När den nya dataskyddsförordningen träder i kraft nästa år i maj kommer EU-medborgare att kunna vända sig till företag och organisationer för att begära att få sin information raderad. Men den regeln gäller med viss modifikation för myndigheter.

– Nej, man kommer inte att kunna vända sig till Kronofogden och begära att få bli bortglömd av oss, även om det säkert finns många som skulle vilja det, konstaterar CIO Pär Rasmusson.

Däremot kommer myndigheter, lika väl som företag, att på flera andra sätt bli tvungna att se över sina system och processer för att anpassa sig till det nya EU-regelverket.

– Än är det ganska oklart exakt hur vi påverkas. Finansdepartementet ser över behovet av förändringar i våra registerför-fattningar och under våren lär det komma för-­djupande beskrivningar, tror Pär Rasmusson.

Läs också: Fogden flyttar in – och Pär Rasmusson får bygga upp en helt ny it-avdelning från grunden

Sedan i mars förra året pågår även ett samarbete mellan flera svenska myndigheter, kommuner och landsting, inom ramen för Esam, för att se över vad som kommer att krävas för att leva upp till GDPR. Här ingår bland annat Kronofogdemyndigheten.

– Vi tittar gemensamt på hur förordningen kommer att påverka oss och hur vi bör arbeta framåt, berättar Pär Rasmusson.

Nätverket består av tre utskott som går igenom olika delar av lagstiftningen. 
Slutligen arbetar Kronofogden också självständigt med att försöka förstå vilka som kommer att bli de största förändringarna för den egna verksamheten.

– Steg ett är att titta på hur lagen påverkar vår informationshantering. Steg två blir att fundera över hur våra informationsmodeller ser ut, alltså hur vår information är lagrad och hur den används, säger Pär Rasmusson.

– När den analysen är gjord får vi försöka avgöra om det är något som gör att vi måste bygga om våra it-lösningar – och hur omfattande det arbetet i så fall kommer att bli.

Läs också: Så förbereder hon Attendo för GDPR – "just do it!"

Något av det första man kommer att göra är också att tillsätta ett dataskyddsombud som ska leda det juridiska arbetet tillsammans med Kronofogdens rättsavdelning.

– Vi vet att det finns ett antal saker som vi måste titta på, exempelvis hur vår person­uppgiftsbehandling ser ut, och om det finns några risker för dem som är registrerade hos oss. Det är ju inte ”samtycke” när det gäller en myndighet som vår, men man har ändå rätt att få reda på hur vi behandlar uppgifter och att vi gör det på rätt sätt.

Vilka ser du som de största GDPR-utmaningarna det närmsta året?

– Det är att säkra att vi har kontroll över all vår information och beskriva hur den ska användas. Eftersom vi är en myndighet som hanterar mycket känslig information har vi många delar på plats. Men inte alla. Den nya förordningen skärper exempelvis kraven på de förteckningar över personuppgiftsbehandlingar vi gör. Vi måste titta på hur förteckningarna ska se ut. Kan vi plocka från befintliga system eller behöver vi hitta nya modeller?

Vilket ansvar har du som CIO?

– Jag är ansvarig för it på Kronofogden och det innebär att det är jag – i samråd med it-medarbetarna – som styr över hur vi implementerar it-lösningar och hur vi hanterar informationen i dem. Jag har ett övergripande ansvar för att våra lösningar följer lagen, samt våra interna policyer och riktlinjer. Jag har också huvudansvaret för hur vi arbetar med portföljstyrning av it och arkitekturstyrning. Allt detta påverkas av GDPR!

Hur mycket resurser lägger ni på GDPR-frågan i dagsläget?

– Idag är vi tre personer som tittar på GDPR, men än vet vi inte hur stort det blir. Vi har en modell för att dra igång projekt, och om vi i vår förstudie kommer fram till att vi måste göra stora ombyggnationer i it-system kan det krävas betydligt större resurser.

Kommer ni att bli färdiga i tid? 

– Vi har inte så mycket tid kvar, men min bedömning just nu är ändå att tiden räcker. Vi är en myndighet som hanterar mycket känslig information, och redan idag finns det höga krav på att vi ska ha god ordning i vår hantering av personuppgifter. Det finns en registerlagstiftning som styr vad vi får dela, vi har gallringsregler och får inte dela information hur som helst inom myndigheten.

– Så även om det blir en utmaning för oss så kanske den inte blir fullt så stor som för många andra.

Fakta

1. Rikta kraften rätt. Allt handlar i grunden om information.

2. Ta kontroll. Du måste veta vilken typ av information du har om personer.

3. Skapa rutiner. Du måste kunna hantera samtycke och gallra bort information.