Blogg | Knowit

Del 2: Följer vi verkligen reglerna?

Skriven av Johanna Grundberg och Silje Stevenson | Sep 5, 2025 11:28:07 AM

I förra inlägget i serien om sex byggstenar för ett moget dataskyddsarbete pratade vi om ansvar. Att ingen ska behöva vara ensam jurist i en organisation där dataskyddet ligger på en person men påverkar alla. Att ansvar behöver fördelas, kopplas till verkliga situationer och integreras i befintlig styrning.

Men ansvar räcker inte. För även om du har lyckats peka ut vem som bör göra vad, hur vet du att det faktiskt sker? I den här delen av serien tittar vi på nästa byggsten i ett moget dataskyddsarbete: kontroll och uppföljning.


Från goda avsikter till faktisk efterlevnad

Du kanske har:

  • En DPIA-process
  • Incidentrutiner
  • Information till registrerade
  • Rollbeskrivningar och policies

Men har ni någon gång följt upp om det fungerar i praktiken? Här är några typiska tecken på att kontroll saknas:

  • Alla säger att de "har koll" – men det är oklart hur
  • Ingen granskar om DPIAs är aktuella eller fullständiga
  • Avtal finns – men personuppgiftsbiträdens efterlevnad av avtalet följs inte upp
  • Dataskyddspolicyn finns på intranätet – men har ingen ägare som kommunicerar att den finns eller kontrollerar verksamhetens efterlevnad

Det ser ut som styrning – men utan kontroll är det bara dokumentation.

Men vänta – vill vi ha kontroll? Ja. Och nej.

Det är lätt att ”kontroll” uppfattas som misstro.
Men det handlar inte om att sätta dit någon – det handlar om att lära, förstå och förbättra. Kontroll visar:

  • Om verksamheten förstått sitt ansvar
  • Var det finns hinder eller missförstånd
  • Hur jurist, systemförvaltare eller dataskyddsombud kan stötta bättre
  • Om styrningen fungerar – eller behöver justeras

Dataskyddsombudet har ett särskilt uppdrag

Enligt GDPR är det dataskyddsombudet (DSO) som ska övervaka efterlevnaden av förordningen i organisationen. Det innebär inte att DSO:ns ansvarar för efterlevnaden i sig – men att denne ska:

  • Bedöma om arbetet fungerar
  • Identifiera brister och förbättringsområden
  • Rapportera till högsta ledningen
  • Föreslå åtgärder och ge råd

DSO:n är alltså en oberoende och rådgivande funktion med uppgift att granska, stötta och väcka förbättring – inte att själv "driva arbetet".

För att kunna göra det behöver DSO:n samverka med rätt funktioner:

DSO:n bör ha nära kontakt med de delar av organisationen där det faktiska ansvaret för efterlevnad av dataskydd är utpekat, vilket ofta innebär roller som spänner över hela verksamheten: processägare, systemförvaltare, funktionschefer, informationsägare, HR-chef och IT-chef.

Ju mer förankrat ansvar är i linjeorganisationen desto mer effektivt kan DSO:n:

  • Ställa frågor som får svar
  • Identifiera mönster
  • Bidra till förbättring där det spelar roll

Samverkan handlar inte om att ta över – utan om att möjliggöra ett fungerande ansvarstagande.


Verksamheten måste också följa upp sig själv

Det är ett vanligt missförstånd att DSO:n ”ska ha koll på allt”. Men enligt gängse principer för styrning (och indirekt GDPR) är det verksamheten som ansvarar för att uppfylla reglerna – och därmed också att själv följa upp sitt arbete.

Det innebär att linjeorganisationen behöver:

  • Tydliga rutiner för hur uppföljning går till
  • En kontrollplan kopplad till de egna behandlingarna
  • Förståelse för vad som behöver kontrolleras – och varför
  • Samverkan med compliance, informationssäkerhet och övrig styrning

En fungerande kontrollmiljö bygger på delat ansvar – DSO:n övervakar, men verksamheten följer upp sig själv.


Fyra steg till meningsfull kontroll i dataskyddsarbetet

  1. Kontrollera beteende – inte bara dokument
    Fråga inte bara ”har ni ett avtal?” utan: ”hur vet ni att leverantören följer det?”

  2. Gör kontrollen nära verksamheten
    Prata med dem som faktiskt hanterar personuppgifter och jobbar i befintliga processer. Låt dem visa hur de gör.

  3. Använd det som redan finns
    Bygg vidare på internkontroll, compliancearbete och informationssäkerhetsrevisioner.

  4. Återkoppla det ni ser
    Visa att uppföljningen leder till förbättring – inte till skuld.


Så kan du börja – oavsett roll eller mognad

Om du är jurist:
– Samverka med DSO, och hjälp till att översätta juridiska krav till beteenden eller handlingar som kan följas upp.
– Lyft uppföljning som ledningens trygghetsverktyg, inte enbart som en legal skyldighet.

Om du är DSO:
– Börja i det lilla: välj en process eller ett verksamhetsområde.
– Samverka med de ansvariga – ställ frågor, lyssna, och erbjud vägledning.
– Rapportera mönster, inte enskilda missar – och lyft lösningar.

Om du är chef eller processägare:
– Tänk: hur vet jag att vi följer reglerna – i praktiken?
– Begär stöd, ställ frågor och förklara din syn på saken – var en partner till DSO:n, inte bara mottagare av råd.

Slutord: Kontroll gör rättigheter verkliga

GDPR handlar om att skydda människor. Men utan kontroll:

  • Vet vi inte om det vi gör fungerar
  • Kan vi inte förbättra det som brister
  • Får vi svårt att stå upp för de rättigheter vi säger oss värna

Ansvar är början – men kontroll är beviset.


Nästa inlägg: Hur bygger du struktur och systematik – utan att bygga byråkrati?

I nästa del går vi in på hur du skapar ett ramverk, ett årshjul och en systematik som håller – utan att förlora flexibilitet och förankring. Dataskydd ska inte vara ett projekt – det ska vara en del av hur ni jobbar. Vi ses där.
Visa hela inlägget