Införandet av GDPR innebar en stor förändring för praktiskt taget alla företag och organisationer i Sverige.
Efter omställningen inser nu allt fler att man även måste följa upp regelefterlevnaden löpande, GDPR-experten Jonas Olsson berättar hur man bäst gör detta.
GDPR:s inträde i maj 2018 innebar för många organisationer ett omfattande förändringsarbete med system och styrdokument som förändrade rutiner och vanor inom det dagliga arbetet. Det lades stora resurser på anpassningar för att lösa de tekniska utmaningar som GDPR ställer på IT-system, vilket krävde involvering av många olika kompetenser.
Man inventerade register och de personuppgifter som samlades in. Varför samlas de in? Hur behandlas de? Man skapade interna beskrivningar av hur personuppgifter hanteras, hur behörigheter tilldelas och hur hanteringen av data i e-post och registrering i fritext gick till. Informationstexter för extern kommunikation upprättades, som nu redovisas i samband med att personuppgifter samlas in, där man beskriver vad som registreras, varför och hur uppgifterna behandlas.
För många var det ett tungt arbete, särskilt i informationsintensiva branscher såsom bank, försäkring, retail, med flera. Samtidigt fanns en stor förståelse för förändringen, där vi alla nog kände en osäkerhet och en maktlöshet inför var vår personliga information tog vägen på internet. Bra informationshantering och därmed hög regelefterlevnad är idag en reell konkurrensfördel även ur ett affärsmässigt perspektiv. Det bidrar till organisationens rykte, ökar kundernas och medarbetarnas förtroende och säkerställer att personlig information är korrekt, relevant och säker.
Men efter det stora initiala arbetet med GDPR var det nog många organisationer som behövde en paus i förändringsarbetet, för att under 2020 inse att detta inte var ett engångsprojekt utan en ständig verksamhetsutveckling.
Vikten av relevanta jämförelser
Vi arbetar med compliance (regelefterlevnad) för GDPR och en lång rad andra både svenska och europeiska regelverk. Till skillnad från många andra regelverk – inte minst finansiella – där man redan har en rutin för det fortlöpande kvalitetsarbetet, upplever vi att detta ofta saknas för GDPR. Idag är det därför många organisationer som känner sig osäkra på hur väl de efterlever GDPR.
Det många missar enligt vår erfarenhet är att ha någon slags indikator att jämföra sig mot gällande den egna regelefterlevnaden. Det kan vara antingen en benchmark mot andra organisationer eller mot sig själv över tid.
Ett av de bästa sätten att göra detta på är genom en organisatorisk självbedömning (compliance assessment), där medarbetare får fylla i en enkät om hur de upplever regelefterlevnaden i sitt dagliga arbete. På så vis kan man fånga upp brister, skapa egna jämförelsetal att följa upp mot (vi rekommenderar att man gör det max en gång om året) och på köpet visa att frågan är prioriterad internt.
Svaren på enkäterna behandlas därefter och sätts i en struktur som ger en väldigt tydlig och grafisk överblick. Dels organisatoriskt med den struktur som kunden har valt, dels utifrån strukturen i GDPR.
Compliance Assessment för MTG
En av våra kunder som ville ha hjälp med just detta var MTG som är ett ledande investeringsbolag med fokus på esport och gamingunderhållning. MTG har en bolagsportfölj som inkluderar några av de starkaste varumärken i dessa industrier och ville få en överblick över hur dessa bolag efterlever GDPR.
MTG vände sig till MUM Compliance för en compliance assessment där vi kartlade de ingående bolagens efterlevnad och vilka delar av GDPR och vilka bolag de behöver fokusera framöver.
”Med en Compliance Assessement har vi nu ett underlag där ledningen tydligt kan se hur läget är och vilka beslut vi måste ta”
– Karlis Strazdin, Director, governance, risk and compliance på MTG.
Efter en genomförd kartläggning får våra kunder ett tydliggörande av verksamhetens regelefterlevnad och en dokumentation av dataskyddsarbetets effektivitet. Detta kan sedan användas som ett beslutsunderlag till ledningen och som ett underlag för att arbeta med de områden eller delar av organisationen som behöver mer fokus för att höja regelefterlevnaden.
Vår tjänst ”Regelefterlevnad GDPR” levereras som ett fastprisåtagande med kort leveranstid. Vill du ha hjälp att bedöma er regelefterlevnad för GDPR? Kontakta oss så berättar vi gärna mer!
