Den mediala uppmärksamhet som ämnet dataskydd skördat under hösten 2017 var ett sanktionernas evangelium, dock inte ett glatt sådant. Själva dataskyddsfrågan sveptes bort av panikens virvelvindar, de som uppstod vid tanken att 4% av den globala årsomsättningen eller 20M€ stod på spel. Men dessa är också fantasibelopp som trots sin wow-faktor är lite svåra att ta in och ta till sig – med följden att många ledningsgrupper, främst hos små och medelstora företag, helt enkelt inte har ”nappat” än. Och det är mindre än 70 dagar kvar till den 25 maj.
Tröskeln att sätta igång det som så populärt heter ”GDPR-projekt” känns hög. De prydligt radade orden i förordningen – ca 50 000 ord i den svenska versionen – kräver snudd på övermänskliga krafter att läsa, i den mening att dess tolkning och tillämpning sällan kan trängas inom en och samma hjärnbark. Så vad handlar GDPR om? Jo, ansvar såklart.
En fråga för hela organisationen
Dataskyddsförordningen vill att företag ökar graden av lagligt, korrekt, öppet och transparent beteende när det gäller behandling av personuppgifter; de må vara hårdvaluta men de ägs inte av företaget utan av varje individ vars rättigheter omfattar att kunna styra hur företag får använda dem. Förordningen är en tydlig fördelning av skyldigheter och rättigheter där de förstnämnda ofta verkar ”misslanda” i knät på en redan överbelamrad IT-chef eller chefsjurist. Poängen är att dataskydd är en fråga för hela organisationen – det spelar ingen roll om IT har planerat en rad skyddsåtgärder om inköp fortsätter att upphandla system utan inbyggt dataskydd. Och det kvittar om chefsjuristen uppdaterat biträdesavtalen om ingen förstått vem som bestämmer över ändamålen med de behandlingar som omfattas av dessa. Det är ett slag i luften att ha jobbat ihop en stadig informationsklassificering om större delen av organisationen fortsätter att prenumerera på hamstringskonceptet och den fristående informationsklassen ”bra att ha” utan hänsyn till vilka personuppgifter som får och inte får registreras.
Det krävs ett omtag: utbildning, verksamhetsanalys och nya typer av resonemang och strukturer, enkelt omsatta till fungerande rutiner. Och det krävs att ledningsgrupper både förstår och engagerar sig i vad som kan utgöra en risk för individen såväl som vad som potentiellt kan vara en risk för själva företaget. För det är fler steg till sanktionsavgifter än till att tillsynsmyndigheten kan dra i handbromsen för de delar av verksamheten som inte uppfyller ställda krav.
Det var en gång en ledningsgrupp
Så vad händer den 25 maj? Jag tror inte att vi kommer att få se en rad illasinnade rättshaverister vända sig till tillsynsmyndigheter för att störta bolag de anser sig blivit kränkta eller orättvist behandlade utav – men jag gissar att alltfler kommer att syna företag i sömmarna när det gäller hur de vävt in dataskydd i sin värdegrund. Vinnarna bland företagen? De som öppet kan redogöra för sin personuppgiftsbehandling och de som kan föra riskbaserade dataskyddsresonemang. De som förstått hur GDPR kan tillämpas och på vilka sätt verksamheten behöver anpassas för att göra sina kunder trygga. De som förankrar ansvaret där de formella besluten fattas.
Det var en gång en ledningsgrupp… Det är inte början på en saga. Det är rätt goda förutsättningar för att ta sig an och börja förstå hur ämnet dataskydd kan skapa ett nytt slags organisationskultur – en kultur som kan hjälpa företag att behålla sina kunders lojalitet, skapa förtroende och effektivisera sin verksamhet. För det finns väl inga ursäkter för att låta bli att ta ansvar för sin affär?