Nacka Energi: Så förbereder vi oss inför GDPR

Att GDPR, den nya dataskyddsförordningen, träder i kraft i maj 2018 är det nog få som har missat. Vi har intervjuat Sanna Askelöf från Nacka Energi som berättar hur verksamheten har förberett sig.

Nacka Energi

Sanna Askelöf, ansvarig projektledare för GDPR på Nacka Energi, berättar om hur bolaget förbereder sig för att möta den nya lagstiftningen. I den här artikeln delar hon med sig av Nacka Energis väg mot GDPR.

- Den enskildes rätt till ett privatliv borde vara en självklarhet, men den tekniska utvecklingen har gått snabbt och jag upplever ofta att integritetsskyddet har blivit lidande. Jag tycker att det är positivt att GDPR bidrar till att lyfta frågan och att företag får större press på sig att vidta åtgärder.

-Jag tror också att GDPR kan innebära organisatoriska fördelar, t.ex. bättre kontroll på informationshanteringen och en chans att lyfta informationssäkerhetsfrågorna. GDPR och informationssäkerhet går hand i hand och kanske kan förordningen även bidra till ett förebyggande ledningssystem i en tid då IT-attackerna blir vanligare. Med den nya lagstiftningen tvingas vi skapa gemensamma rutiner och riktlinjer och ett mer standardiserat arbetssätt. Det måste vara lätt att göra rätt. Jag tror också att detta kan bli en konkurrensparameter framöver och att det kommer att dyka upp certifieringar på området inom kort, inleder Sanna Askelöf.

1. Vilka faktorer inverkar inom er bransch?

-Energibranschen är enorm men det som kan sägas är väl att mängden data ökar explosionsartat inom vår bransch, precis som i andra branscher i takt med att vi blir mer uppkopplade. Det ligger en utmaning i att hantera den stora mängden data. Ju mer data man samlar in, desto mer information blir man ansvarig för. Då ökar också vikten av en god informationssäkerhet och ett systematiskt kvalitetsarbete för att skydda den personliga integriteten, säger Sanna Askelöf.

2. Var börjar man någonstans?

-Nacka Energi inledde förberedelserna för cirka ett år sedan. Vi började med att utföra en nulägesanalys för att ta reda på hur vi lever upp till lagstiftningen idag. Sedan har vi arbetat mycket med att höja medvetenheten om dataskyddsfrågorna internt och genomfört en grundläggande inventering av verksamhetens hantering av personuppgifter. En förutsättning har varit att alla medarbetare inledningsvis fick gå en grundkurs i dataskyddslagstiftningen, säger Sanna Askelöf.

-Vi håller just nu på att avsluta kartläggningsfasen som pågått under en längre tid och befinner oss i början av en period bestående av juridiska analyser och konkreta åtgärder. Vi har upprättat en registerförteckning som beskriver våra behandlingar av personuppgifter och som ligger till grund för analys och den åtgärdsplan som vi kommer att arbeta med under hösten. Till våren hoppas vi kunna implementera nya arbetssätt och rutiner för att så småningom lämna över till förvaltningen, säger Sanna Askelöf.

3. Hur ska man prioritera?

- GDPR ställer krav på många olika delar av verksamheten och det kan vara svårt att veta i vilken ände man ska börja. Jag tror på ett bra förarbete för att identifiera sina brister och därefter prioritera åtgärderna utifrån vad som är mest akut. Tid och kostnader drar ju lätt iväg, och det lönar sig förstås om man lyckas prioritera rätt från början. Men jag tror också att det är viktigt att kunna ändra kurs om man behöver skifta fokus under resans gång, säger Sanna Askelöf.

-Det ligger också en utmaning i att hitta en rimlig nivå på anpassningsarbetet, men man ska samtidigt komma ihåg att om man har varit duktig på PUL och dessutom har en god informationssäkerhet så är man redan en bra bit på vägen, betonar Sanna Askelöf.

4. Vilka roller ska involveras och när?

GDPR är kostsamt och resurskrävande att hantera, därför är det viktigt att frågan är ordentligt förankrad i ledningen. Sanna Askelöf menar att alla roller är viktiga i arbetet.

-Alla behöver information och utbildning. Utan medarbetarna kommer man ingenstans. Varje anställd är jätteviktig i kartläggningsarbetet eftersom informationen om verksamheten finns just ute i verksamheten, säger Sanna Askelöf.

-En del verksamhetsområden behöver involveras lite extra, t.ex. IT, Kundtjänst och HR men också medarbetare som jobbar med förvaltningsfrågor och säkerhet. Man behöver samtidigt ha en dialog med sina leverantörer och personuppgiftsbiträden. I analysarbetet behövs också en hel del juridisk kompetens, något som många bolag kanske behöver ta in utifrån, tillägger Sanna Askelöf.

5. Vilka risker finns?

Att inte efterleva lagstiftningen kan som det ser ut snabbt få kostsamma konsekvenser, oavsett verksamhetsstorlek, budget och personalstyrka. Men Sanna Askelöf menar att det finns fler aspekter än de legala.

-Företag som inte tar dataskyddsfrågan på allvar tror jag riskerar att bli av med både kunder och anställda. Om människor upplever att deras rättigheter inte respekteras leder det med största sannolikhet till negativ publicitet och en försvårad nyrekrytering. Som företag riskerar man nog tyvärr sitt anseende.

-För att minimera dessa risker tror jag framförallt på återkommande utbildning, tydliga riktlinjer och kvalitetssäkra rutiner. Vi behöver ha en gemensam styrning för att upprätthålla ett löpande kvalitets- och informationssäkerhetsarbete. Och vi behöver ha en god dialog med varandra, både internt och externt. Vi ska inte bara göra det här för att vi måste, utan för att vi har ett ansvar och för att vi själva tycker att det är viktigt.

Så undviker du GDPR-panik:

  • Titta på hur andra verksamheter hanterar frågan, både utanför och inom din bransch
  • Behåll lugnet och blicka inåt - vilka brister har vi i vår verksamhet?
  • Ta en sak i taget, annars är det lätt att drunkna i åtgärder
  • Välj samarbetspartner med omsorg, det finns många experter
  • Slutligen – Kom igång nu, börja där du står