GDPR-arbetet tar inte slut den 25/5, och det handlar om mer än GDPR
GDPR, eller The EU General Data Protection Regulation, som den också kallas för. Den har ni inte missat, va? Om ni tror det handlar om en ny viktminskningsmetod så här inför sommaren, så kan det vara dags att börja googla efter ”GDPR” och se vad det egentligen handlar om. Men, du får vara lite kvick nu, för den 25/5 börjar den gälla. För alla företag, stor som pytteliten.
Jag har sedan i oktober jobbat med GDPR som konsult där jag haft en kombinerad projektledar- och kravanalytiker-roll och fått lära mig en massa härliga juridiska termer och tolkningar av en lag som helt saknar prejudicerande fall. Även högkompetenta jurister har ibland fått gissa sig till hur man bör agera i vissa fall. Kravställningen har gått från det ena diket till det andra. När arbetet startade i oktober så trodde projektet att vi var tvungna att koda om 10-talet system, men under de senaste månaderna, har vi beslutat att istället fokusera på de mer mjuka bitarna, som dokumentation, policies och avtal.
Jag ska inte kommentera själva GDPR så mycket, utan mer det faktum som många i projektet insett under resans gång, att GDPR varit en katalysator för det arbete som man slarvat eller bortsett från under många år. På det företaget jag konsultar på och säkerligen de flesta andra företag.
Arbetet jag pratar om handlar dels om företagets processer. Att jobba med, utveckla och underhålla, företagets processer är en viktig del av det dagliga arbetet. Bara att få upp en systemkarta, en enkel skiss över var datan finns, hur den används och varför. Var lagrar vi vilken data? Hur ser egentligen flödet från inköp via lager till slutkund ut? Vad händer när en kund ringer in till kundtjänst? Och varför sitter Rune (fingerat namn, jag känner ingen Rune, så det verkade lämpligt, du kan byta ut det till ett valfritt namn) i rummet till höger och inte till vänster?
Dels handlar det om att ha en bra, korrekt och uppdaterad dokumentation på plats. Oftast skriver man ihop några sidor, men sedan arkiveras materialet och glöms bort. Policies, informationstexter på webben, avtal med kunder och leverantörer. Framförallt det sista med avtal har varit superviktigt för företaget vad gäller GDPR.
Till sist vill jag bara nämna den resan som gjordes från att ha varit tvärsäkra på att nyckeln låg i att uppdatera och utveckla ett gäng IT-system till insikten att det nog är lämpligare att jobba med de mer mjuka bitarna. Den resan är inte dum att fundera på innan man springer iväg och hackar Java eller C++ (finns säkert modernare programmeringsspråk, men jag börjar bli gammal och det var länge sedan jag knackade kod). Lös rätt problem.
För de företag som börjar få ordning på GDPR nu inför 25/5, så ska man komma ihåg att arbetet inte tar slut bara för att det blir 26/5. GDPR, eller andra saker som kommer in lite från sidan, är en bra grej. Utnyttja det, men sluta inte att jobba med de mjuka bitarna. Se till att du har koll. Koll på dina processer, på dina avtal och på dina policies.
/Björn Dahlberg, Knowit Require Malmö