Ain’t no mountain high enough: 5 ÅR MED GDPR (DEL 2/2)
"Det var den allra bästa av tider, och det var den allra värsta. Det var visdomens tid, det var oförnuftets tid. Det var både trons och vantrons epok. Det var ljusets årstid och mörkrets årstid, hoppets vår och förtvivlans vinter. Allt låg framför oss, och intet låg framför oss.”
― Charles Dickens, Historien om två städer
I maj för 5 år sedan trädde GDPR i kraft, vilket vi uppmärksammade i ett första blogginlägg om utmaningar verksamheter står inför idag kopplat till dataskyddsarbete och orsaker därtill. På sätt och vis har GDPR inte bara inneburit en evolution utan en revolution, om än något annorlunda den franska revolution som Dickens skildrar.1 Vi fortsätter nu där vi senast lämnade tangentbordet och funderar på byggstenarna hos ett framgångsrikt dataskyddsarbete. Inte nog med det, när vi delar med oss av våra observationer gör vi det med utgångspunkt i verksamhetsutveckling och förändringsledning. Vår önskan är att bidra med praktiska tips och råd om hur ni som jobbar med dataskyddsfrågor och driver relaterade projekt kan göra det med ännu större effekt.
I det här blogginlägget kommer vi att gå igenom:- Behovet av att veta varför ni kan behöva se över ert dataskyddsarbete samt underliggande faktorer som gör det motiverat, såsom risker förknippade med kostnader, affären eller exponering mot tillsynsmyndigheter.
- Hur ett fortsatt dataskyddsarbete kan förankras hos högsta ledningen genom ett s.k. Business Case.
- Betydelsen av en tydlig målbild och hur ni skapar den för att förstå er ambitionsnivå.
- Hur ni tydliggör nuläget och börläget i en gapanalys.
- Hur en övergripande åtgärdsplan kan skräddarsys.
- Vikten av att skapa ett dataskyddsarbete med lång hållbarhet genom att respektera förändringen med tydliga handlingsplaner.
Här hittar du länken till det första blogginlägget i denna tudelade bloggserie.
1. Varför är det viktigt för er?
Vi börjar med att ta reda på varför det över huvud taget finns ett behov av en överblick, d.v.s. varför ett projekt eller förändringsarbete ska prioriteras i förhållande till övriga initiativ. Grundargumentet bottnar ofta i att man antingen har någonting att vinna på att agera för att inte tala om att förlora på att inte agera (vi talar trots allt om GDPR här). Vi tänker att ni med fördel kunde utgå från någon av dessa vanliga utgångspunkter:
Onödiga och höga kostnader
Det är ofrånkomligen så att dåligt fungerande processer, otydligheter vad gäller den interna ansvarsfördelningen samt förståelse därtill är enorma tidstjuvar. En följd av detta är att arbetet ofta blir ineffektivt trots att förutsättningar finns i form av beskrivna processer, mallar, systemstöd m.m. Som bekant omvandlas tid väldigt fort i pengar. Det säger sig kanske självt att denna brist på optimerade systematiska arbetssätt är tätt förknippad med omotiverade kostnader, speciellt om arbetet behöver göras om och om i brist på kontinuitet. Systematisera det interna arbetet och ni sparar pengar.
Affärsrisken
En intressant aspekt av dataskyddsrisker är den som är förknippad med den ökade medvetenheten hos marknaden. Om inte en organisation kan ge tillfredsställande svar på frågor och i övrigt demonstrera efterlevnad av krav kan detta snabbt skapa friktioner i befintliga affärsrelationer men också bortfall i affärsmöjligheter med intäkter ifall den egna organisationen blir bortvald till följd av bristande kunskap om dataskydd och därmed förknippade skyddsåtgärder m.m. En annan nära anknytande risk är organisationens oförmåga att uppmärksamma avtalsmässiga ansvars- och skadeståndsbegränsningar i t.ex. personuppgiftsbiträdesavtalet och därmed åta sig alltför mycket risk (läs alldeles i onödan).
Det exponerade missnöjet
Känner din organisation till konsekvenserna av att t.ex. rapportera personuppgiftsincidenter till tillsynsmyndighet (IMY) för sent – eller inte alls? Många organisationer undviker gärna negativ publicitet och exponering mot tillsynsmyndighet (inte minst för tillsyns- och sanktionsrisken men även för andra påföljder). Däremot kan något så enkelt som bristande eller icke-prioriterad ärendehantering göra att effekten av t.ex. kundmissnöje underskattas. Individer har rätt att lämna klagomål till IMY och eftersom klagomål trots allt som utgångspunkt är offentliga uppgifter finns här en viss ryktesrisk för er att hantera. Vet ni vilka klagomål som inkommit relaterat till ert dataskyddsarbete? Om inte så föreslår vi att ni hör av er till IMY och helt enkelt efterfrågar denna information för att ta reda på om det finns ett missnöje riktat mot er och som kunde väcka uppmärksamhet. Varför inte utmana den rådande munterheten i er optimism bias och utforska om ni faktiskt har en blottad akilleshäl som ni borde vara medvetna om?2
2. Förankra hos högsta ledningen
Vi kan inte säga det på något annat sätt: för att lyckas med en förändring, eller en större förflyttning, behöver högsta ledningen stå bakom arbetet. Ett projekt som drivs utan stöttning från högsta ledningen har sämre förutsättningar för att lyckas. Varför? Det handlar helt enkelt om att förutsättningarna ofta avspeglar sig i de resurser som projektet tilldelas, hur uppgifterna prioriteras i förhållande till övriga uppgifter samt i berörda parter och intressenternas engagemang. Annars finns det risk för att personer tackar nej till möten, inte har tid att utföra sina uppgifter eller inte åtar sig uppgifter (eller den välbekanta tystnaden som uppstår efter frågan ”Vem kan tänka sig att utreda detta?”).
Förankringstips
Fått audiens hos högsta ledningen? Prima. Nu är det dags att omvandla någon/några av ovan nämnda utgångspunkter om varför ett gott dataskyddsarbete är viktigt för just din organisation. Ni är såklart fria att hitta ytterligare omständigheter som är som mest angelägna för er, det viktiga är att argumenten för att se över dataskyddsarbetet är tydliga och underbyggda. Ett tips är att ta fram ett s.k. Business Case, som motiverar en investering genom en konkret uträkning för kostnader och intäkter samt ett antal strategiska argument (beskriv t.ex. möjligheter, svårigheter samt gör en riskbedömning) kopplat till den utgångspunkt som ni använder.
Detta kunde t.ex. handla om hur många timmar det idag tar för er att utreda incidenter, gallra uppgifter eller utföra risk- och konsekvensbedömningar. Här kunde det även innebära att ändra utförandet till att t.ex. ta i bruk ett lämpligare system eller att allokera resurser på ett mer effektivt sätt och dessutom tydliggöra roller samt ansvar i organisationen. Om ansvaret är delegerat och rollerna tydliga kommer hanteringen av t.ex. incidenter att ta mycket mindre tid och kraft av organisationen. Kom ihåg att det är viktigt att tydligt koppla argumenten till risker eller vinster för kärnaffären så väl som era intressenter (kunder, konkurrenter, IMY m.m.). Här vill vi, vänligt men bestämt, passa på att höja ett varningens finger. Det är lätt hänt att snegla lite väl mycket på andra verksamheter när ni bygger era argument. Även om dessa (samt tidigare erfarenheter) kan tjäna som inspiration är det viktigt att ni försäkrar er om att argumenten faktiskt stämmer överens med er egen verklighet för att de ska få effekt.
3. Sätt en tydlig målbild
Positiva signaler från ledningen? Snyggt. Innan förändringsarbetet kan dra i gång rekommenderar vi att ni tillsammans med ledningen fastställer en övergripande målbild och sätter ambitionsnivån därefter. Vi förstår att ni är ivriga (det är vi också) men utan att veta vart ni är på väg och hur ni rimligtvis ska nå dit blir vägen onödigt snårig. Här tänker vi att ni kan utgå från er befintliga förståelse av ert nuläge, men även relevant omvärldsbevakning, era affärsrelationer och inte minst kärnaffären i övrigt och utifrån denna samlade bild föra en dialog kring vilka områden som är allra mest kritiska att se över. För att skapa en översikt som ger bäring rekommenderar vi att ni därefter resonerar kring var ni är på en s.k. mognadsskala. En mognadsskala är en skala som visar hur väl ett område är integrerat i verksamheten. Den börjar på nivån obefintligt till högsta nivån där man ser ett tydligt affärsvärde med att vara en föregångare på området.
Avslutningsvis bör ni ställa er den uppfriskande ärliga frågan om vilken nivå ni vill vara på mognadsskalan när det kommer till olika typer av identifierade frågor, verksamhetsområden, avdelningar m.m. Vill ni darra på ribban till regelefterlevnad eller till och med vara föregångare på vissa områden? Det kan t.ex. handla om att ni ser en affärsnytta i att vara en föregångare och/eller att skapa förtroende hos era motparter genom att uppvisa en mognad på ett sätt som era eventuella konkurrenter inte gör.
4. Analys och definition av gap
Från nuläget
Efter att ni satt en målbild och ambitionsnivå med ledningen är det dags att gå tillbaka till er kammare för att klura på hur ni i praktiken kommer att nå dit. Egentligen är det inte konstigare än att ni identifierar områden för ineffektivitet under er nulägesanalys, vad det är som brister och troliga orsaker därtill. Ibland är det svårt att se skogen för alla träd och sällan är exakt allt på tok (trots att det kan kännas så). En av de största utmaningarna är att hitta svaret på följande fråga: vad är det egentligen som skaver?
Försök lista ner allt ni kommer på, högt som lågt. Hur oinspirerande det än må vara rekommenderar vi en genomlysning av bland annat processer, system, policys, mallar och systemstöd som en del av denna övning. Hänger dessa ihop utifrån ett helhetsperspektiv? Finns det olika mognadsgrad på avdelningarna och beroende på vilken fråga det handlar om? Vissa processer fungerar troligtvis bättre än andra, t.ex. om de har bättre förutsättningar därtill såsom välfungerande systemstöd eller används oftare än övriga.
Till börläget
När det s.k. börläget definieras tar ni stöd av målbilden och ambitionen. Grunden för definitionsarbetet är även era tidigare undersökningar av omvärlden, djupdykningar av nuläget och övriga insikter ni har fått under arbetets gång. Här är det viktigt att tänka att dataskyddsarbetet ska vara effektivt idag, imorgon och i övermorgon, så visualisera den framtida teknik- och organisationsutvecklingen som sannolikt kommer att påverka din organisation framöver. Det finns ingen kristallkula men har ni kanske ett hum om vad som är på ingång?
Planera även för hur ambitionsnivån och övergripande målsättning ska förankras hos berörda delar av organisationen. Det kan t.ex. röra sig om en kommunikationsplan som innehåller utbildning, workshops eller specifik information riktad mot olika målgrupper. Vi förespråkar starkt att målgruppsanpassa innehållet så att det kopplas till arbetsuppgifter, att det har rätt detaljnivå och att berörda grupper involveras i hur de själva ser på sina utmaningar, nuläge och börläge.
5. Strategier och tips för övergripande åtgärdsplan
Nämen! Då har ni förankring, målbild, ambition och gapanalys på plats. Därutöver behöver dataskyddsarbetet hänga ihop på ett övergripande plan, egentligen bara av den enkla orsaken att vi vill att det ska vara tidseffektivt och underlätta regelefterlevnad. En orsak så god som någon. Dataskyddsfrågor kan vara väldigt konkreta, men blir det för detaljerat hinner verksamheten inte med, och det finns inte tid/resurser för att slutföra och underhålla arbetet framåt.
Systematisera
Vi förespråkar varmt att ni systematiserar ert dataskyddsarbete. Vad vi pratar om när vi pratar om att systematisera kan t.ex. innebära att centralisera den behövliga informationen på sådant sätt att samma information inte behöver inhämtas/upprättas flera gånger. Smidigt eller hur? Har ni tänkt på att mycket i GDPR i själva verket hänger ihop? Det är t.ex. väldigt lika information som behövs för behandlingsregistret som behövs för risk- och konsekvensbedömningar som behövs för information till de registrerade o.s.v. Vi föreslår att ni drar nytta av detta kostnadsbesparande och resursfrigörande tankesätt och funderar på hur delarna logiskt kunde hänga ihop i er verksamhet så att ni inte behöver hantera regelefterlevnad genom frikopplade punktinsatser. En annan stor fördel är att undvika det knöliga i att underhålla olika information om samma företeelse.
Riskprioritera
Ett annat tips är att prioritera utifrån risk, vilket då behöver göras utifrån en modell som ni tar fram för er organisation och som kategoriserar integritetsriskerna i en tydlig skala för verksamheten. Riskprioritering kan utgöra underlag för ert arbete med t.ex. konsekvensbedömningar om ni har många som ni identifierat att ni behöver genomföra. När det är snårigt är det lätt att gå vilse och ett bra sätt att komma i gång är att inledningsvis lägga riskbedömningar på en högre nivå, utifrån t.ex. process för att identifiera de områden med höga risker som därefter behöver analyseras ytterligare. Den metodiken innebär att verksamheten som helhet kan genomlysas snabbare för att identifiera och bedöma de högsta integritetsriskerna först.
Nytta vs. insats
En prioringeringsmodell vi tycker är behändig när åtgärdsplanen konkretiserats med tid och resurser är en matris över nyttan jämfört med insatsen. Är åtgärden lätt eller svår att genomföra och har den stor eller liten effekt på dataskyddsarbetet? Ni kan även visualisera denna prioritering med två axlar som delas in i fyra rutor.
6. Tydliga handlingsplaner
Avslutningsvis är det viktigt att skapa förutsättningar för ett dataskyddsarbete som kan leva vidare. Kom ihåg att förändring är en naturlig del av processen och något som behöver ges tillräckligt med utrymme för att skapa hållbarhet. Det är därför viktigt att verksamheten kan förbereda sig på omställningar och utmaningar genom att det faktiskt finns en realistisk plan för att hantera dem. Den övergripande åtgärdsplanen behöver därför kopplas till tydliga, mer detaljerade handlingsplaner för de berörda medarbetarna. Konkreta åtgärder med tydliga mål och incitament för berörda parter ökar dessutom engagemang och delaktighet. Medarbetarna måste förstå vad som förväntas, hur de bidrar och att det arbete de gör värderas.
När ni har ett första utkast på handlingsplanen, läs igenom den från en medarbetares perspektiv. Är den tydlig eller finns det utrymme för (fel)tolkning? Finns det förutsättningar för medarbetarna att göra rätt med tanke på deras andra arbetsuppgifter, processer, arbetsbelastning m.m.? Tanken är som bekant att underlätta och inte att uppfinna nya skavsår.
Voilà! Innan ni vet ordet av har ni ett dataskyddsarbete i rullning, skapat revolutionerande (men på det bästa av sätt) förändring och flyttat berg.3
Välkomna ut på andra sidan!
Detta är en iakttagelse av 5 år med GDPR och vi vill avsluta med en tankeställare om de nästföljande 5 åren. Hur kommer världen att se ut 10 år efter att GDPR trädde i kraft? Charles Dickens skrev i mitten av 1800-talet (intet ont anande) om att det var den allra bästa av tider och den allra värsta. Som bekant skapar ny teknik nya problem. Artificiell intelligens är t.ex. redan del av vår vardag och har redan presenterat en uppsjö av nya möjligheter men också stora utmaningar. Ett starkt dataskydd och skyddet för människors integritet blir allt viktigare i ljuset av en utveckling som går allt snabbare. Likt Charles Darnay ser vi hur du kämpar för rättvisa och de risker du tar för att upprätthålla värderingar. Om ingen annan sagt det till dig idag är vi tacksamma för att du engagerar dig i dataskyddsfrågor för du gör skillnad. Stort lycka till med det fortsatta dataskyddsarbetet!
***
På Knowit jobbar vi med dataskydd, verksamhetsutveckling och förändringsledning. Genom att arbeta systematiskt med frågorna och involvera verksamheten kan ni vara konkurrenskraftiga, hitta nya affärsmöjligheter och minska risken. Skulle ni behöva hjälp med att identifiera nuläge, målbild och en kontinuerlig process för att arbeta med dataskydd så finns vi här.
-----
Johanna Wallnäs, Verksamhetsutvecklare och strateg
Jannika Törnqvist, Senior dataskyddsjurist
Fotnoter
1: Förvisso.
2: Det där med att ta tjuren vid hornen tenderar att löna sig i längden. Vi vill också tro att karaktären Charles Darnay hade hållit med.
3: Förhoppningsvis har ni också kunnat glimta hoppet om en ljusare framtid likt karaktären Sydney Carton (men utan liknande uppoffring).