”Tänk att det kan vara så roligt att arbeta med dataskyddsförordningen. Det hade jag aldrig trott, det lät så tungt och tråkigt”.

Orden kom spontant från en medarbetare som deltagit i inventeringsarbete för att kunna ta fram en åtgärdslista. En annan reflekterade:

”Det beror nog på att vi pratar om massa andra saker också, sådant som känts konstigt… rutiner som man inte förstår, risker vi blundat för… Man blir lyssnad på och får bidra…”

Medarbetarna viktigaste resursen

Jag har förundrats över att så många verkar uppfatta GDPR som en fråga för IT. Visst är det viktigt att de stora systemen fungerar med ett gott inbyggt dataskydd, men det är i det dagliga arbetet – där system av olika slag används – som de största riskerna finns. Och det är också i det arbetet som GDPR-arbetet kan innebära möjligheter.

Det är också det här som är vår (min och medförfattaren Dag Wetterbergs) utgångspunkt i den nyutkomna boken Dataskyddsförordningen GDPR – förstå och tillämpa i praktiken:

Ett misstag en del organisationer gör är att tro att dataskyddsförordningen är en fråga som en specialfunktion som jurist- eller IT-funktionen kan fixa. Visst är det bra att jurister levererar rättsliga ställningstaganden och bistår i utbildning. Självklart behövs också IT-kompetens i genomförandet.

Det rätta är i stället att se frågan som en utveckling av hela verksamheten där specialfunktionerna juridik och IT får en viktig stödjande roll i arbetet. Det är ledningen som måste ta ansvaret och inte skjuta ifrån sig det till en del av organisationen. Inga-Lill Askersjö, ordförande i Dataskyddsutredningen, pekar på detta som en viktig faktor i intervjun som inleder bokens tredje del.

Man kan se arbetet som ett pussel … där den viktigaste pusselbiten är kärnverksamheten: det är i det dagliga arbetet, som medarbetarna utför, som det prövas hur väl organisationen i praktiken följer dataskyddsförordningens regler.

Det är därför också viktigt att medarbetare i kärnverksamheten deltar aktivt i införandearbetet.

Citatet är ett utdrag ur bokens andra del. I del 1 och 3 beskrivs rättsreglerna och i del 2 ges tips hur man kan arbeta med införandet.

Arbeta agilt och med kvalitet

Det är också viktigt att ha en förbättringskultur, att medarbetare få vara med och förbättra. Det går också alldeles utmärkt att arbeta agilt både i genomförandearbetet och i det fortsatta arbetet:

För att kunna arbeta med dataskyddsförordningen på ett bra sätt behövs kunskap och möjlighet att ständigt anpassas. Detta innebär att medarbetare som verkligen förstår och arbetssätt som lätt kan anpassas blir viktiga komponenter. För att enklare kunna anpassa organisationen och förbättra sig löpande är ett agilt arbetssätt därför att rekommendera.

—

Det agila arbetssättet passar bra ihop med tänket inbyggt dataskydd, eftersom det bidrar till att medarbetarna lär sig att aktivt reflektera över utfall och fundera över möjliga förbättringar. Såsom dataskyddsförordningen är formulerad är tanken inte att organisationen ska vara färdig vid en punkt; i stället förväntas den att hela tiden fundera över hur den kan förbättra sitt arbete och väga in omvärldsfaktorer (till exempel ny teknik eller ny rättspraxis).

(Utdrag ur bokens andra del)

Så – liksom i all annan verksamhetsutveckling med kvalitet: medarbetarna är er bästa tillgång! Låt dem vara aktiva och få bidra så kommer ni inte bara få ett gott inbyggt dataskydd – ni kommer också utveckla en effektivare verksamhet som värnar kundens integritet!