GDPR och vad händer nu?
Nu träder den nya dataskyddsförordningen i kraft och det innebär fortsatt hårt arbete. Det menar de tre experterna Daniel Akenine, Caroline Olstedt Carlström och Johan Wahlström som också tipsar hur arbetet kan fortsätta.
Johan Wahlström, managementkonsult på konsultbolaget Knowit
Johan Wahlström.
Vilka är dina råd till företag/organisationer/kommuner att hålla särskild uppsikt över veckorna efter den 25 maj?
Känner man sig klar med förberedelser, registerförteckning är upprättad och rutiner och annat finns klart är det tre saker:
- Se över all dokumentation och alla rutiner och för att sätta processer och rutiner på plats att jobba utifrån det som finns.
- Säkerställ kompetens genom olika utbildningsinsatser. Många har gjort det redan för prioriterade grupper – men anpassad utbildning behövs för alla medarbetare som behandlar personuppgifter. Det vill säga alla!
- Var beredd på de första som begär att få sina rättigheter enligt GDPR tillgodosedda, som information om personuppgiftsbehandling, registerutdrag och rätten att bli glömd, och så vidare.
Har man jobbat klart med GDPR om man är compliant nu då?
Nej, tvärt om – det är nu arbetet börjar. Dels med att tillgodose rättigheter för de registrerade. Men framförallt med att få in arbetet med personuppgiftshantering i sitt normala årshjul. När det är klart är det ju inte längre ett projekt – utan rutiner och processer måste sättas på samma sätt som med systematiskt kvalitetsarbete eller budget-ekonomisk uppföljning.
Vad händer om man inte har hunnit färdigt?
Ge inte upp! Prioritera och planera det arbete som är kvar. Lagen gäller från den 25:e och kommer fortsätta att gälla. Så det är bara att kavla upp skjortärmarna och fortsätta – eller påbörja – arbetet snarast möjligt. Och ta hjälp om tid eller kompetens saknas i den egna organisationen.
Caroline Olstedt Carlström, dataskyddsexpert på advokatfirman Lindahl och ordförande i Forum för dataskydd
Caroline Olstedt Carlström
Vilka är dina råd till företag/organisationer/kommuner att hålla särskild uppsikt över veckorna efter den 25 maj?
Var noggrann med information och uppföljning internt. Många medarbetare känner sig nu oroliga och kanske till och med lite panikslagna över vad som ska hända nu så här de första GDPR-dagarna. Många är oroliga över om de verkligen gör rätt i sina egna dagliga arbetsuppgifter. Tydlig kommunikation och information internt motverkar risken för felaktigheter på grund av mänsklig faktor och gör personalen trygg.
Vad väntar de organisationer och företag som är GDPR-compliant nu? Har man jobbat klart med GDPR då?
Tvärt om! Foten på gasen nu. Nu börjar arbetet med att förfina åtgärderna, förtydliga eventuella oklarheter och göra uppdateringar allt eftersom vi får förtydligande information från tillsynsmyndigheter eller lär oss mer.
Vad händer om man inte har hunnit färdigt?
Business as usual! Då fortsätter man arbetet i projektet. Men tänk då på att ha ett extra öga på riskbedömningarna i verksamheten och att med jämna mellanrum nu se över dem, det vill säga prioriteringarna i arbetet. Nu kommer vi att lära oss mer för var dag som går!
Daniel Akenine, teknik- och säkerhetschef Microsoft.
Daniel Akenine.
Vilka är dina råd till företag/organisationer/kommuner att hålla särskild uppsikt över veckorna efter den 25 maj?
Det gäller att hålla utkik över de beslut som fattas av Datainspektionen. Många regler kommer få bättre tolkningar tiden efter 25 maj, dessa bör man hålla ett öga på.
Har man jobbat klart med GDPR om man är compliant nu då?
GDPR är inte samma typ av problem som år 2000-arbetet var. Den är inte löst dagen efter utan man måste fortsätta underhålla sina rutiner och processer.
Vad händer om man inte har hunnit färdigt?
Det är svårt att svara på. Vi får helt enkelt se efter den 25:e.
Läs mer om ämnet: