Med hot om dryga böter och omfattande compliance-arbete har GDPR skrämt upp Europas samlade cio-kår. Gunilla Etsare, som är it-chef på omsorgsföretaget Attendo, känner sig ändå hyfsat trygg – trots att företaget hanterar mängder av känsliga persondata. Eller kanske just därför. Många rutiner är redan på plats.
– Och hela vår företagskultur genomsyras av integritetstänk när det gäller våra brukare. Det underlättar arbetet, säger hon.
GDPR-projektet på Attendo inleddes i december 2016 och har bra styrfart.
– Det känns faktiskt jättebra. Nu är det bara att hålla huvudet kallt och göra hemläxan.
I styrgruppen ingår representanter från ledning, verksamhet och it. Projektledaren kommer från verksamhetssidan. Gunilla Etsare hanterar frågor om informationshantering och integrationer ur it-perspektiv.
– Men GDPR är absolut inget it-projekt, det är alla väl förtrogna med, säger hon.
Läs också: It-juristens checklista: Det här krävs för att leva upp till EU:s dataskyddsförordning
GDPR-mässigt är det två typer av personlig information som Attendo behöver ha koll på. Dels data om de cirka 14 000 anställda, det kan vara löner, pension, semesteruttag, sjukdom och så vidare, som hos alla bolag.
Den andra, mer utmanande delen, är att hantera uppgifter som rör ”brukarna” – dem som har eller har haft sin hemvist i något av Attendos äldreboenden, familjehem, hemtjänster eller på annat sätt tagit del av företagets tjänster. En hel del av dessa data är av naturliga skäl av karaktären ”känsliga”, såsom medicinska journaler och diagnoser.
Vissa uppgifter måste sparas enligt lag. Andra får inte sparas alls. Vissa får sparas, men ska inte kunna kopplas till en individ. Det är en balansgång att bena ut allt ur GDPR-synpunkt, konstaterar Gunilla Etsare.
Politisk eller religiös åskådning, facklig anslutning, sexuell läggning och sjukdomsbild klassas typiskt sett som känslig lagringsmässigt. Information får bara sparas om det finns ett legalt skäl, eller informerat och dokumenterat samtycke.
Vanliga kontaktuppgifter, som adress, eller till synes trivial information, som vilken färg en brukare har på tandborsten, är i sig okänslig men måste ändå tas hänsyn till – då det i vissa kombinationer kan tänkas identifiera en person, förklarar hon.
– Allt som går att hänvisa till en person är i princip en personuppgift, sedan är frågan hur långt den kan härledas.
Läs också: Här är 7 konsekvenser GDPR får för dina utvecklare
Så här var det visserligen redan enligt PUL, men nu skärps kraven på regelefterlevnad.
– Det som händer nu är att fler uppgifter omfattas och att ansvaret inte kan läggas över till tredje part. Vi måste kunna verifiera att vår information sparas, bearbetas, kopieras och gallras, vilket kräver ett nytt sätt att tänka.
Fokus i det förberedande GDPR-projektet har legat på inventering, informationsklassning och riskanalys. Det gäller att bena ut vilka personuppgifter som är känsliga och vilka som inte är det, och med vilket stöd de lagras och bearbetas, presenteras, gallras och förs vidare, berättar Gunilla Etsare.
En fråga är att reda ut vilken lag eller vilket regelverk hanteringen ytterst styrs av.
– Är det en lönefråga? Då styrs det av kollektivavtal, check. Handlar det om vem som har vilka barn? Informationen behövs vid vab för Försäkringskassan, check. Så får man mappa!
Enligt GDPR ska individer kunna begära att få sin information raderad – men det gäller alltså inte om en annan lag är starkare.
Parallellt med systeminventeringen gäller det att reda ut vilka data verksamheten behöver ha tillgång till för att utföra sitt jobb, eller enligt lag, i vilken omfattning och hur länge. För ändamålet görs en gap-analys.
– Vi intervjuar alla systemförvaltningar och processägare för att få fram en prioritering. Åtgärder har vi sedan ett år på oss att hantera.
Det är mycket ”sales by fear” nu, men det ska inte behöva bli någon y2k-hysteri om du bara börjar i tid och är metodisk.
Gunilla Etsare tror inte det blir några större problem att bli klar i tid till maj 2018.
– Vi har bra koll på läget! Vår organisation är drillad i de här frågorna, vi är vana vid att jobba med känsliga uppgifter och det sitter i ryggmärgen att förhålla sig till integritet. Vi är inga säljare som spar onödiga uppgifter för sakens skull. Tvärtom!
Gunilla Etsares tips är att hålla huvudet kallt och beta av listan med system och integrationer. Klassificera data, verifiera verksamhetsbehov och legala stöd och se över samtyckes- och gallringsrutiner.
– Och låt dig inte skrämmas upp av ivriga leverantörer som vill sälja tjänster. Det är mycket ”sales by fear” nu, men det ska inte behöva bli någon y2k-hysteri om du bara börjar i tid och är metodisk. Just do it!
1. Om ni inte har gjort det – inventera nu. Kolla vilka data ni har och med vilket stöd.
2. Planera inte in något annat hösten 2017. Ni kommer att ha fullt upp.
3. Lita inte alltför blint på leverantörerna. Många är förvånansvärt okunniga och vill bara skrämmas. Kräv att de ska förstå din verksamhet. Bli inte bortkollrad.
