig detta. GDPR är en kulturell förändring och attityden till dataskydd behöver förändras i hela verksamheten, säger hon.