Bryt ner och få koll på GDPR

TEXT: Linda Swartz

Dataskyddsförordningens krav gäller alla företag, oavsett bransch och storlek. På papperet är det enkelt att börja anpassa sin verksamhet: inventera, prioritera och sätt igång. I praktiken kan det vara svårare.

I branscher som bank, finans, vård och försäkring finns en vana att följa regelverk som är gemensamma för hela EU. Men dataskyddsförordningen berör alla branscher, även de ovana.
Martin Hidefjäll är vd för Aptly Consulting och har två decenniers erfarenhet av att hjälpa företag och myndigheter att vidta praktiska åtgärder för att följa nya regelverk.

– Den största utmaningen med dataskyddsförordningen är att den täcker ett företags hela verksamhet, från sälj och marknad till leverans och personalfrågor. Därför brukar vi prata om att man ska "stycka elefanten", det vill säga bryta ned arbetet i hanterliga delar och prioritera de områden som är allvarligast, säger han.

Enligt Martin Hidefjäll kan man ha stor nytta av att dela in arbetet i tre fokusområden. Det första är Styrdokument, där till exempel företagets avtal och policyer ingår. Sedan bör man titta på Processer, det vill säga var i företagets löpande verksamhet som personuppgifter hanteras och hur. Slutligen ska man se över IT-stödet och hur personuppgifterna behandlas i respektive system, till exempel i CRM-, sälj- och lönesystem. En huvudprojektledare bör tillsättas, men ju fler personer som är insatta i arbetet desto bättre.

– Genom att jobba i tre olika spår kan man engagera olika personalkategorier, säger Martin Hidefjäll.

Inom respektive fokusområde, det vill säga Styrdokument, Processer och IT-stöd, görs först en nulägesanalys. Den följs upp med en gap-analys av hur man ligger till i förhållande till lagens krav. Analysen ligger till grund för att göra en åtgärdslista och skapa projekt för de olika åtgärderna. Som hjälp för att prioritera vilka åtgärder som är viktigast bör man ha ett konsekvenstänkande; Hur stor skada gör det för individen om dessa uppgifter skulle läcka ut? Ju känsligare uppgifter desto högre prioritet.

Allt detta arbete handlar inte enbart om att uppfylla nya bestämmelser. Det är även ett sätt att skydda sin konkurrenskraft.

– Ett företag som läcker ut information om privatpersoner riskerar att gå i konkurs, särskilt i konsumentbranscher, säger Martin Hidefjäll.

Han poängterar också att information och personuppgifter är en ekonomisk resurs som företaget bör vårda väl.

– Information är i dag en kritisk verksamhetsresurs och något som de flesta företag lever på i Sverige.

 

Publicerad i Print & Packaging nr. 3 2017