Etikettarkiv: GDPR

GDPR – en global succé!

Anders Jonson, GDPR-expert på SecureAppbox.
Anders Jonson, GDPR-expert på SecureAppbox.
För att vi ska våga lita på den snabba digitala utvecklingen behöver samhället skapa förutsättningar för trygghet. Vi har träffat Anders Jonson som är GDPR-expert på SecureAppbox och varit med och tagit fram e-tjänsten FamiljehemSverige.se, som idag används av över 120 kommuner.

Digitalisering och GDPR har visat sig vara en stor utmaning inom offentliga sektorn. Därför har nu Digitaliseringsrådet skickat in en rapport till regeringen som klargör vad som behöver göras för att skapa digital trygghet i Sverige.

Du har läst rapporten av Digitaliseringsrådet som lämnats in till regeringen, vad är din kommentar?
– Rapporten ger en bra överblick var vi står och vad som behöver göras. Den sammanfattar sex viktiga områden som behövs för att vårt samhälle framgångsrikt kan digitaliseras. Det viktiga är nu att vi samarbetar med lokala näringslivet för att förverkliga detta, för då skapar vi inte bara en digital grund för samhället utan förhoppningsvis några framgångsrika företag.

Lanseringen av den nya dataskyddslagen blev rejält hypad och en hel del rykten om stora böter spreds om man inte anpassade sig. Nu har vi haft GDPR i 6 månader, hur har det tagits emot?
– GDPR är en global succé. Många hyllar nu Europa och EU för att man på ett framgångsrikt sätt genomfört införandet av GDPR i alla medlemsländer vilket medfört att makten gällande data på Internet är mer balanserad vad gäller den enskildes rättigheter. Stora länder som Japan och Brasilien följer nu efter och inför regleringar som kopplas till GDPR.

Vilka lyckas med sitt efterlevnadsarbete och vad gör de?
– De som lyckas har förstått vikten av att kombinera organisatoriskt tydliga direktiv med digitala verktyg så medarbetare tryggt kan utföra sina uppgifter. Man behöver bra kontroll på de verksamheter som hanterar känsliga uppgifter för där krävs extra resurser för hanteringen.

Kan du utveckla vad du menar med ett exempel?
– Om vi tar e-post, ett av alla organisationers mest använda verktyg så erhåller alla medarbetare en e-postadress och det är genom sin e-postadress man identifierar sig digitalt. Detta gör att man bör få tydliga direktiv för hur man får använda sin e-post i sitt arbete, vilket man på bästa sätt kan göra genom att införa en ”no personal data e-mail policy”. Många medarbetare använder sin e-post för privata ärenden, men det flera missar är att man representerar företaget med företagsadressen. Genom att inför en e-postpolicy kan organisationer kontrollera användandet av e-post.

Varför har inte alla detta redan?
– För att många inte förstått bredden av problemet. Men eftersom GDPR kräver bättre kontroll och skydd så innebär en ostrukturerad e-post en för stor risk, så alla kommer att behöva införa detta så snart som möjligt.

Digitala plattformar banar väg för morgondagens offentliga sektor

Bo Dahlbom, IT-professor, Göteborgs universitet.
Bo Dahlbom, IT-professor, Göteborgs universitet.
– På 1900-talet lärde vi av bilindustrin, höll på med Lean och hade Toyota som förebild. Det är hög tid att lära av företag som Google, Apple och Amazon och att kommuner börjar se sig som plattformar för medborgarnas nätverkande, säger Bo Dahlbom, IT-professor, Göteborgs universitet.

Digitala plattformar banar väg för nya sätt att organisera verksamheter där kunder och användare får ökade möjligheter att medverka. Att införa digitala plattformar i offentlig sektor är dock inte så lätt. Nyligen tvingades E-hälsomyndigheten lägga ner sitt initiativ, ”Hälsa för mig”, där medborgare skulle kunna samla alla sina hälsodata, på grund av de juridiska hindren. Projektet hade då pågått i sex år och kostat 140 miljoner kronor.
– GDPR och integritetslagarna gör det svårt, rent juridiskt sett, att skapa plattformar, konstaterar Bo Dahlbom som påpekar att det i detta sammanhang finns en större resa att göra, nämligen att tänka i helt nya banor.
– Tidigare tänkte man, inför att något skulle göras, vad har vi för resurser och hur ska vi organisera det? Att byta till 2000-talet tankesätt, som handlar om att medborgarna själva kan utföra många uppgifter, och ska bjudas in till att delta i verksamheter, är en stor mental omställning som utmanar såväl professionaliteten i berörda organisationer som sekretess- och integritetsfrågor.
Som exempel nämner han tv-programmen.
– Förr var alla program professionellt gjorda, idag har vi Youtube där de som tittar även kan producera egna inslag. Vi har också plattformar som Blocket där den som vill själv kan sälja saker och vi har sociala medier där nyheter sprids på ett helt annat sätt än i traditionella nyhetskanaler. Nu är det hög tid att verksamheterna inom offentlig sektor går samma väg och skapar plattformar med självbetjäning och för medverkan av medborgarna.

Revolution
För att klara detta krävs en enorm omställning på flera olika plan, en slags digital revolution.
– Men det är inte lätt att göra revolution i ett komplext och regelstyrt samhälle och med en organisation som inte är gjord för att förändras. Men mycket kan göras i form av små steg längs vägen, vilket också sker.
I grund och botten handlar digitalisering, enligt Bo Dahlbom, om en gigantisk verksamhetsförändring.
– Om till exempel skolan tänkte i termer av plattform, skulle vi kunna ha pensionärer som hjälpte till med matematiken och lärare som såg det som sin uppgift att organisera lärandet istället för att stå och skriva 2 + 2 på tavlan, det kan en pensionär göra. Skolan ska organisera verksamheten med hjälp av en massa resurser, så tänker Youtube och det är så även vi måste tänka när det kommer till utveckling av digitala plattformar inom offentlig sektor.

GDPR skapar ordning och reda i kommunernas datamängder

Illustration: Stellan Stål
Illustration: Stellan Stål
– En kommun som inte har koll på sin information är bara ett tomt skal. Det säger Torbjörn Larsson, ordförande KommITS, som menar att den nya dataskyddsförordningen, GDPR, ska ses som en tillgång som bidrar till ordning och reda i offentliga verksamheters datamängder.

Torbjörn Larsson, ordförande för KommITS.
Torbjörn Larsson, ordförande för KommITS.
I maj 2018 införs EU:s nya datasäkerhetsdirektiv, GDPR, som bland annat innebär hårdare krav på hantering av personuppgifter. Det ställs krav på nya rutiner och processer både för säker hantering av register samt på ansvarig ledningsnivå.
GDPR omfattar alla verksamheter som sparar eller hanterar personlig och känslig information och på KommiITS, mötesplatsen för kommun­ala it-frågor, står förberedelserna inför det nya datasäkerhetsdirektivet högt upp på agendan.
– Den tekniska biten, med vad som passerar genom brandväggar och vad som sker i våra serverhallar, det tror jag att kommunernas it-avdelningar redan har rätt bra koll på. Den stora utmaningen är informationsinsatserna så att alla vet vad den nya förordningen innebär, säger Torbjörn Larsson.
Vad många inte vet är att GDPR inte enbart omfattar digitala register.
– Faktum är att den nya dataskyddsförordningen även gäller handskrivna listor på personer. Finns det sådana så ska de registreras, fastslår Torbjörn Larsson.
Även om det är en del arbete med att leva upp till de nya EU-kraven välkomnar han den nya dataskyddsförordningen.
– GDPR ger oss en legitimitet att föra de här registren. Många ser det som en börda men man bör se det som en tillgång som hjälper oss att hålla ordning och reda. En kommun eller offentlig verksamhet som inte har koll på sin information är inget annat än ett tomt skal.

Samverkan
GDPR innehåller också ett starkare krav på en formellt utsedd granskningsfunktion. Offentliga verksamheter är skyldiga att utse ett dataskyddsombud som inte får ha en beroendeställning i organisationen. För att kunna leva upp till detta efterlyser Torbjörn Larsson samverkan över kommungränser.
– Små kommuner har inte ekonomiskt utrymme att anställa ett fristående dataskyddsombud. En gyllene väg är att hjälpas åt.
På ett par års sikt finns, enligt Torbjörn Larsson, stora förutsättningar till att GDPR har blivit en icke-fråga.
– När grundjobbet väl är gjort kommer mycket av efterlevnaden att kunna skötas per automatik. Våra systemleverantörer bygger redan nu in dataskydd som standard i sina system. Om bara ett par år kommer GDPR att vara en naturlig del av verksamheten som vi inte märker så mycket av.