Del 2: Följer vi verkligen reglerna?
I förra inlägget i serien om sex byggstenar för ett moget dataskyddsarbete pratade vi om ansvar. Att ingen ska behöva vara ensam jurist i en organisation där dataskyddet ligger på en person men påverkar alla. Att ansvar behöver fördelas, kopplas till verkliga situationer och integreras i befintlig styrning.
Men ansvar räcker inte. För även om du har lyckats peka ut vem som bör göra vad, hur vet du att det faktiskt sker? I den här delen av serien tittar vi på nästa byggsten i ett moget dataskyddsarbete: kontroll och uppföljning.
Från goda avsikter till faktisk efterlevnad
Du kanske har:
- En DPIA-process
- Incidentrutiner
- Information till registrerade
- Rollbeskrivningar och policies
Men har ni någon gång följt upp om det fungerar i praktiken? Här är några typiska tecken på att kontroll saknas:
- Alla säger att de "har koll" – men det är oklart hur
- Ingen granskar om DPIAs är aktuella eller fullständiga
- Avtal finns – men personuppgiftsbiträdens efterlevnad av avtalet följs inte upp
- Dataskyddspolicyn finns på intranätet – men har ingen ägare som kommunicerar att den finns eller kontrollerar verksamhetens efterlevnad
Det ser ut som styrning – men utan kontroll är det bara dokumentation.
Men vänta – vill vi ha kontroll? Ja. Och nej.
Det är lätt att ”kontroll” uppfattas som misstro.
Men det handlar inte om att sätta dit någon – det handlar om att lära, förstå och förbättra. Kontroll visar:
- Om verksamheten förstått sitt ansvar
- Var det finns hinder eller missförstånd
- Hur jurist, systemförvaltare eller dataskyddsombud kan stötta bättre
- Om styrningen fungerar – eller behöver justeras
Enligt GDPR är det dataskyddsombudet (DSO) som ska övervaka efterlevnaden av förordningen i organisationen. Det innebär inte att DSO:ns ansvarar för efterlevnaden i sig – men att denne ska:
- Bedöma om arbetet fungerar
- Identifiera brister och förbättringsområden
- Rapportera till högsta ledningen
- Föreslå åtgärder och ge råd
DSO:n är alltså en oberoende och rådgivande funktion med uppgift att granska, stötta och väcka förbättring – inte att själv "driva arbetet".
För att kunna göra det behöver DSO:n samverka med rätt funktioner:
DSO:n bör ha nära kontakt med de delar av organisationen där det faktiska ansvaret för efterlevnad av dataskydd är utpekat, vilket ofta innebär roller som spänner över hela verksamheten: processägare, systemförvaltare, funktionschefer, informationsägare, HR-chef och IT-chef.
Ju mer förankrat ansvar är i linjeorganisationen desto mer effektivt kan DSO:n:
- Ställa frågor som får svar
- Identifiera mönster
- Bidra till förbättring där det spelar roll
Samverkan handlar inte om att ta över – utan om att möjliggöra ett fungerande ansvarstagande.
Verksamheten måste också följa upp sig själv
Det är ett vanligt missförstånd att DSO:n ”ska ha koll på allt”. Men enligt gängse principer för styrning (och indirekt GDPR) är det verksamheten som ansvarar för att uppfylla reglerna – och därmed också att själv följa upp sitt arbete.
Det innebär att linjeorganisationen behöver:
- Tydliga rutiner för hur uppföljning går till
- En kontrollplan kopplad till de egna behandlingarna
- Förståelse för vad som behöver kontrolleras – och varför
- Samverkan med compliance, informationssäkerhet och övrig styrning
En fungerande kontrollmiljö bygger på delat ansvar – DSO:n övervakar, men verksamheten följer upp sig själv.
Fyra steg till meningsfull kontroll i dataskyddsarbetet
-
Kontrollera beteende – inte bara dokument
Fråga inte bara ”har ni ett avtal?” utan: ”hur vet ni att leverantören följer det?” -
Gör kontrollen nära verksamheten
Prata med dem som faktiskt hanterar personuppgifter och jobbar i befintliga processer. Låt dem visa hur de gör. -
Använd det som redan finns
Bygg vidare på internkontroll, compliancearbete och informationssäkerhetsrevisioner. -
Återkoppla det ni ser
Visa att uppföljningen leder till förbättring – inte till skuld.
Så kan du börja – oavsett roll eller mognad
Om du är jurist:
– Samverka med DSO, och hjälp till att översätta juridiska krav till beteenden eller handlingar som kan följas upp.
– Lyft uppföljning som ledningens trygghetsverktyg, inte enbart som en legal skyldighet.
Om du är DSO:
– Börja i det lilla: välj en process eller ett verksamhetsområde.
– Samverka med de ansvariga – ställ frågor, lyssna, och erbjud vägledning.
– Rapportera mönster, inte enskilda missar – och lyft lösningar.
Om du är chef eller processägare:
– Tänk: hur vet jag att vi följer reglerna – i praktiken?
– Begär stöd, ställ frågor och förklara din syn på saken – var en partner till DSO:n, inte bara mottagare av råd.
Slutord: Kontroll gör rättigheter verkliga
GDPR handlar om att skydda människor. Men utan kontroll:
- Vet vi inte om det vi gör fungerar
- Kan vi inte förbättra det som brister
- Får vi svårt att stå upp för de rättigheter vi säger oss värna
Ansvar är början – men kontroll är beviset.
Nästa inlägg: Hur bygger du struktur och systematik – utan att bygga byråkrati?
I nästa del går vi in på hur du skapar ett ramverk, ett årshjul och en systematik som håller – utan att förlora flexibilitet och förankring. Dataskydd ska inte vara ett projekt – det ska vara en del av hur ni jobbar. Vi ses där.