GDPR – vad behöver vi göra?

/i , , /av

I slutet på maj 2018 kommer den, nya dataskyddsförordningen GDPR, och med den ett förhoppningsvis helt förändrat synsätt på (EU)medborgarnas integritet. Den påverkar i princip alla företag och myndigheter som hanterar persondata som rör EU-medborgare. Enligt en kartläggning av International Association of Privacy Professionals (IAPP) saknas det minst 75 000 dataskyddsombud runt om i världen för att kunna hantera GDPR.

Vi vet att det är en mycket tuffare förordning än tidigare och att det från och med maj 2018 blir en finansiell risk att hantera persondata. Fyra procent av den globala omsättningen eller 20 miljoner Euro i vite i värsta fall. Utmaningarna är många, men det finns också nya möjligheter. Vi tror att morgondagens vinnare är de som gör ett aktivt val och tar till vara dessa möjligheter. Vi är övertygade om att det är en enorm konkurrensfördel att kunna uppvisa compliance och transparens gentemot GDPR.

Hur sker detta bäst, vilka är framgångsfaktorerna?

  1. Kom igång med ditt projekt – bemanna upp med rätt resurser och starta resan. Ansvariga roller – är de bemannade ännu eller krävs nyanställningar? Det är 536 dagar kvar och nyckelresurser och specialistkompetenser måste säkras omgående för att hinna med nödvändiga steg.
  2. Säkra aktiv förändringsledning redan från början – GDPR låter måhända hårt och handlar till många delar om teknik, men den stora ändringen ligger i det mänskliga beteendet och förmågan att implementera ”det nya” i vardagen. Det vill säga inställningen att vi ska respektera den personliga integriteten i allt vi gör. Utan att tappa fokus på våra affärsmål och nytta. Förändring tar tid. Att förstå varför förändringen är nödvändig och att vilja ändra sitt beteende sker inte över en natt. Förändring möts ofta av rädsla och det kommer att finnas motstånd. Ett exempel på detta är hanteringen av ostrukturerad data som är väldigt utbredd i Sverige. Vi sparar väldigt mycket i gemensamma kataloger. Detta måste bemötas på ett planerat och strukturerat sätt för att lyckas ända fram med önskad förändring.
  3. Genomför en GAP-analys för att ringa in din verksamhets främsta utmaningar och viktigaste åtgärder. Identifiera gap:en och sätt ert önskade läge.
  4. Process och PIA (Privacy Impact Assessment). GDPR ställer utökade krav på dokumentation samt risk- och konsekvensbedömning av känsliga personuppgifter. Det innebär att om ni inte redan har en en process för att sätta önskad nivå utifrån riskaptit så behöver ni sätta det på plats och hitta hur era beslutade vägval ska dokumenteras.
  5. Kvalitetssäkring. När ni kommit en bit på vägen så våga genomföra en projektgranskning för att se hur ni ligger till och identifiera om det behövs ytterligare åtgärder av projektet. Projektgranskning är ett ypperligt instrument i pressade lägen och kan vara en värdefull språngbräda. För att säkerställa att ni är på rätt väg för att uppnå compliance så genomför gärna en internrevision för att säkerställa att gapet minskar och ni är på väg mot mål.

Kontakta oss om GDPR

Känns GDPR som ett oöverstigligt hinder med ett omöjligt målsnöre? Så ska det inte vara! Boka in ett möte med oss så hjälper vi er med mod, inspiration och pragmatisk projektbalans så att ni också hittar möjligheterna med GDPR.

Lucia Larsson och Berit Joa
Projektledare på Moment

Detta är det tredje och sista inlägget (för den här gången) om GDPR:
Del 1: Framtidens vinnare respekterar den personliga integriteten
Del 2: GDPR – är det värt att stressa över?

[gravityform id=”1″ title=”true” description=”true”]