Strax före jul hölls det första mötet. Sedan dess har styrgruppen för GDPR på Perstorp sammanträtt en handfull gånger. Man har förkovrat sig i rapporter och deltagit i seminarier – och sakta men säkert börjar frågetecknen kring EU:s nya datsskyddsförordning rätas ut.
– Men det finns fortfarande en del otydligheter och områden där det finns utrymme för tolkning, säger Susanna Frennemo som är CIO på den globala kemikoncernen.
Till exempel är det inte helt glasklart vad som ska räknas som persondata – trots att det är hanteringen av persondata som regleras.
– Det är en av utmaningarna som det gäller att få koll på, så att vi inte missar något – eller överdriver insatsen och blir för nitiska och gör det för svårt för oss, fortsätter hon.
Läs också: Två it-råd kompletterar varandra på Perstorp
Som CIO ingår Susanna Frennemo i den fem man starka GDPR-styrgruppen. Det är hon och infrastrukturchefen från it-sidan och chefsjuristen och hans assistent från Legal. Projektledaren har tagits in utifrån, från advokatbyrån Mannheimer & Swartling. Eftersom det rör sig om ett lagkrav är det juristerna som leder arbetet. It:s roll är att bidra med systemkunskap och teknisk expertis.
– Vi har koll på de praktiska tillämpningarna och på it-riskerna. Och vi har listor över alla applikationer i våra system och deras ägare, förklarar Susanna Frennemo.
Perstorp är ett uttalat B2B-företag. Kunderna är industriföretag i hela världen.
I systemen finns kontaktuppgifter till kunder och leverantörer, vilket inte borde vara något stort problem GDPR-mässigt då relationen är etablerad och data är av okänslig karaktär, konstaterar Susanna Frennemo.
– Det som kan kopplas till en person är telefonnummer och e-postadresser. Möjligen kan det finnas personlig information i vårt crm-system eller i call reports i någons personliga mapp, det behöver vi kartlägga, säger hon.
– Potentiellt sett mer känsliga är i så fall personaldata och data om personer som söker jobb digitalt, via perstorp.com/careers.
Men man kan inte helt veta vad som göms i en globalt spridd koncern. För att försöka ta reda på vilken typ av data som finns lagrad var har man beslutat sig för att skicka ut en enkät till de anställda. I första hand till applikations- och hr-ansvariga, men även till många andra, berättar Susanna Frennemo.
Det är ingen komplicerad jätteenkät.
– Det är 5–6 enkla frågor om vad man har för register eller applikationer med persondata i – och vilken typ av information det rör sig om, förklarar Susanna Frennemo, som ändå räknar med att få påminna.
Frågorna går ut tilll anställda i hela världen. Det kan ju förekomma personuppgifter om EU-medborgare även på produktions- och säljsajter utanför Europa, förklarar hon.
Som alla tvingande regelverk ställer GDPR krav på nya rutiner och arbetssätt. En utmaning blir att få till de nya processer som måste vara på plats när lagen träder i kraft, konstaterar Susanna Frennemo.
Något hon – och många andra – funderar på är de strängare samtyckesprinciperna.
– Vi måste kunna säkerställa samtycke till lagring av persondata och även kunna plocka ut eller radera persondata på begäran – och allt måste dokumenteras. Det är många bitar som ska falla på plats och än har jag inte alla svaren, säger hon.
Hur kommer it:s arbete att påverkas?
– Vi kommer att behöva införa nya processer gällande samtyckesdelarna, där brister vi en del idag. Och så måste vi skapa processer för att kunna agera inom 72 timmar vid misstänkt dataintrång. Det rör inte bara it, här måste hela verksamheten ta sitt ansvar.
Känns ansvarsfördelningen tydlig?
– Nja, jag kan konstatera att vi inte har utsett personuppgiftsansvarig eller personuppgiftsombud, men det kommer vi förstås att göra.
Hinner ni klart till nästa vår?
– Självklart är det vårt mål att lyckas, och ha rätt processer på plats i tid. Men att bli helt compliant när det gäller personuppgifter i ostrukturerade data, som mejl, tror jag kan bli svårt. Där tror jag att få kommer att lyckas.
Vad anser du generellt om GDPR?
– I grunden, för individen, är det bra. Idag tvingas man registrera sig och lämna sina personuppgifter på många ställen då det kan vara det enda sättet att komma åt en tjänst eller vara. Då är det viktigt att kunna påverka vad som händer med den information som samlas in. Men för Perstorp som B2B-företag känns det kanske lite överdrivet.
Ta del av mer gdpr-erfarenheter i vårt kompendium ”Steg för steg mot GDPR” – cio-intervjuer, juridiska experttips, och guide till upphandling av it-juristtjänster. Läs mer
1. Gör inte GDPR till en it-fråga. Övergripande ansvar bör ligga annanstans.
2. Börja i tid – och gör en grundlig kartläggning av var persondata finns.
3. Läs in dig! Det finns mycket skrivet och många seminarier –kostnadsfritt.
