När dataskyddsförordningen kom förde den med sig nya arbetssätt, uppgifter och roller i organisationer landet runt. Nu när vi levt med förordningen i fyra år har arbetssätten hos många organisationer börjat mogna. Ofta har någon eller några anställda tilldelats rollen att koordinera och driva allt arbete. Många har nu kommit till insikten om att det är dags att delegera arbetet och låta verksamheten ta ett större ansvar. För att lyckas med dataskyddsarbetet krävs nämligen större involvering och engagemang, inte bara från experter. Vi behöver få med oss dem som är närmast den information som ska skyddas och hanteras på rätt sätt, nämligen verksamheten.
Men att involvera verksamheten i dataskyddsarbetet kan vara lättare sagt än gjort. Ofta stöter man på ett antal invändningar som behöver bemötas på ett bra sätt. Att vara medveten om vilka hinder och vilka invändningar du kan stöta på när du försöker involvera verksamheten kan hjälpa dig att lägga upp en smart kommunikationsstrategi och att involvera verksamheten i dataskyddsarbetet på ett bra sätt.
Varför är involvering i dataskyddsfrågan svårt?
Innan vi går in på vanliga invändningar från verksamheten tänkte vi reda ut vilka andra hinder som kan finnas, förutom de rent kommunikativa. Ibland kan det nämligen vara så att det som hindrar organisationer från ökat engagemang och involvering inte är bristande kommunikation, utan snarare mer strukturella problem som sätter käppar i hjulet.
Dataskyddssamordnare saknar mandat
En anledning till att involvering är svårt är att Datsskyddssamordnaren eller liknande roll ofta saknar mandat att dela ut ansvar. Då blir det också svårt att involvera verksamheten i dataskyddsarbetet. Att delegera arbetsuppgifter till någon som inte har det i sin arbetsbeskrivning eller fått det tilldelat från sin chef är oftast inte den mest hållbara lösningen.
Det saknas resurser
När de resurser som finns har för mycket att göra kan det vara svårt att klämma in ytterligare ett ansvarsområde. Ibland handlar det dock om en prioriteringsfråga – vad är egentligen viktigt? Ibland kan det vara bra att granska vad organisationens resurser faktiskt lägger sin tid på om vi känner att vi har för mycket att göra.
Det är inte en prioriterad fråga
Ledningen har andra prioriteringar än dataskydd, vilket är förståeligt. Beroende på kärnverksamhet så kan det finnas si och så många prioriteringar som måste stå före. Står allt före blir det dock svårt att sprida en kultur och ett dataskyddsarbete som är värt namnet. Detta kan vara ett kommunikationsproblem, där vi behöver jobba mer med att övertyga högsta ledning.
Vanliga invändningar från verksamheten vid involvering i dataskyddsfrågan
När du vill göra ledningen och verksamheten mer delaktig och engagerad i ert dataskyddsarbete finns det några invändningar du förmodligen kommer stöta på. Vissa kommer vara uttalade, andra kanske inte fullt så tydligt kommunicerade. Vi har listat några av de vanligaste invändningarna du behöver vara förberedd på.
”Vi kommer ändå aldrig bli granskade. Varför ska vi jobba med det?”
Det är kanske inte så att någon kommer och säger detta rakt ut, men den här invändningen går ibland att utläsa mellan raderna. Många gör en inofficiell kalkyl över sannolikheten att drabbas av någon form av sanktion. Det kan dock finnas ännu värre konsekvenser än de rent monetära. Exempelvis att en individ råkar riktigt illa ut på grund av att dennes personuppgifter har röjts.
För att bemöta denna invändning så handlar det dels om att argumentera för att det är ett lagkrav såklart. Men utöver detta behöver man anpassa argumenten efter vilken typ av verksamhet ni är. Är det så att vi sitter på känsliga uppgifter i stor skala så säger det sig självt, då behöver vi ha koll på detta. Du kan dessutom argumentera utifrån värdeord eller värderingar ni som organisation vill stå för. Exempelvis ansvarstagande, etiska osv. Det är en värdighet i att ha koll på de personuppgifter som man förfogar över i sin verksamhet. Det är viktigt att trycka på.
”Vi hanterar inga känsliga personuppgifter så vi omfattas inte av kravet”
Det här argumentet kan vi slå hål på direkt. Det är få organisationer som inte omfattas av GDPR. Bedriver ni en verksamhet som innebär att betala ut lön till era anställda, skicka fakturor till era kunder eller hålla koll på sjukdagar hos era anställda så omfattas ni av GDPR. Kärnaktiviteter i en verksamhet helt enkelt. Detta är en vanlig invändning, men oftast är det fel.
”Jag har andra saker jag behöver prioritera.”
För den här invändningen finns det inget universalsvar. I grunden är det en allmän attityd som behöver förändras. Det handlar om att kommunicera varför dataskydd är viktigt och varför dataskyddsarbetet bör prioriteras. Och det skiftet sker inte över en natt.
”Vi gjorde ju det här 2018”
Grymt att något gjordes 2018. Men tyvärr är inte det här en punktinsats. Många aktiviteter kräver kontinuitet, exempelvis registerförteckningen. Vi initierar ständigt nya projekt, nya uppdrag och därigenom nya ändamål för hantering av personuppgifter. Det betyder att vi har en levande registerförteckning som behöver uppdateras.
Den hotbild som de personuppgifterna vi hanterar står inför är också under ständig förändring. Metoderna som kriminella nätverk använder för att komma över uppgifter blir allt mer avancerade. Här handlar det dels om att skruva på våra administrativa säkerhetsåtgärder, exempelvis att ha koll på behörighetsstyrning och att vi utbildar personal. Det räcker med att en person inte har kunskapen och går på en mina för att ett virus ska sprida sig i en organisation. Men det handlar även om tekniska säkerhetsåtgärder. Att kraven på inlogg är tillräckligt hög, exempelvis 2FA. Det här behöver skruvas på ständigt och är alltså ingenting vi blir klara med.
Sammanfattning
För att få med dig verksamheten i dataskyddsarbetet är det viktigt att vara medveten om de potentiella hinder du kan stöta på så att du kan planera runt det. Det finns dels organisatoriska hinder, men även kommunikativa i form av invändningar. För att skapa ett engagemang kring frågan krävs en långsiktig plan och ett fokus. Att bygga en kultur där vi prioriterar dataskydd sker inte över en dag. Men det är definitivt ett förändringsarbete värt att lägga tid på.
Lycka till!