GDPR – är det värt att stressa över?

/i , , /av

Den nya dataskyddsförordningen GDPR (General Data Protection Regulation) träder i kraft 25 maj 2018. Vad innebär det för ditt företag? Är det inte bara Personuppgiftslagen (PuL) i ny förpackning och ”business as usual”? Är det så mycket att stressa över egentligen?

Den nya förordningen är betydligt mer strikt än PuL och den berör alla myndigheter och företag, inklusive föreningar. Dokumenterade processer måste uppvisas för hur persondata hanteras i verksamheten, med tydlig motivering hur data skall användas och under hur lång tid. Den enskilda individen har också rätt att begära uppgifter om vad just deras data används till och hur länge de sparas och det måste finnas ett tydligt samtycke. Nya förordningen innebär också slutet för hantering av ostrukturerad data som t.ex. excelfiler, personuppgifter i mejl och så vidare.

Organisation och arbetssätt

Det ställs högre krav på åtkomstbegränsning, behörighetsstyrning, system och teknik och det är lätt att förledas att tro att det är ett IT-projekt att säkra efterlevnaden av GDPR.

Det handlar dock ännu mer om organisation och arbetssätt och de människor som dagligen jobbar i organisationen. Det är en förändringsresa där nya processer och rutiner också måste åtföljas av tydlig förändringsledning, av utbildningsinsatser och kunskapshöjning i det nya.

Att inte leva upp till den nya förordningen kan bli dyrt i flera avseenden. Kostnadsmässigt kan det kosta företag upp till 4% av den globala omsättningen att inte leva upp till förordningen. Avseende varumärke och kundförtroende kan det på en konkurrensutsatt marknad också vara förödande att inte leva upp till förordningen. Vi lever i en tid då det har blivit vardagsmat med allt från kunduppgifter som säljs vidare till andra företag till regelrätta dataintrång och bedrägerier med stulna personuppgifter. Frågan är om ett företag har råd att riskera sitt rykte på dålig säkerhet och bristande efterlevnad av gällande regelverk.

Hur redo är du?

Det är viktigt för alla organisationer att redan nu ställa sig frågan hur redo man är för den nya förordningen, samt vilka risker man är villig att ta. Förutsättningar kan variera mellan olika företag. Ett stort och traditionsrikt företag kanske har väldokumenterade processer, men sliter samtidigt med en stor, kraftigt föråldrad systempark där nyckelkompetensen har gått i pension eller slutat. Det mellanstora e-handelsföretaget kanske sliter med hur man egentligen skall förstå GDPR-kraven. Hur skall samtycke inhämtas för den stora mängd kundinformation man har och hur ska eventuella intrångsbrott undvikas eller rapporteras om skadan sker? Och för företag verksamma i flera länder – under vilken dataskyddsmyndighet hamnar företaget då?

Hur säkrar man sitt iordningställande inför den nya förordningen och hur säkrar man efterlevnad i det dagliga? Och hur vill man närma sig utmaningen – som ett regelverksprojekt eller som en förändring där man på köpet hittar möjligheter att stärka sin konkurrenskraft? Går det att välja att se det som en möjlighet att vinna högre kundförtroende, attrahera fler kunder, ta större marknadsandelar, eller kanske bli snabbare än konkurrenterna?

Vi som jobbar med stora projekt och omställningar ser att det innebär ganska mycket arbete för många företag att göra resan inför nya förordningen. Det är stora investeringar och det tar tid att etablera nya eller förändrade arbetssätt. Vi ser att det finns mycket att vinna på en bra förändringsresa och det är hög tid att starta resan nu. GDPR – är det värt att stressa över – ja, det är vi övertygade om!

Lucia Larsson och Berit Joa
Projektledare på Moment

 

Detta är det andra av tre inlägg om GDPR:
Del 1: Framtidens vinnare respekterar den personliga integriteten
Del 3: GDPR – vad behöver vi göra?

 

Vårt frukostseminarium om GDPR är fullbokat men kontakta oss gärna om du är intresserad av ett separat tillfälle.