Så lyfter GDPR affären
Caroline Olstedt Carlström är en av Sveriges främsta dataskyddsexperter som under sin tid på Klarna snabbt insåg möjligheterna med en god datahantering. För Caroline är GDPR ytterligare en möjlighet att skapa ordning på allt.
– Vi är lite godtrogna när det kommer till personuppgifter i Sverige. Vi använder ju dem till ganska mycket utan att tänka så mycket över vem som får tillgång till dem och hur de kan utnyttjas. Det i samspel med vår generösa offentlighetsprincip har antagligen gjort att man historiskt inte har haft tillräckliga skäl att lägga resurser på dataskydd. Det blir det ändring på nu, säger Caroline Olstedt Carlström, dataskyddsexpert på advokatfirman Lindahl och ordförande i Forum för dataskydd.
Först i Sverige
I början av 2000-talet arbetade Caroline Olstedt Carlström framförallt med skatterätt, men av en ren slump fick hon ett uppdrag som involverade dataskydd – och blev en av de första i Sverige att på allvar titta närmare på hur den nya EU-direktivbaserade personuppgiftslagen från 1998 skulle efterlevas i praktiken.
Sedan dess har hon varit fast och det nya arbetet resulterade i många resor till och från Bryssel. I Sverige på den tiden var det många som talade om immaterialrätt och databasrättigheter, men det var knappt någon som intresserade sig särskilt för skydd för personuppgifterna.
Caroline Olstedt Carlström
Och dataskydd är fortfarande något som ofta sätts på undantag.
Läs mer: En av tio GDPR-förberedd
– Otroligt många bryter faktiskt fortfarande mot lagen. Vi ligger även lite efter och följer exempelvis upp våra samarbeten mindre än vad vi borde i Sverige när det kommer till dessa frågor. Men sedan man fattade beslut om en ny europeisk dataskyddsförordning och i april 2016 fastställde dess innehåll har de flesta blivit tvungna att börja hantera dessa frågor. Redan innan jag gick över till Klarna 2012 skrev jag en debattartikel och argumenterade för att det snart skulle saknas dataskyddsexperter. Det tog kanske lite längre tid än jag trodde där och då men nu ser vi att det råder en extrem brist på den här typen av kompetens.
Klarna i framkant
2012 blev Klarna intresserade av Caroline Olstedt Carlströms expertis och hon fick möjlighet att starta ett team som helt fokuserade på Klarnas personuppgiftshantering och olika dataskyddsfrågor. Klarna står med ena foten i e-handelssektorn och den andra i bankvärlden, och det är därför av stor vikt att man håller ordning på de uppgifter man hanterar.
Läs mer: Voister förklarar GDPR
– Det har varit helt fantastiskt att få göra den här resan med Klarna. Vi arbetade stenhårt med att se till så att det blev rätt och ett tydligt fokus på dataskyddsfrågor och vi fick bra backning från hela företaget; alla såg ur sina respektive perspektiv olika värden i en tydlig hantering och i att ibland göra det där lilla extra. Det handlar om integritetsskyddet och hur kunderna uppfattar det, men det är i slutänden förstås också en varumärkesfråga, en tillitsfråga och viktigt i relationen med partners.
Carolines tre GDPR-tips
- ANSVAR Det är lätt att GDPR-bollen kastas runt som en het potatis eftersom man inte är van att hantera sådana frågor. På större organisationer är det kanske lämpligt att exempelvis företagets jurist tar tag i det, men på mindre bolag kan det vara svårare att veta vem som bör ha ansvaret. Det är därför viktigt att man utser någon så tidigt som möjligt som kan samordna och driva resten av företaget i rätt riktning.
- RESURSER Se till att den som äger frågan får tillräckligt med resurser för att analysera företagets behov och samordna arbetet internt, och framförallt ska man inte tänka att det bara är något som behöver göras fram till den 25 maj och sedan kommer allt vara frid och fröjd. Man ska snarare se det som en möjlighet att införa nya rutiner och börja hålla ordning och reda på de uppgifter man hanterar. Det är dessutom så att vissa organisationer kommer vara tvungna att ha ett dataskyddsombud. Här bör man kanske inte lägga ner för mycket tid på att bestämma sig för om man verkligen måste ha det eller inte, utan återigen se det som något som skapar ett värde i organisationen.
- STARTEN Det vanligaste bekymret är att företag inte vet var de ska börja. Det är förstås viktigt att hantera de delar där man känner att risken är störst, men dessa kräver också oftast mest tid. Därför kan man göra sig själv en tjänst genom att starta med områden som känns enklare. Om inte annat så för att få en skjuts in i arbetet och känna att man får lite medvind. Det skapar en positiv energi i verksamheten.
Fokus på HR
Sedan maj 2017 arbetar Caroline Olstedt Carlström på advokatfirman Lindahl, men har fortfarande ett nära samarbete med Klarna.
I sin nuvarande roll hjälper hon företag att bland annat få ordning på sina databehandlingar och göra dem GDPR-compliant.
Läs mer: Tre skoltips inför GDPR
Läs mer: Branscher i samarbete inför GDPR
Oavsett vad för typ av företag eller organisation man driver så kommer GDPR-kompabilitet vara ett måste – personalens uppgifter är också nödvändiga att ta ordentligt ansvar för, och därför kommer HR-avdelningar vara tvungna att förbereda sig. Något de inte är helt ovana vid.
– Det är givetvis så att HR-avdelningar kommer få mycket att göra, men de har faktiskt fördelen att vara vana att arbeta med sådana här frågor och GDPR kommer inte lika mycket som en överraskning för dem. Man är ofta van att arbeta utifrån kraven i PUL och GDPR kan sägas vara som ett mer specificerat PUL med tydligare och uppdaterade krav, fler rättigheter osv. Man kan säga att den största skillnaden är att PUL kräver att verksamheten ska vara compliant, medan GDPR begär att du även ska visa hur du följer reglerna, det vill säga även ha tydligt dokumenterade processer med mera på plats, säger Caroline Olstedt Carlström.
Behov av transparens
Caroline Olstedt Carlströms analys av situationen är ganska enkel och klar, egentligen: kunder efterfrågar transparens, öppenhet, och en försäkran om att ens personuppgifter hanteras med värdighet. GDPR kan på så sätt bli en tillgång snarare än ett hinder; ett ypperligt tillfälle att skaffa ordning i något som man tidigare har förbisett.
Otroligt många bryter faktiskt mot lagen.
Caroline Olstedt Carlström, Dataskyddsexpert
Läs mer: Så klarar du GDPR-krav i flera länder
– Man behöver inte stirra sig blind på lagen, tycker jag, utan också tänka med sunt förnuft. Det handlar ju även om företagsetik och hur man uppfattas av andra. På så sätt bör informationskällorna börja behandlas precis som annat man har på balansräkningen; att man ser om sitt hus, skyddar värdena och skapar rutiner för sin datahantering. Sett ur det perspektivet kan man vända på steken och förvandla ett kanske förväntat aber till något som istället kan komma företaget till gagn, säger Caroline Olstedt Carlström
Läs mer om ämnet: