Nanette är en av våra dedikerade GDPR-konsulter. I dessa soliga tider gör hon liknelsen mellan den nya förordningen och ett störtregn. Kanske bäst att fälla upp paraplyet ...
Nu är den här. Regelverket som på internationell nivå i grunden förändrar sättet att se på personuppgifter och hanteringen av dem. Överallt pågår arbetet med att kartlägga, åtgärda och säkerställa för att uppfylla GDPR, General Data Protection Regulation, eller på svenska Allmänna dataskyddsförordningen. Ett nödvändigt och viktigt arbete, som på sikt kommer skapa ordning och reda i persondatahanteringen.
Min uppfattning är att stort fokus hittills legat på att identifiera system, filer med, och flöden av, personinformation. Mycket för att fånga upp och kunna garantera en säker behandling av personuppgifter. Det behöver tecknas personbiträdesavtal med leverantörer, skrivas instruktioner och kanske förhandlas. Men väldigt lite har handlat om hur detta ska implementeras och efterlevas i det dagliga arbetet.
För det handlar om så mycket mer än tekniken. För att kunna säga att enorganisation uppfyller GDPR, krävs det mer än att se till det mer hårda, som t.ex. system. I vilken utsträckning finns det policys och styrdokument för hur det faktiska och praktiska vardagliga arbetet ska genomföras? Det jag ser idag är att det lämnas fritt för varje avdelning att själva finna på lösningar och processer för att garantera ett GDPR-anpassat arbetssätt. En konsekvens av detta är att det faktiskt blir omöjligt att försäkra att organisationen arbetar i enlighet med GDPR.
Här behöver organisationer på en övergripande nivå samlas för att ta fram policys, styrdokument och processer för alla funktioner. Skapa ett paraply för medarbetarna att arbeta under, med tydliga riktlinjer, processer och dokument. Tillsammans med information och utbildning då finns förutsättningarna för alla medarbetarna att göra rätt från början och kontinuerligt arbeta i enlighet med GDPR.
Så fäll upp paraplyet!