Hanna Kjellman: ”En av de största utmaningarna med GDPR”

Hanna Kjellman är jurist på JP Infonet och är expert på GDPR och personuppgiftsfrågor. Dagligen stöttar hon både företag och myndigheter i deras arbete med den nya förordningen som träder i kraft nästa vår. Här berättar hon mer.

Vilka skulle du säga är de största GDPR utmaningarna som olika organisationer har idag?

- I Sverige har vi haft ett omfattande undantag när det gäller behandling av ostrukturerade personuppgifter. Det gäller den typ av information som inte systematiskt finns registrerad och omfattar exempelvis e-post samt dokument sparade direkt på arbetsdatorer. Framförallt den stora mängd data som sparas via e-posthantering kommer bli en stor utmaning, berättar Hanna.

– GDPR innebär inte ett förbud att mejla personuppgifter, men som organisation behöver du ha rutiner och struktur för detta, förtydligar hon. Du behöver också ta fram en tydlig strategi för utgallring av e-post, vad som ska sparas och en motivering till varför. 

Hur skulle du rekommendera att man organiserar sitt GDPR arbete? Vart börjar man och hur kommer man vidare? 

- Börja med att utse en projektgrupp. Och inkludera funktioner från hela organisationen i den gruppen – inte enbart IT-avdelningen eller juristerna. GDPR genomsyrar hela organisationen och berör samtliga medarbetare som hanterar personuppgifter, förklarar Hanna. Om du tidigare arbetat med ISO-certifiering vet du vad det innebär, det är mycket mer än enbart ett IT- eller juridikprojekt.

- Starta sedan arbetet med en inventering och skapa en tydlig bild av hur nuläget i er organisation ser ut, fortsätter hon. Baserat på inventeringen sätter du nya rutiner och tar fram tekniska lösningar där det behövs. Efter det väntar troligen ett stort arbete med att gallra och radera information. Den nya förordningen ställer nämligen betydligt högre krav på vad som får lagras än vad vi haft tidigare. Slutligen ska hela verksamheten utbildas.

Vad är viktigast att tänka på? Finns det något som många missar?

- Det viktigaste är att få koll på känsliga personuppgifter. Att de är skyddade både tekniskt och organisatoriskt och att det finns rutiner för hur de får behandlas och hur de ska gallras, säger Hanna. Hon berättar att hon märkt att många har väldigt olika syn på vad man lägger i begreppet ”personuppgift” och att GDPR:s definition av begreppet ofta inkluderar många fler uppgifter. Därför är det viktigt att just GDPR-definitionen kommuniceras ut så att alla vet vad som menas när du pratar om ”personuppgifter” inom organisationen.

- Många missar också vart alla personuppgifter finns. Ett svenskt företag kan ha uppgifter hos en leverantör som har sina servrar placerade utanför EU. Detta är något som förordningen kräver att du ska ha koll på, förklarar hon. Samma sak gäller informationen som finns sparad analogt, till exempel listor som printats och lagrats i pärmar och liknande. Även denna data inkluderas av förordningen.

Vad finns det för fördelar med att låta en extern part stödja det interna arbetet?  

- De som arbetar inom en organisation har såklart bäst inblick i verksamheten – men det leder ibland till att du blir hemmablind. Mycket inom en verksamhet tenderar att vara underförstått och uppfattas som självklart, men även detta måste inventeras och dokumenteras. Här kan en extern part vara till hjälp, anser Hanna.

Hanna pekar även på att hela organisationen ska utbildas. - Se till att få detta gjort, säger hon. En webbkurs löser snabbt och smidigt kravet på utbildning och dessutom får samtliga medarbetare den nödvändiga dokumentationen som krävs.   

- Glöm inte att du också måste hålla dig ajour. Hela tiden kommer nya utredningar om uppdateringar som krävs i lagstiftningen. Exempelvis påverkas skolan, socialtjänsten och vi får dessutom en helt ny kamerabevakningslag, berättar Hanna.

Hur stödjer JP Infonet organisationer inför dataskyddsutmaningar?

JP Infonet specialiserar sig på att ge praktiskt juridiskt stöd hela vägen ut på verksamhetsnivå. Vi hjälper dig inte enbart att förstå vad GDPR innefattar utan ger även stöd i hur förordningen ska tillämpas i praktiken. För oss innebär det att utnyttja hela vårt erbjudande med kompletta informationstjänster som JP ITnet där även en frågeservice ingår, rådgivning och kompetensutveckling med kundanpassade utbildningar, öppna utbildningar och webbkursen Dataskyddsförordningen.

Vill du veta mer om våra juridiska tjänster?

Här kan du läsa mer om alla erbjudande inom GDPR

Publicerad 19 sep 2017