Att alla organisationer ska bedriva ett dataskyddsarbete är ingen nyhet. Men hur det ska göras råder det delade meningar om. I många organisationer får dataskydd inte den uppmärksamhet det förtjänar. Det leder till att vi inte når de resultat vi önskar. Ett ineffektivt dataskyddsarbete helt enkelt.
Men varför lyckas vi inte i vårt dataskyddsarbete? Här har vi listat de 5 vanligaste anledningarna bakom ett ineffektivt dataskyddsarbete. Dessutom tipsar vi om hur ni effektiviserar ert arbete.
1. Det saknas insikt i vilka behandlingar organisationen har
Tänk på hur mycket data er organisation hanterar. Hur mycket av denna data utgör enskilda personuppgiftsbehandlingar? Och hur ska ni kunna hålla koll på alla dessa?
I ett försök att få koll på sina personuppgiftsbehandlingar har de flesta börjat med en systemlista. Utifrån denna systemlista identifieras vilka behandlingar som hanteras inom systemen. Nu tycker vi att vi har en komplett bild. Många stannar här.
Men de personuppgifter som ligger sparade på Anders skrivbord då? Eller i Karins telefon, i pärmarna på Fredriks kontor eller i köks-och inventarielistan i köket på kontoret?
Ibland kan det kännas som en utopi att ha koll på och dokumentera alla personuppgiftsbehandlingar ni förfogar över. Samtidigt måste vi ta ansvar för de registrerades rättigheter. Vi har fått äran att låna dessa uppgifter. Ett förtroende vi behöver förvalta.
I svenska bolag har det historiskt saknats en kultur av att vara aktsam med personuppgifter. Det har lett till att det nu blir mission impossible att försöka identifiera alla behandlingar. Vi vet helt enkelt inte vad vi förfogar över.
2. Missuppfattning att dataskyddsarbetet redan är avklarat
GDPR-projektet ligger arkiverat sen länge nu. Det finns en registerförteckning. Nu är det klart, check på den. Men om inte alla i organisationen tackade för sig och stängde ner butiken efter detta så är ni inte klara med dataskyddsarbetet.
Och om vi är ärliga så är ju inte registerförteckningen målet i sig. Att förbättra och höja nivån på vårt dataskyddsarbete, det är det vi vill åt.
Hur ska vi arbeta med registerförteckningen då? Jo, med att på rutin granska utreda och förbättra det vi dokumenterat.
Om vi säger att vi har ett pub-avtal, vart finns det? Och hur är det utformat? Duger det? Kan vi verkligen stärka att vi inte lämnar ut uppgifter till tredje land? De här slutsatserna och frågorna kan komma först efter att vi vet vilka behandlingar vi har. Och förbättringar kommer först när vi kontinuerligt arbetar med det.
3. Okunskap kring vilka risker vi försätter de registrerade i
Vissa uppgifter kanske inte upplevs som känsliga. Men i fel sammanhang och i fel händer kan exponering av dessa personuppgifter utsätta den registrerade för stora risker.
Exempelvis kanske bristande rutiner i en kommun leder till att vi inte vet om en person har skyddad identitet. Ett röjande av dessa uppgifter utsätter personen för oerhörda risker.
Eller så har vi ingen rutin på hur vi raderar personuppgifter vilket leder till att vi samlar på oss mer och mer känsliga uppgifter. Helt plötsligt har vi en fullständig kartläggning av enskilda individers rörelsemönster.
På IT-sidan kan bristande säkerhet i de system och tjänster vi använder för att lagra information göra att vi riskerar läckage. Har vi inte koll på risker kan vi inte heller kravställa på rätt sätt. Då betalar vi dyrt för lösningar som riskerar att skada organisationen, och de registrerade.
Det är inte helt enkelt att förstå vilka risker vi kan utsätta enskilda individer för på grund av bristande rutiner. Detta gör dataskyddsarbetet ineffektivt och resultatlöst.
4. För få personer i organisationen är involverade
Klyschan en kan inte göra allt gäller även här. Kanske har ni en superengagerad person som brinner för dataskydd. Hen springer runt och försöker samla in alla behandlingar och mässar om vikten av ett gott dataskyddsarbete. Eller så har ni svårt att driva igenom att någon ska få arbeta med frågan på ynka 10 %.
Oavsett gäller generellt att det är alldeles för få personer involverade. Ansvaret behöver tryckas ut ännu mer i organisationen för att verkligen få till ett effektivt dataskydd.
Hur engagerad den där medarbetaren än är så kan inte en person se till att er organisation har ett uppdaterat register. Eller att ni gör nödvändiga åtgärder för att efterleva lagkrav.
Exakt vilka som ska involveras i ansvaret beror på er organisationsstruktur. Men en tumregel är att ni åtminstone bör se till att chefer ansvarar för att följa upp dataskyddsfrågan som en stående punkt på arbetsplatsträffar.
5. Det saknas tydliga riktlinjer kring hur ansvariga förväntas arbeta
Någon gång berättade någon för dig hur du skulle bidra till ett bra dataskydd. Men du har glömt. Och det finns ingen bra dokumentationsyta. Eller någon att fråga.
Eller så finns det en dokumentationsyta. En excel. Eller ett system du loggat in i en gång och glömt bort hur du gjorde.
Det här är oftast verkligheten för de som är närmast personuppgifterna. Att ha tydliga riktlinjer och en bra dokumentationsyta – och framför allt utbildning och kommunikation kring ämnet hjälper lång väg.
Sammanfattning
Mycket av ineffektivt dataskyddsarbete grundar sig i ett kunskapsglapp. Vi vet inte vilka personuppgifter vi förfogar över eller vilka risker vi kan utsätta registrerade för om de inte hanteras på rätt sätt. Dessutom är det en organisationsfråga, där för få är involverade och saknar inarbetade rutiner.
Men hur gör du då för att effektivisera dataskyddsarbetet? I Dataskyddssamordnarens guide till ett effektivt dataskyddsarbete hittar du svaren.
