Arbeta med GDPR
Arbeta med GDPR genom ett agilt arbetssätt
Det är bra att arbeta med GDPR genom ett agilt arbetssätt eftersom det ger möjlighet att hela tiden anpassa arbetet och få kunskap. Det är ett vanligt arbetssätt inom exempelvis IT-branschen och strategiskt arbete.
Vad innebär ett agilt arbetssätt?
Kort sagt innebär agilt arbetssätt att utföra arbetet i cykler och ständigt få kunskap, för att kunna anpassa arbetet och göra förändringar under arbetsgången.
Med andra ord ska man inte vara för fastslåst vid en strikt plan, utan hela tiden kunna göra förändringar vid behov. Företag som vill arbeta med GDPR genom ett agilt arbetssätt bör beakta följande:
Vision/mål
Förmedla en övergripande vision som alla i företaget ska arbeta mot att uppnå.
Helhetsförståelse
Skapa en god helhetsförståelse för vad som påverkar dataskyddsarbetet, både internt men också externt. Det kan vara enkelt att enbart tänka på den egna organisationen och glömma bort att det är en del av ett större system. Därför är det viktigt att förstå omvärlden. Med andra ord, ha en systemsyn som det också kallas.
Etapper
Det är fördelaktigt att arbeta i korta etapper. Med andra ord, ta ett steg, därefter lära sig av det, för att därefter ta nästa steg. Detta ger en enklare möjlighet att göra förändringar i verksamheten och justera arbetssättet inför varje etapp.
Lärande organisation
Det brukar vara flera personer i ett företag som arbetar med olika frågor kring GDPR. Ju större företaget är, desto fler brukar det vara som utgångspunkt. Allt från ledningen, chefer på olika nivåer, kundtjänstmedarbetare och annan personal som har kommunikation med kunder, leverantörer eller liknande. Det är positivt för medarbetare att dela med sig av sin kunskap till varandra, och därför är det bra att bygga in lärande som en central del av processen.
Vad är skillnaden mellan att arbeta med traditionell målstyrning och agilt arbetssätt?
Den enkla skillnaden mellan traditionell målstyrning och ett agilt arbetssätt är att ledningen bestämmer målet och vägen förväntas vara rak i en traditionell målstyrning. Till skillnad från ett agilt arbetssätt, som istället handlar om att måla upp en vision och sätta upp delmål som är enkla att anpassa under arbetet utifrån de faktiska omständigheterna och lärdomarna. Det finns för- och nackdelar med båda arbetssätten, men rekommendationen är att arbeta med GDPR genom ett agilt arbetssätt istället för genom traditionell målstyrning.
När kan det vara bra att arbeta med GDPR genom ett agilt arbetssätt?
Otydlig kravbild
Vissa situationer och omständigheter som är omfattade av GDPR kan befinna sig i gråzoner. Det kan råda otydlighet gällande korrekt tillvägagångssätt, vilket innebär att det behöver bli klargjort genom praxis (vägledande domstolsavgöranden). När det gäller sådana otydliga situationer, är det bra att arbeta agilt för att enkelt kunna genomföra förändringar om det exempelvis kommer ett klargörande genom praxis, en vägledning från en dataskyddsmyndighet eller EU, eller liknande.
Föränderliga situationer
Företag ska regelbundet se över sina implementerade tekniska och organisatoriska säkerhetsåtgärder, som tanken bakom det inbyggda dataskyddsarbetet kräver. Det är viktigt att anpassa dessa åtgärder efter praxis och andra regler. Det behöver dock inte innebära att allting ska vara tekniskt möjligt att kunna genomföra på en dag.
Komplexa mål
Det är inte alltid så att målen är klara och tydliga, eftersom ny teknik kombinerat med GDPR kan vara komplicerat att förhålla sig till. Exempelvis att behöva förhålla sig till AI som har blivit väldigt populärt på sistone, AI-förordningen, GDPR och andra förordningar och lagar som företag behöver följa.
Förmedla visionen till alla medarbetare
Det är bra att förmedla visionen från det agila arbetssättet till alla medarbetare inom företaget. På så sätt kan de bära med sig visionen i sitt dagliga arbete och själva analysera hur GDPR-arbetet kan förbättras inom deras arbetsuppgifter. Det är i slutändan medarbetarna som arbetar med GDPR i praktiken när de utför sina arbetsuppgifter.
Exempelvis
En vision som ett företag kan ha är att sträva efter att respektera kundernas integritet till fullo, genom att regelbundet försöka förbättra det inbyggda dataskyddet. Det är något som alla medarbetare bör känna till, så att de alltid kan sträva efter att uppnå den övergripande visionen i sitt dagliga arbete.
Försök involvera alla i verksamheten
I och med att många på ett företag arbetar med aktiviteter som omfattas av GDPR i sitt dagliga arbete, är det både en stor tillgång och ett stort ansvar. Alla medarbetare som arbetar med någon form av behandling av personuppgifter, oavsett om det är ledningen eller kundtjänstmedarbetare, måste veta hur de ska sköta sina arbetsuppgifter i enlighet med GDPR. Det är inte de som får betala sanktionsavgifter om GDPR inte efterföljs, utan det är företaget som gör det. Därför är det viktigt att de känner till reglerna i GDPR som deras arbetsuppgifter omfattar.
Även fast det är bra att företagsledningen utser olika roller (såsom dataskyddsambassadörer) och skapar olika funktioner (såsom en dataskyddskommitté), är det bra om hela verksamheten också blir involverad i att arbeta med GDPR genom ett agilt arbetssätt. Ett misstag som många företag gör är att enbart låta en jurist, IT-funktion eller annan specialfunktion försöka sköta allt GDPR-arbete. Däremot kan det vara bra att ha en eller flera sådana. Det är dock svårt för dem att klara av allt arbete och speciellt om det är ett stort företag med många medarbetare.
Ta lärdom från erfarenhet och misstag
Det är bra att medarbetarna tillsammans reflekterar över GDPR-arbetet och diskuterar det tillsammans. Det är ett sätt för medarbetarna att lära sig av varandras erfarenheter och misstag. Dessutom engagerar det medarbetarna i GDPR-arbetet ännu mer, vilket också kan leda till bättre resultat. Utgångspunkten är med andra ord att försöka vara en lärande organisation. För att kunna vara det, måste medarbetarna kunna våga inse när de har gjort fel och korrigera misstagen. Det kan innebära att ändra de grundläggande antaganden som de haft i grunden.
Inbyggt dataskydd genom ett agilt arbetssätt
Företag ska ha ett inbyggt dataskydd och dataskydd som standard enligt kraven i artikel 25 i GDPR.
Inbyggd dataskydd
Inbyggt dataskydd handlar om att den personuppgiftsansvarige tar hänsyn till reglerna gällande integritetsskydd när de utformar sina it-system och rutiner. Med andra ord, ska företag vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna som behandlas och följa de övriga reglerna i GDPR.
Dataskydd som standard
Företag som omfattas av GDPR behöver också anpassa sin produkt/tjänst/system så att de är dataskyddsvänliga. Exempelvis genom att inte ha en förkryssad samtyckesruta eller göra det svårt att återkalla ett samtycke. Dessutom innebär det att företaget inte får behandla fler personuppgifter än nödvändigt för ändamålet. Vidare ska inställningar med högst integritetsskydd vara aktiverade som standard.
En fördel med att arbeta med GDPR genom ett agilt arbetssätt är att det underlättar arbetet med inbyggt dataskydd. Anledningen är att medarbetarna får möjlighet att ständigt analysera arbetet och försöka hitta förbättringsmöjligheter. I och med att dataskyddsförordningen är formulerad på ett sätt så att företaget inte riktigt blir slutligt färdiga med GDPR-arbetet, utan att man hela tiden ska förbättra sitt arbetet och väga in nya omvärldsfaktorer såsom ny teknik eller ny praxis, hjälper det med ett agilt arbetssätt.
Mer info
5S-modellen
En bra utgångspunkt vid arbetet med GDPR är att använda sig av den så kallade 5S-modellen. Modellen handlar kort sagt om att sortera GDPR-relaterade dokument och avtal, systematisera arbetet, städa bort onödiga personuppgifter, standardisera processer och skapa goda vanor inom företaget. 5S-modellen är bra att använda på arbetsgruppnivå istället för individnivå, för att medarbetarna ska kunna lära sig av varandras misstag och erfarenheter. Dessutom engagerar det medarbetarna mer, vilket är en bra faktor för att uppnå goda resultat med dataskyddsarbetet.