GDPR är ett hett ämne som har väckt starka känslor hos många. Ämnet har varit
på tapeten en längre tid nu och höga sanktionsavgifter har gjort den nya
lagstiftningen omöjlig att bortse från. Alla är mitt uppe i arbetet med att
anpassa sin organisation till de nya kraven, med fullt fokus på 25 maj.
Men det många kanske glömmer mitt i all
stress är att det finns en tid även efter den 25 maj. Då ska GDPR vara en integrerad del i verksamheten, i
vardagen. Det handlar alltså om helt nya rutiner och
attityder, och för att åstadkomma detta behövs förändringsledning.
Vad handlar GDPR om egentligen?
Innan vi går in på hur
förändringsledning hänger ihop med GDPR tänkte jag börja med att reda ut vad
GDPR är för något. GDPR (General Data Protection Regulation) är EU:s nya dataskyddsförordning
som börjar gälla den 25 maj 2018. Lagstiftningen har kommit till för att skydda
våra mänskliga rättigheter i en alltmer digitaliserad värld. Det är ingen
överdrift när jag påstår att GDPR angår alla organisationer på ett eller annat
sätt. Lagstiftningen täcker in allt som kan identifiera en nu levande person,
direkt eller indirekt.
Det är sant att GDPR inte skiljer sig
så mycket från den idag gällande Personuppgiftslagen (PuL). Principen att
skydda den enskilda individens integritet är densamma även om den nya
lagstiftningen har anpassats till samtiden. GDPR ställer i likhet med PuL en
rad krav på hur personuppgifter ska hanteras för att säkerställa individens
integritet och konfidentialitet. En viktig skillnad är emellertid att den nya
lagstiftningen kräver att organisationen kan påvisa att de efterlever
regelverket. Dessutom försvinner missbruksregeln, vilket innebär att
lagstiftningen även omfattar ostrukturerade data såsom e-mail och lokalt lagrade excelfiler, worddokument, bilder
och inspelningar.
Förändringsledning
säkerställer efterlevnad – genom hela organisationen
Varför kommer förändringsledning in i
bilden? Många jag har varit i kontakt med tror att GDPR bara är en IT-fråga.
Här vill jag bestämt hävda att GDPR i högsta grad är en verksamhetsfråga. Lagstiftningen
påverkar de flesta delarna i organisationen. Från och med 25 maj kommer det att
krävas helt nya förfaranden för att säkerställa efterlevnad. Många kommer att
behöva införa nya rutiner för att hantera ostrukturerade data. Rutiner som
beskriver vad som får lagras och hur vi arbetar med våra datorer. Det kommer
krävas nya beteenden, precis som vid vilken verksamhetsförändring som helst.
Utan aktiv förändringsledning riskerar organisationen en
situation där medarbetarna fortsätter arbeta utifrån tidigare rutiner; fortsätter
lagra excellistor och anteckningar lokalt, och fortsätter samla på sig personuppgifter
bara för att de kan vara ”bra att ha”. I en sådan situation riskerar organisationen
en överträdelse som enkelt hade kunnat undvikas. Så glöm inte bort den mänskliga faktorn mitt
i all stress. Nedan har jag listat några saker alla bör ha i åtanke under arbetet
med att implementera och efterleva GDPR.
1. Kommunikation är en viktig pusselbit i alla
förändringar. Genom att kommunicera varför förändringen är nödvändig skapas
engagemang och förståelse för den nya lagstiftningen. Det motiverar medarbetarna
till att tänka annorlunda, och lägger dessutom en god grund för en attityd där individernas
integritet hela tiden tas i beaktning.
2. Underskatta inte vikten av att utbilda
samtliga medarbetare i GDPR. Det kan vara antingen genom en kortare
genomgång i grupp eller digitalt genom exempelvis e-learning. Med kunskap i
ämnet blir det enklare att förstå varför det är viktigt att följa de nya
rutinerna. Det kan även bidra till att skapa en kultur där alla hjälps åt att
identifiera brister och förbättringar.
3. När organisationen
kommit en bit på vägen kan det vara bra att kvalitetssäkra och granska
projektet för att se hur arbetet ligger till och identifiera om det behövs
ytterligare åtgärder. Efterföljs de nya arbetsprocesserna?
Har det under resans gång framkommit nya brister som behöver åtgärdas?
Genom aktiv förändringsledning kan ni skapa en
bestående beteendeförändring – en förändring som sträcker sig bortom den 25
maj. Om du känner dig osäker har vi på BiTA lång erfarenhet av att arbeta med
förändringar av olika slag. Hör gärna av dig om du har några frågor, eller
behöver råd gällande just er situation.
GDPR i praktiken - Vill du lära
dig mer konkret hur du tillämpar lagstiftningen är du välkommen att anmäla dig
till vår GDPR-utbildning. Nästa tillfälle är i Stockholm
den 12–13 mars 2018.