Bygg en dataskyddskultur – 5 praktiska tips

Vill du att dataskydd ska prioriteras högre i organisationen? Vill du arbeta proaktivt istället för reaktivt? Då kan det vara dags att bygga en dataskyddskultur i din organisation. I en dataskyddskultur sitter dataskydd i ryggmärgen. Hos fler än bara dig.

Men hur bygger du en dataskyddskultur egentligen? Vi har listat fem praktiska tips på hur du som DSO lyckas.

 

1. Få dataskydd på agendan och följ årshjulet

Det enklaste och första steget för att få dataskydd på agendan är att se till så att dataskydd lyfts vid forum som redan finns naturligt i organisationen. Det kan exempelvis innebära att dataskydd är en del av agendan på onboarding av nya medarbetare, konferenser och utbildningsdagar.

Du vill dessutom se till att frågan lyfts med rätt frekvens. Så när du planerar in de olika insatserna för att bygga dataskyddskulturen – följ årshjulet. Se till att dataskydd är representerat över hela året (exempelvis någon insats per kvartal). Det leder till att folk blir påminda med rätt intervall.

 

2. Ha anpassade workshops med relevanta avdelningar

Vissa avdelningar stöter på privacy-frågor mer än andra. Här är ett bra sätt för att bygga dataskyddskultur att fånga upp de frågor dessa avdelningar har. Det blir då direkt relevant för avdelningen och inte enbart en teoretisk utbildning i GDPR.

Några av dessa avdelningar som kan behöva anpassade workshops är: inköp/upphandling, marknad/kommunikation, HR och IT. Exempelvis kan inköp ha frågor om pub-avtal, marknad om opt-in-lösningar, profilering eller spårning, HR om hur länge CV:n får/ska sparas och vart de dokumenterar utvärderingar av kandidater medan IT kan behöva en fördjupning i privacy by default.

Att bygga en dataskyddskultur handlar mycket om att bygga en medvetenhet. Men för att lyckas med arbetet är det även bra om det finns styrdokument att luta sig tillbaka på. Då har både du och verksamheten något att gå tillbaka till vid frågetecken. När du genomför avdelningsspecifika workshops kan du därför skapa policydokument tillsammans med avdelningarna. Det är ett sätt att undvika att era policys blir pappersprodukter.

 

3. Ge ledningen löpande rapporter

Det är ledningen och styrelsen som är ytterst ansvariga för att GDPR efterlevs. Som DSO bör du därför ha en slot på ledningsgrupper för att rapportera och medvetandegöra dataskyddsfrågan. GDPR ställer dessutom krav på fortlöpande medvetenhet hos styrelsen vilket kan vara bra att påminna om som DSO.

Att etablera ett utrymme och prioritet hos ledning är också ett sätt att säkra budget och andra medel som krävs för att du som DSO ska ha rätt förutsättningar för att utföra ditt uppdrag.

 

4. Bygg relationer för att bli inbjuden i tid

Eftersom DSO-rollen innebär att hjälpa organisationen med dess lagefterlevnad är det lätt att hamna i situationer där du behöver säga ”stopp” oftare än ”kör på”. En anledning till detta kan vara att du kommer in för sent i olika projekt. Exempelvis är det svårare att säga stopp till en molntjänst när verksamheten är redo att skriva under avtalet kontra om du är med i kravställningen vid upphandlingens start.

För att undvika att komma in för sent är ett knep att bygga relationer med relevanta personer i organisationen. Det kan du göra genom att bjuda in dig själv till några olika typer av möten. Dels bör du vara med i verksamhetsplaneringen för att ta reda på vad olika avdelningar ska göra under det kommande året. Vilka system ska upphandlas under året, eller vilka nya kommunikationsinsatser ska genomföras? Vet du detta i tid kan du bidra med din kompetens innan det är för sent. Att dessutom bjuda in dig själv till månads/veckoavstämningar gör att du håller dig uppdaterad om vad som händer inom olika områden och du får en chans att visa upp dig själv för verksamheten.

När du har koll på den större bilden och de initiativ som ska ske kan du bjuda in relevanta personer till egna möten där dataskydd står på agendan. Här har du chansen att påverka så att de initiativ som ska ske görs på ett privacy-vänligt sätt.

 

5. Skapa utrymme för de administrativt tunga arbetsuppgifterna

Att bygga en dataskyddskultur tar din organisation till en ny compliant nivå, men detta arbete är tids- och resurskrävande. I detta är det viktigt att inte glömma bort de administrativa arbetsuppgifterna som GDPR ställer krav på. Att registerförteckningen är korrekt och uppdaterad, konsekvensbedömningar genomförs, att det finns styrdokument och att hantera förfrågningar från registrerade kräver också resurser och arbete

För att få ihop planeringen som DSO är det därför viktigt att det finns kanaler för att delegera och få input. Det kan vara både inom organisationen, men även extern hjälp.

 

Bygg en dataskyddskultur – utan att annat blir lidande

Att arbeta med alla de krav som ställs i dataskyddsförordningen är tidskrävande. Och att ovanpå detta driva och bygga en dataskyddskultur blir lätt övermäktigt. För att få ihop planeringen kan du ibland behöva lite extra resurser.

Med DirSys som samarbetspartner får du rätt kompetens och hjälp att driva den förändring du önskar. Vi vet att vi har lyckats när ni har ökat er GDPR compliance, fått en smidigare vardag och kan jobba vidare med frågan självständigt.

Om du vill bolla ditt behov är du varmt välkommen att boka ett möte med oss.

Relaterat innehåll:

motivera ledning investera informationssäkerhet

Så motiverar du ledningen att investera i informationssäkerhet

De cyberhot som organisationer i alla storlekar står inför idag är mer allvarliga och mångfacetterade än någonsin tidigare. Utpressningsattacker, överbelastningsattacker, nätfiske- och social engineering-attacker samt attacker mot leverantörskedjan är bara några exempel på hot. Även om ledningsgrupper i någon mån kan ta till sig dessa
Läs mer »

Så ska CER-direktivet införlivas i svensk rätt

Regeringen har nu publicerat SOU 2024:64, slutbetänkandet i utredningen om hur direktivet om kritiska entiteters motståndskraft (CER-direktivet) ska införlivas i svensk rätt. Vi har sammanfattat vad utredningen säger och de ändringar som kommer ske i svensk rätt. Bakgrund – CER-direktivet i svensk rätt Europaparlamentet och
Läs mer »