GDPR - ett projekt för IT eller........?

Klockan tickar och snart är det den 25 maj. Att det är något som händer då börjar fler och fler inse, GDPR eller "nya dataskyddsförordningen" har numera ganska många hört talas om. Men det gäller väl bara IT avdelningen? Det gäller väl bara företag som sysslar med telefonförsäljning till privatpersoner? Och det löser väl en duktig projektledare?

Faktum är att GDPR (General Data Protection Regulation) omfattar all form av personuppgifter, vilket idag innebär så mycket mer än bara namn och personnummer. Och för att företag och organisationer ska uppfylla kraven kommer det inte räcka att driva det som ett IT projekt och säkra sin infrastruktur och sina applikationer. Hur användarna beter sig är en stor och viktig utmaning. Det omfattar processer och arbetssätt och framförallt beteenden. Och det är varken IT avdelningens eller projektledarens ansvar att förändra beteenden.

Jag jobbar just nu i två GDPR projekt där kunden varit framsynt och engagerat en förändringsledare parallellt med en projektledare. IT är ett delprojekt bland flera andra. Att involvera, utbilda och stötta personalen i de förändrade arbetssätten kan jag önska att fler företag och organisationer gör. Det är en falsk trygghet att ha fått en GAP analys av sin IT leverantör, bocka av den och komplettera med Personuppgiftsbiträdesavtal och register över persondatahantering.

I takt med att många företag och organisationer har ökat sin datasäkerhet och försvårat inloggning och åtkomst på distans så använder många datorns hårddisk och dropbox för att jobba. Vilken data finns där? Hur säkras och rensas den? Hur hanteras bärbara datorer och mobiler/iPads? Och hur är det med den där mailboxen, hur många mail finns där och varför? För en mailadress är ju också en personuppgift!

Här är mitt tips på frågor att ställa och sedan hantera i organisationen:

1. Har alla i organisationen förstått hur de påverkas av GDPR kraven?

2. Vad kan personalen om GDPR?

3. Är IT policyn uppdaterad och förankrad?

4. Har alla processer uppdaterats och justerats efter GDPR?

5. Har alla genomfört nödvändiga rensningar av pappersdokument och mail/hårddiskar?

6. Är ni säkra på att inget lagras utanför officiella lagringsytor?

7. Hur är kunskapen om mobilen och datasäkerhet?

8. Finns det en plan för efterlevnad när den 25 maj har passerat?

Hur jobbar din organisation med GDPR? Driver ni det som ett IT- eller förändringsprojekt?

#GDPR #förändringsledning #changemanagement