Hoppa till sidans innehåll

Så berörs du och ditt företag av den nya kulturförändringen GDPR

Hans och Fredrik

Vem har data om mig? Hur sprids min data vidare och hur används den? I maj 2018 träder EU:s nya dataskyddsförordning GDPR i kraft – något som inte bara rör företag. Den nya lagen ska även ge varje enskild individ ökad kontroll över personlig information online. Det är många som oroas över de skärpta sanktionsmedel som kommer att finnas, men den nya dataskyddsförordningen medför även enorma affärsmöjligheter när det kommer till digital transformation.

Informationsspecialisten Hans Kalldal, som i flera år har arbetat med teknik- och verksamhetsutveckling inom Försvarsmakten, ska tillsammans med Fredrik von Homeyer, affärsjuristen och projektledaren som tidigare arbetade som PUL-ombud på Chalmers, hjälpa oss att förstå vad den nya dataskyddsförordningen faktiskt innebär.

Hej Fredrik och Hans! Berätta lite om er själva – vem är ni?
– Hans: Jag har arbetat med informationsstyrning i flera år och vill säkerställa att information gör tillräcklig verksamhetsnytta samtidigt som man följer gällande regler. I uppdrag jobbar jag oftast som informationsspecialist och ser till att informationen gör maximal nytta i verksamheten.

Privat hamnar jag oftast i köket eller vid grillen med ett glas gott vin i handen, och jag tillhör dem som ser flera timmars jobb inför en middag som en trevlig utmaning. Dessutom gillar jag att göra korta avstickare i nya områden, som att gå en fotokurs, ta ett flygcertifikat, prova på att släktforska eller driva upp 1000 blomplantor i källaren att förgylla trädgården med nästa vår.

– Fredrik: Jag är affärsjurist och arbetade som PUL-ansvarig på Chalmers när det infördes där. Jag fick både utbilda och informera, men även hantera friktioner mellan de som ville ha kvar ”data som är bra att ha” och de som förstod att det är nya krav som gäller nu. I mina uppdrag är jag ofta projektledare och förändringsledare men även specialist inom inköp och upphandling (med inriktning på bland annat LOU) och jag arbetar både med privata och offentliga kunder.

På fritiden tycker jag om att fiska, cykla, gymma, vandra, läsa böcker och umgås med familj och vänner – gärna i samband med matlagning och gott vin. Jag är också en amatör vad gäller att spela altsax, munspel och elbas i musikstilar som soul, funk, blues och reggae. Då och då gör jag egna ”luffarresor” med en liten ryggsäck ute på landsbygden i afrikanska länder, där målet är att hitta det lokala samhället och i den mån det går – undvika turism. Jag brukar även hålla föredrag i högstadie- och gymnasieskolor om Sverige, Europa, likheter och skillnader, jämställdhet, utbildning och kärlek, men också hur man lever sin vardag hos oss.

Generellt kan man säga att om man har en bra PUL-efterlevnad i dagsläget, så ligger man hyfsat bra till och omvänt om man inte har brytt sig fullt ut

Den 25 maj 2018 träder den nya dataskyddsförordningen GDPR i kraft – vad kommer den innebära för den enskilda personen respektive för företag och organisationer?
– Hans: Det som är viktigt att förstå är den bakomliggande politiska viljan som ligger i att ge varje enskild person större kontroll över vem som har data om mig. Det här är krafter som bottnar i FN-deklarationen om mänskliga rättigheter och som bland annat har drivits av World Economic Forum ett antal år. Det här är ett försök att ändra kulturen kring hantering av persondata och det är den här kraften man måste förstå som organisation eftersom det påverkar alltifrån kundrelationer till hantering av anställda.

– Fredrik: Rent juridiskt är GDPR en fortsättning, och i många stycken en skärpning, av det som idag finns i PUL. Generellt kan man säga att om man har en bra PUL-efterlevnad i dagsläget, så ligger man hyfsat bra till och omvänt om man inte har brytt sig fullt ut. Det som oroar många är de skärpta sanktionsmedel som finns – både i form av avgifter som kan dömas ut av myndigheter men också möjligheten för registrerade att begära skadestånd.

På vilket sätt kommer GDPR underlätta för oss gällande informationssäkerhet, till skillnad från den idag rådande lagstiftningen?
– Hans: För det första måste man klargöra att GDPR i första hand inte är ett informationssäkerhetsproblem. Man måste ha en väl fungerande säkerhet för att klara kraven, men det måste man å andra sidan ha redan idag av rent affärsmässiga skäl.

– Fredrik: Sedan kan man säga att GDPR kan tjäna som ögonöppnare och motivator och möjligtvis kan sanktionshotet få en del företagsledningar att höja ribban när det gäller säkerhet. Men som Hans säger, det här är inte i grunden för ett säkerhetsproblem. Man måste följa den förändrade kulturen runt persondata för att behålla kunder och anställda.

Det går inte att vänta sig i mål

Vilka är era tre bästa tips på vad man idag kan göra för att börja förbereda och anpassa sin verksamhet inför att den nya förordningen träder i kraft?
1. Lägg inte ansvaret hos en IT-säkerhetschef och tro att det löser sig. Det här rör betydligt fler delar av organisationen. Kulturförändring och utbildning berör HR, juristerna måste passa ihop detta med övriga regelverk som också berör persondata, den förändrade kostnaden för att hantera persondata kan beröra affären och sedan kommer det för många naturligtvis att påverka IT-system och arbetsmetoder. Om organisationens ledning vill förstå vad som händer, måste man dessutom ha ett fungerande ledningssystem för de här delarna.
2. Det går inte att vänta sig i mål. Har man inte en väl fungerande PUL-efterlevnad idag, så har man bråttom för att få det här på plats. Det är 14 månader kvar.
3. Om ni sitter mitt i, eller överväger en digital transformation, kan det vara värt att komma ihåg att GDPR är en möjliggörare. Den digitala transformationen kräver till sin natur att man har data att jobba med. Om kunder, brukare och anställda inte litar på att ni sköter om deras data, kommer de inte att dela med sig lika mycket, eller i värsta fall lämna er.

Den 7 mars kommer ni, på ett frukostseminarium, föreläsa om ämnet. Vill ni ge ett litet smakprov på vad kommer ni bjuda på? Och vad hoppas ni att besökarna tar med sig hem?
– Vi kommer att försöka vinkla det här lite annorlunda än vad vi har sett andra göra. Vi vill förmedla den stora bilden, det vill säga kulturförändringen, som sker avseende persondata så att man förstår hur stort det här egentligen är. Vi vill också ge besökarna en bild i stort av vad det innebär att göra en GDPR-anpassning, hur projektet ser ut och vad det är man ska åstadkomma. Och så vill vi gärna att man tar med sig kopplingen mellan GDPR och den digitala transformationen.

Stort tack Hans och Fredrik!

Kvadrat i siffror

  • 556

    Konsulter, kollegor och kompisar

  • 346

    Kunder senaste året

  • 76/100

    Nöjd kund-index

Kvadrat nära dig:

Vision

Världens lyckligaste yrkesmänniskor

Områden

Branscher

  • Bank och försäkring
  • Offentlig sektor
  • Digitala produkter
  • Telekom
  • Utbildning/forskning
  • Medtech
  • Automotive
  • Retail
  • Logistik
  • Återvinning