Katarina är i grunden jurist och har alltid haft ett starkt intresse för det bredare sammanhanget och verksamhetsutveckling. Hon har arbetat inom dataskydd och informationshantering sedan sin tid på kommun, där hon snabbt insåg att det handlade om så mycket mer än bara den juridiska förståelsen. Efter att ha arbetat specialiserat inom området, på både advokatbyrå och Skatteverket, startade Katarina år 2021 egen konsultverksamhet, Hillertz Juridik & Dataskydd. Sedan dess har Katarina erbjudit tjänster inom dataskydd och informationshantering, bland annat som interimskonsult, till ett brett spektrum av kunder, stora som små, inom både privat och offentlig sektor.
– För att få dataskyddsarbetet att flyga i en verksamhet behövs förståelse för processerna och det konkreta arbete som sker i kärnverksamheten. Dataskyddet måste bli en integrerad del av verksamhetens arbetssätt. Det är en stor fördel att ha arbetat inom offentlig sektor. Där har informationshanteringen traditionell varit mer reglerad på olika vis, exempelvis kring diarieföring, allmänna handlingar och gallring och arkiv, och på senare år även informationssäkerhet genom bland annat NIS. Detta har historiskt sett inte funnits på riktigt motsvarande vis i den privata sektorn, även om vissa branscher är hårt reglerade, exempelvis bank och försäkring. Eftersom dataskydd och informationshantering berör så många olika delar av en verksamhet, har jag förmånen att få utföra ett oerhört spännande arbete där jag verkligen får inblick in hur olika verksamheter organiseras och arbetar.
Vilka anser du är de största utmaningarna vi står inför avseende dataskydd nu och hur undviker verksamheten kostsamma konsekvenser?
Det talas om att vi har nått en ny nivå av dataskyddsarbetet, ibland kallad GDPR 3.0. Det stämmer för vissa verksamheter, men jag stöter på många bolag som ännu inte förstått de grundläggande principerna kring dataskydd och därför inte ens befinner sig på GDPR 1.0. Vissa har inte påbörjat arbetet, medan andra bara har skrapat på ytan. Det är inte så konstigt eftersom dataskyddsarbetet kräver kunskap och tid, och många verksamheter har inte möjlighet att avsätta de resurser som krävs. Det kanske har varit kostnadsmässigt motiverat att låta bli tills nu men i dagens läge av teknologisk framfart kan detta innebära stora risker, både för de registrerade och för verksamheten.
Vad som är oroväckande är att jag upplever att GDPR hamnar i skymundan i takt med att artificiell intelligens (AI) har fått en större plats i diskussionerna. Företag vill naturligtvis framåt och hänga på nya möjligheter som ny teknologi erbjuder. De som saknar grundläggande processer för dataskydd riskerar samtidigt att trampa snett när de tar steget in i användningen av AI. Att inte ha rutiner för hur information får hanteras i verksamheten, och avsaknad av rutiner för att exempelvis städa i gammal och felaktig data, kommer innebära att effektivitetsvinsterna minskar och i värsta fall att utfallet vid AI-användningen blir felaktigt. Beroende på vad AI används till blir konsekvenserna av det bristfälliga resultatet naturligtvis olika allvarliga. I och med att den data som hanteras i AI-verktyg allt som oftast är personuppgifter blir AI-hanteringen i sig själv personuppgiftsbehandling som omfattas av dataskyddsförordningen.
För att maximera användningen och nyttan av AI krävs en betydande insats för att se till att grundläggande dataskydd är på plats. Precis som i all behandling av personuppgifter krävs specificerade ändamål, laglig grund, uppgiftsminimering, lagringsminimering och tydlig information till de vars personuppgifter behandlas. För att skydda verksamhetens information behövs också aktivt arbete med informationssäkerhet och IT-säkerhet samt att säkerställa att informationshanteringen följer etiska principer. Det innebär att många verksamheter har en lång väg att gå, parallellt med det höga trycket att hålla jämna steg med utvecklingen.
För att undvika kostsamma misstag behöver verksamheten integrera dataskyddet tidigt i alla projekt, helst redan i behovsanalysen eller idéfasen. Det är nödvändigt att inkludera dataskyddsfrågor i projektmodeller och utvecklingsprocesser för att säkerställa att de beaktas genom hela projekten. Ju tidigare desto bättre eftersom det nästan alltid går att hitta lösningar för att kunna genomföra idéerna. Risken är annars att ett projekt eller en idé som tagit mycket tid och kraft inte kan sjösättas då det först i slutfasen uppdagas att den behandling av information som ska genomföras inte är tillåten. Det kan också inträffa att upphandlade tekniska lösningar inte kan användas då brister i kravställningen gör att en användning innebär risker för de registrerade. Därför behöver man säkerställa att dataskydd och informationssäkerhet finns representerat i sina projektgrupper, genom hela projektet, och att förändringar som påverkar informationshantering på olika sätt stäms av med kompetens på dessa områden.
Kan det finnas vinster med ett dataskyddsarbete?
Det finns effektivitetsvinster i att inte behandla dataskydd som en isolerad fråga. Verksamhetens olika funktioner behöver ta stöd av varandra för att undvika att tid ägnas åt dubbelarbete i olika stuprör. Som exempel kan vi ta frågan om ändamål. Inom dataskydd betonar vi ofta betydelsen av ändamålet, vilket är ett centralt begrepp i GDPR. Ändamålet med behandlingen av personuppgifterna styr exempelvis vilka personuppgifter som får samlas in och hur länge uppgifterna får finnas kvar i verksamheten. Verksamhetens ändamål går typiskt sett att härleda från verksamhetens processer och arbetsrutiner. Många verksamheter har redan identifierat sina processer av andra affärsmässiga skäl, men missar att återanvända dem inom dataskyddsarbetet då det inte kommer naturligt att se sambandet dem mellan. Risken för ett omfattade dubbelarbete är överhängande enbart på grund av att vi lagt dataskydd i ett stuprör istället för att inkludera det på samma vis som vi låter ekonomi och budget skära genom verksamheten.
Dataskyddsarbetet kan fungera som en utmärkt startpunkt för att kartlägga verksamhetens processer och arbetssätt om de ännu inte är identifierade. Ett aktivt dataskyddsarbete kan bidra till effektivitetsvinster genom att bidra till tydligare och gemensamma arbetssätt och minska onödig informationshantering och lagring. Det ger helt enkelt möjligheter att effektivisera arbetsflöden. Det blir också en kostnadsbesparing att inte lägga dyrbara resurser på att skydda och lagra informationen som inte ens får finnas kvar i verksamheten. Dataskyddet bidrar helt enkelt till att säkerställa att vi ägnar oss åt rätt saker på ett genomtänkt vis.
Är rutiner och processer som implementerats sedan tidigare fortfarande applicerbara eller behöver de vidareutvecklas?
Att det finns processer sedan tidigare underlättar arbetet. Det är dock nödvändigt att hela tiden arbeta med uppföljning och utvärdering för att säkerställa att de är ändamålsenliga. Med hänsyn till den snabba utvecklingen både inom lagstiftning och inom tekniken, och inte minst ivern att attackera svenska verksamheter, gäller det att vara på tårna och ompröva. Även om personuppgiftslagen redan fanns på plats så betraktades GDPR av många organisationer som ny lagstiftning. Jag upplever att en förskjutning har skett sedan 2018 där det inledande fokuset i många organisationer låg på behandlingsregister, information till registrerade och rädsla för sanktioner. Kopplingen till informationssäkerhet har blivit tydligare för fler. Det är nu självklart för de flesta som arbetar med dataskydd att ett systematiskt arbete kring informationssäkerhet är nödvändigt för att uppfylla kraven i GDPR. Det har inneburit en omställning för många organisationer som tidigare inte varit bekant med informationssäkerhet i bredare mening, utan enbart förlitat sig på det snävare området IT-säkerhet.
Den ökade risken för attacker mot svenska bolag och myndigheter kräver att vi investerar mer i såväl dataskydd som informationssäkerhet. Verksamheten måste ha kontroll på om personuppgifter berörs och i vilken omfattning för det fall informationen hamnar i orätta händer eller inte finns tillgänglig när den behövs. Detta för att kunna skademinimera och uppfylla skyldigheter avseende anmälan till tillsynsmyndighet på ett snabbt och korrekt vis. Det är särskilt viktigt när de vars uppgifter som berörs kan komma att råka illa ut. Då finns en skyldighet att snabbt informera de berörda och också rekommendera åtgärder för att minska riskerna. Utan ett aktivt dataskyddsarbete sedan tidigare är det naturligtvis omöjligt att fullgöra dessa skyldigheter på ett korrekt vis och i rätt tid. Företag behöver växla upp och ta frågor om såväl dataskydd som informationssäkerhet på större allvar, både inom den egna verksamheten och genom att kravställa sina leverantörer, i alla led.
Själv brinner jag lite extra för att hitta arbetssätt som minimerar medarbetares dubbelarbete när det gäller dataskydd och informationssäkerhet. Exempelvis kan många timmar sparas genom att genomföra dataskyddsanalyser och informationsklassificeringar parallellt med delvis gemensamma sittningar. Detsamma gäller risk- och konsekvensbedömningar eftersom många risker påverkar såväl verksamheten som de registrerade. Självklart behöver materialet kompletteras utifrån respektive område, men grundfrågor som ”vad är det vi ska göra, varför och hur” behöver åtminstone inte dras i långbänk fler gånger än nödvändigt. Det sparar såväl energi som pengar och bidrar till ökad legitimitet och förståelse hos medarbetarna. Det sämsta som kan hända i en verksamhet är att medarbetare drar sig för att blanda in dataskydd och informationssäkerhet, så vi måste helt enkelt se till att göra det så smidigt som möjligt.
Katarinas tre bästa råd till den som är nyfiken på att ta steget in i konsultbranschen:
- Sälj skinnet innan björnen är skjuten! Våga ta klivet, lita på din kompetens och satsa, även om förpackningen av din produkt inte är helt perfekt än.
- Kom ihåg att du inte behöver vara en övermänniska; kunden förväntar sig att du som konsult stöttar upp inom det område du är där för. Var beredd på att det kommer att vara utmanande och ta tid att lära känna alla involverade personer när du är ny in i en verksamhet och kastas in i många parallella projekt. Våga stå ut med att det kan vara rörigt.
- Underskatta inte den tid och energi som behövs för att hantera alla andra aspekter runtomkring när du har egen verksamhet. Fokusera på det du är bäst på och ta hjälp med uppgifter såsom design av hemsida och bokföring.
Här kan du läsa mer om Sharp Interim.
Nyheter
Kontakt:
Vi vet var kompetensen finns. Ring oss direkt 08 – 41 09 98 00, maila info@sharprecruitment.se, eller fyll i formuläret:
