"GDPR genomsyrar hela organisationen - inte enbart IT-avdelningen eller juristerna"

Den 25 maj och ikraftträdandet av EU:s dataskyddsförordning GDPR närmar sig allt mer. Didrik Värmon, som är jurist på JP Infonet och specialiserad på personuppgiftshantering, hjälper dagligen organisationer med anpassningen till det nya regelverket. I denna intervju berättar Didrik om vad du bör känna till om GDPR. 

Hur går arbetet med GDPR som träder i kraft 25 maj?

– GDPR innebär en omställning för svenska organisationer, något som kräver ett stort arbete under våren, säger Didrik Värmon. I Sverige har vi haft ett omfattande undantag när det gäller behandling av ostrukturerade personuppgifter. Det gäller den typ av information som inte systematiskt finns registrerad och omfattar exempelvis e-post samt dokument sparade direkt på arbetsdatorer. Framför allt den stora mängd data som sparas via e-posthantering kommer att bli en stor utmaning.

­– Vi inväntar även klara besked om hur svensk nationell rätt kommer att omformas för att harmonisera med GDPR. Flertalet utredningar har tagits fram av regeringen, fortsätter han. 

Vad är viktigt att tänkte på för att komma i mål med uppstartsarbetet?    

– Börja med att utse en projektgrupp, svarar Didrik. Och inkludera funktioner från hela organisationen i den gruppen – inte enbart IT-avdelningen eller juristerna. GDPR genomsyrar hela organisationen och berör samtliga medarbetare som hanterar personuppgifter.

– Starta sedan arbetet med en inventering och skapa en tydlig bild av hur nuläget i er organisation ser ut. Baserat på inventeringen sätter du nya rutiner och tar fram tekniska lösningar där det behövs. Efter det väntar troligen ett stort arbete med att gallra och radera information. Den nya förordningen ställer nämligen betydligt högre krav på vad som får lagras än vad vi haft tidigare, fortsätter han.

– Om juridisk kompetens saknas i organisationen kan det vara en bra idé att inhämta extern kompetens för ett få guidning genom hela uppstartsprocessen. Ett annat verktyg som kan underlätta processen är den hjälp som verktyget JP ITnet erbjuder. Med det juridiska materialet tjänsten innehåller i kombination med den frågeservice som erbjuds i tjänsten får du den vägledning som behövs i uppstartsarbetet.

– I GDPR finns även ett utbildningskrav som ska tas i beaktande. Detta gäller inte enbart den projektgrupp som ansvarar för att uppdatera verksamheten i ljuset av GDPR. Förordningen innebär att vi alla behöver ändra vissa rutiner och arbetssätt. JP Webbkurs – Dataskyddsförordningen är ett bra alternativ för att nå ut brett. Våra kundanpassade utbildningar ute hos kund kan även de fungera som hjälp för att uppfylla det kravet.

Vilket sätt skulle du rekommendera för att arbeta vidare med personuppgiftshanteringen efter att den nya lagen träder i kraft?

– GDPR bör inte ses som ett enskilt projekt med ett fast slutdatum den 25 maj 2018, menar Didrik. GDPR handlar om att förändra vårt sätt att se på personuppgiftsbehandling i arbetslivet. Nya rutiner och tekniska åtgärder ska ha tagits fram och dessa behöver implementeras i det dagliga arbetslivet. 

– En omfattande omvärldsbevakning är dessutom att rekommendera då det fortfarande kommer att finnas oklarheter rörande tolkning och tillämpning av förordningen även efter att den trätt i kraft, avslutar han.

Vill du veta mer om hur JP Infonet kan hjälpa till med din organisations GDPR-arbete?

Läs mer här eller hör av dig till oss på info@jpinfonet.se. Upptäck även vår webbkurs GDPR bas som ger hela din organisation en komplett grundutbildning. 

Publicerad 23 jan 2018