Tips för att jobba praktiskt med GDPR

I torsdags bjöd vi in till webbinariet Jobba praktiskt med GDPR, och vi slog rekord i antalet anmälningar! Ni var många som ville komma och lyssna och lära er mer. Här kommer en kortare sammanfattning av de tips och råd vår föreläsare Tommy Staaff-Karlsson gav under cirka 45 minuter.

Först ut: Om du inte vet var du ska börja - börja med de grundläggande principerna. Använd sedan dessa som en kompass i arbetet. “Om du fastnar i ditt arbete, gå tillbaka, titta på dessa principer och utgå från dessa.”

Principerna är:

  • laglighet, korrekthet och öppenhet
  • ändamålsbegränsning
  • uppgiftsminimering
  • riktighet
  • lagringsminimering
  • integritet och konfidalitet
  • ansvarsskyldighet.

För att lyckas med en verklig förändring krävs det att organisationen beslutar att jobba tillsammans. Det är en omställningsresa, men gör organisationen detta ordentligt får de fler vinster på köpet.

Enklare att arbeta i grupp

Att arbeta ensam är svårt då det är en tungrodd uppgift. Detta problem återkommer flera gånger under webbinariets gång. Det går att lyckas med mindre förändringar, men det saknas ofta förankring i verksamheten om en person måste dra i dataskyddsarbetet ensam. Ibland går det inte att arbeta fler med dataskydd, resurserna räcker inte till. Då är tipset att du fokuserar på att utbilda resten av verksamheten och att utgå från de registrerades rättigheter. På så vis går det att komma en bit på vägen. Med en grundutbildning i dataskydd får alla anställda en bra grund och ju mer kunskap verksamheten har - desto bättre för de registrerades rättigheter. Ett enkelt sätt att göra detta är e-learning.
Läs mer om Visma Draftits e-learningkurser inom dataskydd.

“Om man inte ska vara ensam, hur många ska man vara då?” frågade någon i chatten.
Ett exakt antal går inte att säga, men 3-4 stycken är ett bra riktmärke. Det beror på storleken på organisationen också. Ett annat tips var förslag på vilka kompetenser som är bra om de finns med i dataskyddsarbetet. Förankra också denna gruppens mandat på ledningsnivå, tipsar Tommy.

image-png-1
Att arbeta praktiskt med dataskydd kräver också insikt om organisationen. En person som arbetar med dataskyddsfrågor kan uppfattas av andra som någon som “lägger sig i” och som kan vara stolpig. Därför är det bra om personen är en lyssnare och är intresserad av anledningen till varför personer ute i verksamheten arbetar på ett visst sätt. Personen behöver också vara modig och kunna ta obekväma beslut. När rutiner ska ändras kan en viss frustration uppstå “Varför ska vi göra detta?” är en vanlig fråga, så förbered dig redan med att ha svaret på denna fråga färdig. Om utbildningsinsatser har gjorts innan så är det lite enklare. 

Hur börjar man? 

Börja med en genomlysning, här kan det krävas extern hjälp. “Var är vi och vart ska vi nå?” är bra frågor att ha med sig i utgångsläget. Visma Draftit erbjuder stöd med en health check. Utbildning är som tidigare nämnt ett bra och effektivt sätt att sprida kunskap. Genomlys även era biträdesrelationer, särskilt för de system som hanterar känslig information så som ekonomi eller hälsouppgifter. 

I arbetet med dataskydd behöver det också säkerställas att organisationen tillgodoser de registrerades rättigheter. Många organisationer är oförberedda vid begäran av ett registerutdrag. Säkerställ att behandlingar dokumenteras utifrån processer, inte system, då detta förenklar arbetet och skapar mervärde för organisationen. Titta på vilka processer som finns, hur gör vi om vi får en förfrågan om registerutdrag? Säkerställ att rutiner finns på plats, vem gör vad? I webbinariet betonas att det inte är en fråga om OM utan NÄR någon utövar sina rättigheter, så var redo. I de fall då vite utdöms är det ofta på grund av att individens rättigheter inte har uppfyllts. 

"För mig som är ganska ny i rollen, hur börjar jag?" undrar en lyssnare.
- Då rekommenderar jag att gå en utbildning, etablera kontakter du behöver ha, gärna med registratur/arkivet/hr, titta igenom vad som finns och prioritera. Och framför allt är det en inlärningsperiod, svarar Tommy.

I detta blogginlägg finns bara ett litet axplock av alla de uppskattade råd och tips och svar på frågor som gavs under webbinariet, bland annat gick han igenom registerförteckning och incidenthantering mycket djupare och svarade på många fler lyssnarfrågor under tiden.

Relaterade inlägg