Examensarbete i Informatik Kandidatexamen inom Systemvetenskap

Att efterleva GDPR En kvalitativ intervjustudie om handlingar, förberedelser och utmaningar kring införandet av den nya allmänna dataskyddsförordningen.

Författare: Calle Karlsson Handledare: Lars Magnusson Termin: VT18 Kurskod: 2IK10E

Sammanfattning I takt med den ökade digitaliseringen så har även mängden data ökat hos företag och organisationer inom. EU-kommissionen, EU-parlamentet och ministerrådet har därför instiftat en ny lag för att säkerställa att data hanteras korrekt. Den här nya lagen träder i kraft 25:e maj 2018 och benämns “Den nya allmänna dataskyddsförordningen”, eller General Data Protection Regulation (GDPR) på engelska. Denna lag ställer sig över Personuppgiftslagen (PuL) och ställer således högre krav på systemutveckling, kommunikation och rutiner vilket i sin tur bidrar till ett helt nytt tankesätt kring datahantering. Denna uppsats fördjupar sig i lagens uppbyggnad och applicerbara teorier men fokuserar på att ta reda på vilka specifika handlingar som verksamheter genomför för att skapa en hållbar framtid inom ramarna av lagens krav. Utöver detta så ligger även fokus på att studera huruvida lagen och dessa handlingar kommer påverka verksamheterna, samt vad de själva anser är de största utmaningarna för efterlevnad just nu. Nyckelord: GDPR, Allmänna dataskyddsförordningen, Europeiska Unionen, Handlingar, Förberedelser, Utmaningar.

2

Abstract Because of the increased digitization, the amount of data that companies process has increased significant. The EU Commission, the European Parliament and the Council of Ministers have therefore instituted a new law to ensure that data is handled correctly. This new law comes into force on May 25th 2018 and is called GDPR, or the General Data Protection Regulation. This law stands over the recent “Personuppgiftslagen” (PuL) and therefore require higher standards on system development, communication and routines which leads to a whole new approach to data management. This essay explains the structure of the law, but focuses on finding out what specific actions the companies implement to comply with the law's requirements. The focus is also on studying whether these actions (and the law itself) will affect the activities and what the businesses themselves consider to be the greatest challenges for compliance at the moment. Keywords: GDPR, General Data Protection Regulation, European Union, Actions, Preparations, Challenges.

3

Förord Jag vill rikta ett stort tack till alla informanter; Stena Stål, Växjö Kommun, Region Jämtland Härjedalen, Stadium och IST Group. Utöver detta vill jag även tacka min handledare Lars Magnusson för hans expertis, vägledning och bra bemötande. Utan er, plus mina opponenter och korrekturläsare, så hade denna uppsats inte varit möjlig.

Calle Karlsson

2018-05-24

4

Innehållsförteckning 1. Introduktion 9

1.1 Bakgrund 9 1.2 Problemformulering 9 1.3 Syfte och frågeställningar 10 1.4 Avgränsningar 10 1.5 Kunskapsintressenter 11 1.6 Disposition 11

2. Litteraturgenomgång 12 2.1 Den nya allmänna dataskyddsförordningen 12

2.1.1 Principiell grund 12 2.1.2 Laglig grund 13 2.1.3 Rättigheter 14 2.1.4 Skyldigheter 16 2.1.5 Sanktioner 17

2.2 Skillnader mellan PuL och GDPR 17 2.3 Change Management 19 2.4 Business Process Management (BPM) 19 2.5 Business Process Reengineering (BPR) 21 2.6 Teoretiskt ramverk 24

3. Metod 26 3.1 Vetenskaplig ansats 26 3.2 Insamling av empirisk data 26

3.2.1 Urval 27 3.2.1.1 Summerad informantbeskrivning 28

3.2.2 Genomförande 29 3.3 Analys 29 3.4 Tillförlitlighet 30 3.5 Etiska överväganden 31

4. Resultat 32 4.1 Stena Stål 32

4.1.2 Allmän uppfattning, tankegång och prioritet 32 4.1.3 Verksamhetens efterlevnad 32 4.1.4 Tankar kring påverkan 33 4.1.5 Svårigheter och utmaningar 33

4.2 Växjö Kommun 33 4.2.2 Allmän uppfattning, tankegång och prioritet 33 4.2.3 Verksamhetens efterlevnad 34 4.2.4 Tankar kring påverkan 34 4.2.5 Svårigheter och utmaningar 35

5

4.3 Region Jämtland Härjedalen 35 4.3.2 Allmän uppfattning, tankegång och prioritet 35 4.3.3 Verksamhetens efterlevnad 35 4.3.4 Tankar kring påverkan 36 4.3.5 Svårigheter och utmaningar 36

4.4 Stadium 37 4.4.2 Allmän uppfattning, tankegång och prioritet 37 4.4.3 Verksamhetens efterlevnad 37 4.4.4 Tankar kring påverkan 38 4.4.5 Svårigheter och utmaningar 38

4.5 IST Group 38 4.5.2 Allmän uppfattning, tankegång och prioritet 38 4.5.3 Verksamhetens efterlevnad 39 4.5.4 Tankar kring påverkan 40 4.5.5 Svårigheter och utmaningar 41

4.6 Innehållsanalys 41

5. Diskussion 44 5.2 Resultatdiskussion 44

5.2.1 Arbete för att möta kraven 44 5.2.2 Påverkan och framtida effekter 46 5.2.3 Utmaningar 47

5.2 Metodreflektion 48

6. Avslutning 50 6.1 Slutsats 50 6.2 Förslag till fortsatt forskning 50

Referenslista 51

Bilagor 55

Bilaga 1 - Intervjufrågor 55

Bilaga 2 - Innehållsanalys 56

Bilaga 3 - Sammanställning av teman och subteman 64

6

Figurförteckning Figur 1 - BPM Lifecycle 20 Figur 2 - Lewin’s Three Stage Model of Change 22 Figur 3 - Kotters 8-Step Model 22

Tabellförteckning Tabell 1 - Teoretiskt ramverk 24 Tabell 2 - Informanter 27

7

Definitioner av förekommande begrepp Denna uppsats öppnas nu upp av detta stycke som visar på Europaparlamentets definitioner av “Personuppgift”, “Behandling” och “Personuppgiftsansvarige”. En förståelse för dessa begrepp är viktig för att förstå den senare texten i dess kontext och därför finns detta med. Personuppgift Europaparlamentet definierar personuppgift enligt “Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikator eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet” (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 4). I studien benämns denna identifierbara fysiska person som “Den registrerade”. Behandling Detta begrepp definieras av Europaparlamentet enligt “En åtgärd eller en kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring” (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 4). Personuppgiftsansvarige Personuppgiftsansvarige definieras enligt Europaparlamentet som “En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt” (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 4).

8

1. Introduktion

1.1 Bakgrund

Den allt mer ökande digitaliseringen har medfört allt större mängder data i händerna på företag och verksamheter. EU-kommissionen, EU-parlamentet och ministerrådet har för att säkerställa att data hanteras korrekt, instiftat en ny lag. Den här nya lagen träder i kraft 25:e maj 2018 och benämns “Den nya allmänna dataskyddsförordningen”, eller “General Data Protection Regulation” (GDPR) på engelska. I uppsatsen benämns den nya lagen för antingen “förordningen” eller “GDPR”.

GDPR ersätter Data Protection Directive 94/46/EC och ställer sig över lagar som Personuppgiftslagen (PuL) (SFS 1998:204) och även alla EU:s medlemsstaters associerade lagar (Datainspektionen, 2017a; Allmän dataskyddsförordning 2016/679 av den 27 april, 2016). Överlag så kommer GDPR innebära högre krav på hur verksamheter inom EU hanterar data om sina medborgare gällande lagring, hantering och spridning. Det kommer därmed innebära högre krav på verksamheternas teknologiska expertis, då system, databaser och processer måste gå i linje med de krav som förordningen ställer. Således kommer en ökad kontroll, kommunikation och säkerhet att krävas av alla EU:s verksamheter och organisationer - vilket i sin tur kan leda till en mycket stor arbetsbelastning för alla dessa företag (Datainspektionen, 2017a). Denna arbetsbelastning är dock ett måste, då felhantering av data kan leda till höga sanktionsavgifter för verksamheterna (Datainspektionen, 2017a). Det är därför intressant att undersöka huruvida verksamheterna förbereder sig eller inte - och på vilket sätt. Rosengren (2017) och Bristrand (2016) poängterar att lagen är viktig för både konsument och företag och att lagen inte kommer begränsa sig till att beröra IT, utan sprida ut sig över hela verksamheten. Slutligen menar även Marsh (2017) att GDPR är en av individens mest viktiga förordningar. Vad anser verksamheterna och hur ser det faktiskt ut hos dem?

1.2 Problemformulering Alla företag inom EU skall, innan lagen träder i kraft 25:e maj 2018, vara klara med den omställning som dataskyddsförordningen kräver, så att behandling av personuppgifter då är i linje med den nya förordningen. Det betyder att alla stora IT-system och även enklare excelfiler ska ha granskats noga, så att inga uppgifter bryter mot GDPR.

All lagring, hantering, spridning och analysering av data ska göras korrekt. Det är därför av största vikt att personer som arbetar inom IT har kunskap och känner sig väl förberedda samt vet vilka förändringar som skall genomföras så att lagen följs på alla nivåer. (Datainspektionen, 2017a).

GDPR innebär att företagens IT-system behöver ändras så de lever upp till de nya kraven som har kommit till och som inte har funnits med tidigare på grund av PuL. Många företag inom EU hanterar personuppgifter och GDPR kommer innebära förändringar för dessa. Förändringar som återigen är ett måste för att kunna leva upp till förordningens krav (Datainspektionen, 2017b).

9

1.3 Syfte och frågeställningar

Syftet med denna uppsats är att undersöka hur personuppgiftsansvariga (verksamheter/organ) planerar eller arbetar för att möta kraven som GDPR ställer, vilka förändringar de står inför samt vilka utmaningar som de anser är av största vikt. Forskningsfrågan kommer, genom intervjufrågorna (se Bilaga 1 - Intervjufrågor), riktas till personer som är ansvariga för verksamhetens förändringsarbete mot GDPR för att öka svarens och slutsatsens träffsäkerhet. För att uppnå syftet med uppsatsen så har det designats tre frågeställningar:

- Vilka specifika handlingar väljer verksamheterna att genomföra för att på bästa sätt möta den nya allmänna dataskyddsförordningen?

- Vad ser verksamheterna att förordningen, samt deras egna handlingar för efterlevnad, kan komma att ha för effekt på verksamheten nu och i framtiden?

- Vilka är de största utmaningarna enligt verksamheterna just nu?

1.4 Avgränsningar General Data Protection Regulation (GDPR) gäller inom hela Europeiska unionen vilket innefattar 28 länder. Denna studie tar inte med alla dessa länder utan avgränsar sig helt till svenska företag och hur dessa ser på förordningen - samt hur de planerar förberedelser och handlingar för att möta dess krav. Studien fokuserar inte på någon specifik bransch eller företagstyp utan informanterna har plockats från privata bolag, kommun och landsting. Detta för att få med ett större spektrum där olika organisationsstrukturer, kundgrupper och riktlinjer finns med i beräkningen. Alla företag som ingår i studien hanterar persondata på olika sätt - där vissa jobbar med avancerad pseudonymisering och vissa endast måste reglera e-mailkonversationer. Det är därför intressant att ta med olika företagstyper i studien för att se vad som skiljs åt i tänket, förberedelserna och det faktiska arbetet kring att möta förordningen. Eftersom lagen träder i kraft i samband med slutförandet av denna studie så undersöks inte de faktiska, framtida, effekterna av förordningen.

1.5 Kunskapsintressenter Studien hoppas bidra till en tydligare bild av hur verksamheter (offentliga samt privata) förbereder sig och hanterar förändringen som den nya förordningen innebär. Utöver detta så är det även intressant att se vilka typer av utmaningar som verksamheterna lyft fram som mest kritiska. Förhoppningen är även att studien ska ge en ökad kunskap och insikt kring vad GDPR är, så att andra företag känner sig trygga i vad de behöver förändra i arbetsgången med personuppgifter för att uppfylla de nya kraven. Resultatet kan även vara av intresse för privatpersoner så att även de får en inblick i hur de påverkas och kan agera i och med införandet av den nya förordningen - eftersom många privatpersoner har personuppgifter lagrade hos diverse företag och verksamheter.

10

1.6 Disposition Litteraturgenomgång

I detta kapitel ges en detaljerad bakgrund till GDPR där studien belyser omfattningen av den förändring som företag och verksamheter står inför. Detta görs genom en detaljerad beskrivning av förordningens principer, grunder, rättigheter, skyldigheter, begränsningar och sanktioner. Utöver det så visas även en jämförelse mellan PuL och GDPR som är viktig att förstå för att ytterligare greppa omställningens storlek. Avslutningsvis går litteraturgenomgången in på lite mer teoretiska delar gällande process -och förändringsarbete som sedan mynnar ut i ett teoretiskt ramverk (se Tabell 1 - Teoretiskt ramverk) som lagt grunden för intervjufrågorna.

Metod

I metoden presenteras tillvägagångssättet för hela studien där vetenskaplig ansats, datainsamling, urval, genomförande och val av analys beskrivs utförligt. Slutligen så beskrivs även tankar kring tillförlitlighet och etiska överväganden.

Resultat

I detta kapitel presenteras empirin per informant med relevanta rubriker baserat på intervjufrågorna (se Bilaga 1 - Intervjufrågor) och dess svar. Resultatkapitlet avslutas med en kvalitativ innehållsanalys för att kunna klassificera resultatet och därigenom se mönster, subteman och teman. Denna analys och den senare tema-sammanställningen återfinns som bilagor. (Bilaga 2 - Innehållsanalys samt Bilaga 3 - Sammanställning teman och subteman).

Diskussion

I detta kapitel så diskuteras och jämförs resultatet med litteraturgenomgången. I detta kapitel diskuteras även val av metod och vad som hade kunnat gjorts annorlunda där.

Avslutning

Studien avslutas med slutsats och förslag på framtida forskning. Vid slutsatsen så besvaras studiens forskningsfråga samtidigt som syftet med uppsatsen säkras.

11

2. Litteraturgenomgång

Här presenteras litteraturgenomgången som varit central för studien. Kapitlet är öppnas upp med utförliga beskrivningar av förordningen - samt dess skillnader gentemot PuL. Detta har tagits med eftersom det är viktigt att greppa förordningen och den förändring som verksamheter nu står inför, innan läsaren går vidare. Efter dessa stycken så går studien in på olika teorier kring förändrings -och processarbete som kan appliceras på förändringsarbetet som verksamheter står inför just nu. Kapitlet tar exempelvis upp hur verksamheter kan bryta ner, hantera och styra processer i ett eventuellt förändringsarbete för att på bästa sätt lyckas. Detta har tagits med eftersom det kan vara relevant för en verksamhet som står inför ett scenario där de måste efterleva den nya allmänna dataskyddsförordningen. Slutligen så mynnar hela litteraturgenomgången ut i ett teoretiskt ramverk (Tabell 1 - Teoretiskt ramverk) som knyter ihop och avslutar kapitlet samtidigt som det skapar en grund för intervjufrågorna.

2.1 Den nya allmänna dataskyddsförordningen Här beskrivs den nya allmänna dataskyddsförordningen och dess fundamentala grunder samtidigt som författaren belyser de rättigheter, skyldigheter och sanktioner som den för med sig. I detta kapitel ges även en jämförelse mellan PuL och GDPR.

2.1.1 Principiell grund Precis som alla andra lagar och förordningar så bygger den nya allmänna dataskyddsförordningen, eller GDPR, på specifika principer. Dessa principer ligger som grund för förordningen och agerar nu riktmärken för hur man ska behandla, använda och lagra personuppgifter inom EU. Dessa principer är: laglighet, korrekthet, öppenhet, ändamålsenlighet, uppgiftsminimering, lagringsminimering, integritet och konfidentialitet samt ansvarsskyldighet. Enligt artikel 5 av Allmän dataskyddsförordning 2016/679 av den 27 april (2016) så beskrivs först principerna laglighet, korrekthet och öppenhet - i kontexten att uppgifter ska behandlas på ett laglig, korrekt och öppet sätt i förhållande till den registrerade. Kring korrekthet skrivs ytterligare att uppgifterna ska vara korrekta och nödvändigt uppdaterade - samt att korrekta personuppgifter är av största tyngd. Vid felaktiga uppgifter (till de ändamål för vilket de behandlas) så bör alla rimliga åtgärder vidtas för att säkerställa att uppgifterna raderas eller ändras utan dröjsmål (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 5). Nästa princip är ändamålsenlighet. Detta syftar på att insamlade uppgifter kring den registrerade endast ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål - och inte senare behandlas på ett sätt som oförenligt med dessa ändamål (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 5). Nästa princip är uppgiftsminimering som syftar på att personuppgifter ska vara adekvata, relevanta och inte för

12

omfattande i förhållande till de ändamål för vilket de handlas. Detta för oss även in på en annan typ av minimering, nämligen lagringsminimering som också är en utav förordnings grundprinciper och som, även den, finns till för att säkerställa den registrerades rättigheter och friheter. Med lagringsminimering menas att personuppgifter inte får lagras en längre tid än nödvändigt. Denna princip menar även att lagringen av personuppgifter inte får leda till en senare identifiering av den registrerade, som ligger utanför ramarna av behandlingens ursprungliga ändamål. Vid längre lagring av personuppgifter så skall uppgifterna endast användas för arkiverings, forsknings -och statistiska ändamål (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 5). Europaparlamentet belyser även vikten av integritet och konfidentialitet (två utav de senare principerna) genom att berätta hur viktigt det är med säkerhet kring personuppgifter. De som hanterar personuppgifter ska säkerställa lämplig säkerhet för dessa genom att preventivt skydda informationen i alla led - men även ingripa vid otillåten behandling, förstöring eller förlust genom lämpliga tekniska eller organisatoriska åtgärder. Detta tar oss in på ansvar (den sista principen ansvarsskyldighet), som är en viktigt del inom denna förordning i kontexten att varje personuppgiftsansvarige ska ansvara och kunna visa att alla ovanstående principer efterlevs (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 5).

2.1.2 Laglig grund I detta kapitel så beskrivs vilka lagliga grunder Europaparlamentet anser ska beaktas när man hanterar personuppgifter och det är dessa lagliga grunder som bestämmer huruvida personuppgifter får behandlas eller inte. I Artikel 6 “Laglig behandling av personuppgifter” skriver Europaparlamentet att behandling är laglig i den mån som vissa specifika kriterier uppnås (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 6). Ett av dessa kriterier är samtycke mellan den registrerade och den som behandlar dess information - vid exempelvis ett avtal där personuppgifter är nödvändiga och därmed måste behandlas för att slutföra ett avtal. Vid samtycke gäller att personuppgiftsansvarige ska kunna visa att den registrerade har samtyckt till behandling av dess personuppgift - samt att den registrerade ska ha full rätt att, när som helst, återkalla sitt samtycke (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 6). Ett annat kriterium är när den registrerade måste registreras på grund av rättsliga förpliktelser eller när en registrering är viktigt på grund av säkerhet, skydd eller allmänna intressen som är åberopade av den registrerade (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 6). Slutligen så är behandling av personuppgifter även laglig när den registrerades intressen samt grundläggande rättigheter och friheter väger tyngre än exemplen ovan. Detta går dock inte att applicera på scenarion där exempelvis offentliga myndigheter behöver personuppgifter för att fullgöra sina uppgifter (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 6).

13

2.1.3 Rättigheter I Kapitel 3, Artikel 12, vid namn “Den registrerades rättigheter”, skriver Europaparlamentet om rättigheter för den registrerade. Det första ämnet som tas upp är tydlighet i form av hur information delas med den registrerade. Med detta menas att behandling måste ske skriftligt och då även i en koncis, klar, tydlig, begriplig och lättillgänglig form - med användning av klart och tydligt språk (speciellt när informationen är riktad till barn) (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 12). Denna förordning lägger stor vikt på den registrerades rättigheter vilket gör att det finns många sådana för den registrerade. Marsh (2017) menar att många rättigheter är bra eftersom det kan leda till en större integritet. Den första rättigheten som förordningen lyfter upp är den kring information och tillgång till personuppgifter, som syftar på att personuppgiftsansvarige måste ge specifik information till den registrerade när den väl är registrerad. Personuppgiftsansvarige måste även tydliggöra ändamålen med den behandling som personuppgifterna är avsedda för, samt även belysa den rättsliga grunden för detta (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 13). Utöver detta så måste även personuppgiftsansvarige berätta för den registrerade vilken mottagare, eller vilken kategori av mottagare, som kommer ta del av dennes personuppgifter. Dessa är bara några exempel, men samtliga måste uppfyllas och följas - och görs inte detta, eller om den registrerade inte samtycker om något, så har denne rätten att inge klagomål till en tillsynsmyndighet (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 13). En annan rättighet är tillgång, där den registrerade har full tillgång till den information som rör denne. Detta innebär att hen har rätt att, från personuppgiftsansvarige, få bekräftelse på huruvida personuppgifter som rör hen behandlas och lagras. Enligt artikel 15 av Allmän dataskyddsförordning 2016/679 av den 27 april (2016) så har därmed den registrerade full rätt att få reda på följande information:

1. Ändamålen med behandlingen 2. De kategorier av personuppgifter som behandlingen gäller 3. De mottagare som personuppgifterna har eller ska lämnas till 4. Den förutsedda period som personuppgifterna kommer lagras 5. Förekomst av automatiserat beslutsfattande 6. Om personuppgifterna har förts vidare till tredjepartsaktör 7. Den registrerade ska även ha rätten till erhållande av en kopia av dennes

personuppgifter som är under behandling Om någon information inte stämmer så har den registrerade även möjlighet att få den rättad. Detta skall då ske utan onödigt dröjsmål. Den registrerade ska även ha rätt att komplettera ofullständiga personuppgifter genom att exempelvis tillhandahålla ett kompletterande utlåtande (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 16). Detsamma gäller vid radering där den registrerade när som helst kan kräva radering av dennes personuppgifter om specifika kriterier uppfylls. Om dessa kriterier är uppfyllda, och den registrerade åberopar radering så måste personuppgiftsansvarige göra detta - utan något som helst dröjsmål.

14

Enligt artikel 17 av Allmän dataskyddsförordning 2016/679 av den 27 april (2016) så kan den registrerade kräva radering om exempelvis:

- Personuppgifterna inte är nödvändiga för ändamålet längre - Den registrerade återkallar samtycket på vilket behandlingen grundar sig - Personuppgifterna har behandlats på ett olagligt sätt - Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse

Vid vissa undantag så ställer sig en del intressen över kriterierna ovan. Då kan den registrerade inte åberopa rätten till radering. Dessa undantag är exempelvis när personuppgifter måste bevaras för att utöva rätten till yttrande -och informationsfrihet, uppfylla ett viktigt allmänt intresse på folkhälsoområdet eller för att fastställa eller försvara rättsliga anspråk (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 17). Den registrerade kan även begränsa behandlingen av sina personuppgifter. Detta kan exempelvis göras när den registrerade har invänt mot behandling, när personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålet eller slutligen om behandlingen är olaglig - och den registrerade väljer en begränsning istället för radering (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 18). En annan rättighet är Dataportabilitet som innebär att den registrerade när som helst ska få ut sina personuppgifter, som denne har tillhandahållit, i ett strukturerat, allmänt och maskinläsbart format. Den registrerade ska även, på ett enkelt och säkert sätt, kunna överföra dessa uppgifter till en annan personuppgiftsansvarige - utan några som helst invändningar från den första parten. Detta kan dock endast genomföras om det är tekniskt möjligt, vilket ställer höga krav på företag som hanterar personuppgifter. Angående höga krav så anser Datainspektionen (2017a) att man som verksamhet måste ta detta på största allvar eftersom förordningen ställer mycket högre krav än tidigare vilket kan medföra stora arbetsbelastningar. När det gäller dataportabilitet så ställer sig detta dock inte över behandlingar som är nödvändiga. Exempelvis när personuppgiftsansvarige behöver personuppgifterna för att slutföra specifika led inom en myndighetsutövning. Rätten som den registrerade har får dock inte påverka andras rättigheter och friheter på ett ogynnsamt sätt (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 20). En annan rättighet för den registrerade är invändningar, där det nämns att den registrerade när som helst kan göra invändningar mot behandlingen av dennes personnummer om dessa har använts för direkt marknadsföring eller om personuppgifterna exempelvis används för vetenskapliga eller historiska forskningsändamål - så länge behandlingen inte är nödvändig för att slutföra en viktig uppgift av allmänt intresse (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 21). Precis som andra lagar och förordningar, så ställer sig samhälleliga funktioner och nationella intressen över individen. Så när det gäller invändningar så måste personuppgiftsansvarige lyssna och agera enligt den registrerade - så länge personuppgiftsansvarige inte kan påvisa tvingade berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 21).

15

2.1.4 Skyldigheter Personuppgiftsansvarige är skyldig att alltid kunna visa att den registrerades personuppgifter samt dess behandling alltid går i linje med förordningen. Detta gäller flertalet grundläggande tekniska och organisatoriska processer som personuppgiftsansvarige alltid måste följa, upprätthålla eller genomföra vid den registrerades intresse. Personuppgiftsansvarige måste exempelvis ha en tydlig och lämplig strategi för dataskydd. Mer specifikt så måste exempelvis pseudonymisering (skilja mellan identifierande personuppgifter och övriga personuppgifter för att öka säkerheten), certifieringsmekanismer samt uppgiftsminimering upprätthållas (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 24-31). Utöver detta så måste även personuppgiftsansvarige skriftligen utse en företrädare inom verksamheten som jobbar med denna typ av frågor (detta gäller dock inte offentliga myndigheter -samt organ). Denna företrädare, eller personuppgiftsansvarige, måste därefter föra ett detaljerat register över all behandling där ändamål, kategorier, kontaktuppgifter till den själv samt eventuell delaktighet med tredje part dokumenteras. Den registrerades intressen skall, i de flesta fall, alltid prioriteras och denna typ av företrädare skall se till att dennes intressen samt dess personuppgifter alltid följer de kriterier och riktlinjer som förordningen kräver (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 24-31). Ett återkommande ämne inom förordningen är säkerhet - och det skrivs återigen om pseudonymisering som ett viktigt kriterium. Detta plus kryptering, konfidentialitet, integritet, tillgänglighet och motståndskraft (hos systemen) är exempel på nyckelbegrepp och principer som måste erhållas så att personuppgiftsansvarige kan ha en hög säkerhetsnivå (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 32-34). Det skrivs även om att personuppgiftsansvarige måste vara beredd på incidenter, där säkerheten kring personuppgifter från den registrerade kan äventyras. Därför måste systemen som behandlar dessa uppgifter ständigt testas, undersökas och utvärderas så att de alltid är beredda - och alltid följer förordningens krav enligt principerna ovan. Motiwalla & Thompson (2012) belyser även detta faktum och menar att man ofta ska uppdatera och se över systemen så att de alltid går i linje med externa förändringar. Men om en incident ändå (exempelvis dataförlust, olaglig förstöring eller obehörigt röjande) sker så är det ytterst viktigt att personuppgiftsansvarige innehar förmågan att återställa tillgängligheten till personuppgifterna, för att återigen följa principerna ovan. Vid ett sådant fall är det även ett krav att personuppgiftsansvarige meddelar den registrerade om vad som hänt - på ett tydligt och klart sätt utan några som helst dröjsmål. Undantag gäller dock när personuppgiftsansvarige exempelvis har krypterat informationen som äventyrats - vilket gör den värdelös i händerna hos en obehörig (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 32-34). Slutligen så nämner Europaparlamentet även begränsning och menar att det ska vara fullt möjligt att begränsa alla skyldigheter och rättigheter som nämnts ovan. Men detta ska endast vara möjligt om en utebliven begränsning äventyrar specifika åtgärder som måste genomföras för att säkerställa den nationella säkerheten, försvaret eller den allmänna säkerheten. Då sätts dessa faktorer före alla skyldigheter och rättigheter.

16

Detta gäller även vissa juridiska aktioner (skydd av rättsväsendet), folkhälsa, social trygghet, etiska regler och andra specifika civilrättsliga krav - där Europeiska Unionen bestämt att skyldigheter samt rättigheter ska begränsas (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 23)

2.1.5 Sanktioner De företag som inte tagit förordningen på allvar och inte gjort sitt jobb väntar sig höga avgifter. Kan verksamheterna, den 25:e maj 2018, inte bevisa efterlevnad av förordningen så väntar höga sanktionsavgifter. Vid allvarligare incidenter kan avgiften gå upp till så mycket som 20 000 000 euro eller 4% av ett företags totala globala årsomsättning beroende på vilket värde som är högst - där det högsta beloppet ska betalas. För andra incidenter som, enligt Europaparlamentet, inte anses vara så grova gäller det största värdet av 10 000 000 euro eller 2% av företagets globala årsomsättning (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 83).

2.2 Skillnader mellan PuL och GDPR Det är många skillnader mellan den nya allmänna dataskyddsförordningen (GDPR) och Personuppgiftslagen (PuL). Vissa är mindre viktiga och vissa är väldigt omvälvande. Överlag så återfinns många av Personuppgiftslagens punkter inuti GDPR - men med striktare tillägg tillsammans med helt nya krav (Datainspektionen, 2017a). Generellt så ställer den nya allmänna dataskyddsförordningen (GDPR) högre krav på datahantering, ansvar, rättigheter och skyldigheter - något som Personuppgiftslagen (PuL) inte gjort på samma sätt (Datainspektionen, 2017a). Personuppgiftsansvarige har exempelvis mer tydliga och utökade krav gällande ansvar och skyldighet, samtidigt som den registrerade har stärkta rättigheter. Detta och den medföljande omställningen kan enligt Datainspektionen (2017a) medföra stora förändringar i en verksamhet. Så det är viktigt att verksamheter nu har allting klart gällande vilka krav som kommer ställas. Gällande samtycke så gäller samma regler för PuL och GDPR. Det vill säga att ett samtycke från den registrerade är ett måste för att personuppgiftsansvarige ska få behandla dennes personuppgifter. Men i den nya förordningen så tillkommer krav på dataportabilitet (se 2.2.3 Rättigheter) där den registrerade kan kräva att få tillbaka sina uppgifter från personuppgiftsansvarige för att överföra dessa till en annan tjänst - samtidigt som verksamheten i alla lägen måste kunna bevisa att samtycke har lämnats (Datainspektionen, 2017b). En annan skillnad är att GDPR kräver att verksamheten gör en konsekvensbedömning för att säkerställa rätt hantering av data. Misslyckas en säker hantering av data, där några av exemplen ovan (se 2.2.4 Skyldigheter) inte upprätthålls så måste verksamheten anmäla en s.k. “personuppgiftsincident” till Datainspektionen. Detta måste då göras inom 72 timmar och utöver detta så måste även den registrerade informeras (Datainspektionen, 2017b). GDPR ställer även högre krav på transparens genom att verksamheter måste visa på rättslig grund till varför uppgifter lagras och behandlas - för att alltid sätta den registrerade i första rummet. Detta krav går inte att finna i Personuppgiftslagens stadgar.

17

En utav de större ändringarna är att GDPR har även lagt till en raderingsklausul i förordningen. Detta innebär att den registrerade när som helst kan begära radering av data - så länge det inte strider mot vissa aspekter som ställer sig över denna rätt (Datainspektionen, 2017a). Dessa undantag tas upp av Europaparlamentet och gäller exempelvis när personuppgifter måste bevaras för att utöva rätten till yttrande -och informationsfrihet, uppfylla ett viktigt allmänt intresse på folkhälsoområdet eller för att fastställa eller försvara rättsliga anspråk (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 17). Radering har tidigare inte funnits med i PuL, eller iallafall inte på samma sätt och för att den registrerade skulle få sin data raderad så krävdes det att den behandlades på ett olagligt sätt, vilket kommer förändras den 25:e maj 2018 (Datainspektionen, 2017b). Dataskyddsförordningen medför även ett nytt krav på uppgiftsminimering. Detta betyder att verksamheter inte tillåts samla in eller behandla personuppgifter för eventuella framtida behov, något som PuL tidigare inte täckt. Utöver detta så måste även målen med behandlingen vara adekvata och relevanta för ändamålet (Datainspektionen, 2017b). Kraven är även stärkta kring inbyggt dataskydd, även kallat “Privacy by Design and Default”, vilket innebär att man visar ökad hänsyn till integritetsskyddsreglerna redan vid utformandet av nya IT-system och rutiner - så att kraven uppfylls och den registrerades rättigheter skyddas. Gällande detta så ska verksamheter alltså se till att information, som ren standard, inte behandlas i onödan, visas för obehöriga eller delas olagligt. Detta kan göras genom att exempelvis erhålla förvalda inställningar i tjänster eller applikationer som upprätthåller detta (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 25). En annan betydande förändring är sanktionerna som införts som ett incitament för att verksamheter ska ta förordningen på allvar och slutligen följa kraven som förordningen kommer ställa (Marsh, 2017). Frydlinger (2016) menar att sanktionerna finns till för att stödja ett proaktivt och preventivt arbete för informationssäkerhet: exempelvis att man börjar i tid. Gällande avgifter och skadestånd så täcker Personuppgiftslagen (PuL) detta, men dessa gäller endast när behandlingen kränker den registrerades integritet (Personuppgiftslagen, 1998:204 48§), vilket enligt Tankard (2016) är relativt vagt. Den nya allmänna dataförordningen ser på överträdelser mycket allvarligare vilket innebär att verksamheter kan få varningar (vid mindre överträdelser) eller sanktionsavgifter upp till 20 miljoner euro alternativt 4% av den globala årsomsättningen (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 83). Ett sista exempel på en betydande skillnad mellan PuL och GDPR är att missbruksregeln tas bort helt och hållet. Missbruksregeln i PuL möjliggjorde för enklare och förlåtande behandling av personuppgifter i ostrukturerad form (exempelvis genom löpande text på internet eller via e-mailkonversationer). Men när GDPR träder i kraft den 25:e maj 2018 så är det slut på detta. Missbruksregeln slopas helt och ersätts av ett nytt tänk där det inte görs någon skillnad på personuppgifter i strukturerad och ostrukturerad form. Detta innebär höga krav på verksamheternas system (Datainspektionen, 2017b).

2.3 Change Management Förändringsarbete, eller Change Management, är viktigt för verksamheter att upprätthålla eftersom det ökar chanserna att rätta sig till de föränderliga behoven hos externa och interna faktorer (Moran & Brightman, 2000).

18

Vidare definieras Change Management av Moran och Brightman (2000) som “processen att kontinuerligt förnya organisationens riktning, struktur, förmågor” - för att tjäna dessa behov. Burnes (2004) menar även att förändring är en ständigt närvarande aspekt inom organisationers livscykler - både på operationell och strategisk nivå. Därav borde verksamheter verkligen se på förändring som något bra och ständigt validera vad som kan ändras inom vissa områden, för att alltid vara aktuella och närvarande. Dock så menar Nelson (2003) att behovet av förändring ofta är oförutsägbart vilket bidrar till att allting blir reaktivt, diskontinuerligt och ofta grundas i en specifik organisatorisk kris. Som exempelvis en betvingad omställning att följa den nya förordningen. När det gäller förändringsarbete för en efterlevnad av GDPR’s alla regelverk så finns det verksamheter som har problem. Problem som, enligt Nelson (2003) grundas i ett misslyckande av att identifiera behovet av förändring. Motiwalla & Thompson (2012) menar även att förändringsarbete oftast är riktat mot IT-system (samt processer) och att det är av yttersta vikt att man ser dessa system som levande fenomen. Levande fenomen som ständigt behöver ses över, uppdateras och valideras i takt med organisationens och omvärldens förändringar.

2.4 Business Process Management (BPM) Ett begrepp som ofta används inom förändringsarbete är Business Process Management, vilket syftar på medvetenhet, hantering och synsätt kring processförändringar inom organisationer (Smith & Fingar, 2003). Van der Aalst & van Hee (2004) definierar även Business Process Management (BPM) enligt följande: “Supporting business processes using methods, techniques, and software to design, enact, control, and analyze operational processes involving humans, organizations, applications, documents and other sources of information”. Det är således viktigt att verksamheter har full kontroll över sina processer för att utgöra bästa möjliga resultat, och då finns BPM som ett hjälpmedel. BPM grundar sig, enligt Howard Smith & Peter Fingar (2003), i 70-talets industriverksamheter och deras schemaläggningssystem. Dessa system, som även kallas för WFM-system (Workflow Management), grundades i sin tur som en reaktion på dåliga produktionsprocesser inom tillverkningsindustrin (Van der Aalst m.fl, 2003). Van der Aalst m.fl (2003) menar även att termen “Straight-Through Processing” (STP) grundades under dessa tider, ett begrepp som syftar på en vilja att automatisera dessa typer av processer i alla led utan någon mänsklig interaktion alls. Någonstans, ur askan från WFM-systemen, så föddes Business Process Management. Ett begrepp som enligt Howard Smith & Peter Fingar (2003) har ett bredare omfång: från processautomatisering och processanalys till hantering och strategi. Van der Aalst (2013) poängterar även detta, och menar senare att BPM kan ses som en evolution av WFM och att det viktiga med BPM är hur det bidrar till tankarna kring processer. Processer är otroligt viktiga att förstå för att greppa hur verksamheten är uppbyggd och fungerar. Detta går enligt Datainspektionen (2017a) att koppla till GDPR, eftersom denna förordning borde brytas ner i processer - där BPM kan vara av högsta värde.

19

Detta gäller dock inte bara processer för att uppfylla förordningens krav, utan den förutsätter också att det finns processer som ständigt ser över och utvärderar verksamhetens tekniska och organisatoriska åtgärder som ska garantera en säker behandling av data - i alla led (Allmän dataskyddsförordning 2016/679 av den 27 april 2016, artikel 99). För att tydliggöra BPM (och skilja det från WFM), så illustreras “BPM Lifecycle” av Van der Aalst (2004) enligt “Figur 1” nedan.

Figur 1 - BPM Lifecycle (Van der Aalst, 2004).

1. Process Design - Detta är startfasen, där själva processen utformas.

2. System Configuration - Här implementeras och konfigureras processerna. Allt är

baserat på hur de är designade i fasen innan.

3. Process Enactment - Här börjar processerna bli ett del i verksamheten/systemet.

4. Diagnosis and Analysis - Här optimeras verksamheten/systemet genom diagnos och analys. Efter denna fas så börjar livscykeln om - för vidare processoptimering.

BPM kan, som tidigare nämnt, vara ett hjälpmedel för att hänga med i process-förändringarna som omvärlden skapar (Van der Aalst, 2004). Som exempel på förändring har vi då GDPR, där denna modell kan användas för efterlevnad. Howard Smith & Peter Fingar (2003) menar ytterligare att processer är otroligt viktiga att förstå, speciellt vid systemutveckling - vilket är precis vad GDPR ställer krav på. Kring efterlevnad av förordningens alla krav så är det även viktigt med medvetenhet. Det är även detta som, enligt Wieland & Ullrich (1976), startar själva förändringsprocessen. Alltså när man är medveten om vilka problem som finns och vilka förändringar som behöver genomföras. Vidare menar även Wieland & Ullrich att det som startar förändringen är ett gap mellan önskad och verklig prestation. Chapman (2002) pratar även om medvetenhet och förändringar och menar att en förändringsprocess ökar en organisations effektivitet och kvalitet eftersom man ställer in sig till den externa miljön. Utöver detta så anser även Motiwalla & Thompson (2012) att inget system någonsin kan vara helt klart.

20

2.5 Business Process Reengineering (BPR) För att gå in djupare på processer så finns det ett begrepp som kallas Business Process Reengineering (hädanefter kallat BPR). Detta begrepp syftar, enligt Hammer, Champy & Svensson (1994), på att bryta ner processerna helt och börja om från början - istället för att förbättra befintliga sådana, som vid BPM. Detta är något som kanske är användbart vid anpassning till denna förordning, i alla fall om man ska utgå ifrån författarnas synsätt på BPR som menar på att man bortser från befintlig struktur och procedurer och istället fokuserar på roten av problemet. Detta känns anpassningsbart för GDPR, där nedbrytning av processer är av högsta vikt (Datainspektionen, 2017b). Författarna definierar ytterligare BPR som “Ett fundamentalt nytänkande och en radikal förändring av verksamhetsprocesserna med syfte att uppnå dramatiska förändringar gällande viktiga, moderna effektivitetsmått som kostnader, kvalitet, service och snabbhet” (Hammer, M, Champy, J, & Svensson, P, 1994). Samtidigt nämner de att det kan vara bra att dela upp verksamheten i olika process-team för bättre effektivitet. Slutligen belyser Hammer, Champy & Svensson (1994) även vikten av fyra nyckelord i definitionen ovan. Dessa är Fundamental, radikal, dramatisk och processer. Författarna menar att fundamental syftar på att företagsledningen måste förstå hur och varför företaget väljer att arbeta på det sätt som de gör. Detta kan greppas genom att verksamheten frågar sig själva elementära frågor för att skapa en överblick kring hur företaget styrs. Detta kan i sin tur leda till en identifiering av vissa delar i arbetsprocesserna, vilket gör att man i detta stadie kan analysera och utvärdera dessa. Med radikal menar Hammer, Champy & Svensson (1994) att verksamheten måste genomföra radikala förändringar för att uppnå effekt på riktigt. Vidare menar Hammer, Champy & Svensson (1994) att dramatisk innebär att BPR kräver dramatiska förändringar för att skapa effekt. Det går alltså inte att göra små förändringar - utan vid BPR krävs det av verksamheten att man helt och hållet byter ut det gamla mot det nya. Slutligen så beskriver Hammer, Champy & Svensson (1994) processer som ett viktigt nyckelord, om inte det viktigaste. De menar exempelvis att de flesta ledare ofta är för arbetsfokuserade och riktar in sig för mycket på enskilda arbetsmoment eller uppgifter istället för processen som helhet. Att utveckla nya processer från botten är något som kräver kreativitet, struktur, holistiskt synsätt samt ett processorienterat tankesätt - detta eftersom det inte finns några specifika guider att använda sig av. Hammer, Champy & Svensson (1994) menar då att man kan använda sig av andra företag som “Best Practice” för att se hur BPR skett tidigare. Gällande nya processer och förändringsteorier anses Kurt Lewin vara en viktig person (Cummings, Bridgman & Brown, 2016). Han har skapat en utav de mest klassiska modellerna för förändringsarbete - Lewin’s Three Stage Model of Change (Talmaciu, 2014). Via denna, applicerbara modell, beskrivs tre faser: upptining, förändring och återfrysning (Kaminski, 2011). Se “Figur 2” nedan.

21

Figur 2 - Lewin’s Three Stage Model of Change (Cummings, Bridgman & Brown, 2016).

Vid den första fasen “Upptining” (Unfreeze) analyseras hur den nuvarande situationen ser ut samt vad som behövs göras för att nå specifika resultat. Mer specifikt att tina upp nuvarande strukturer. Efter detta startar förändringsfasen (Change) där vissa specifika ändringar för verksamheten äger rum. Slutligen, för att lyckas med efterlevnad av dessa förändringar så måste verksamheten “återfrysas” (Refreeze) vilket innebär att låsa fast den nya strukturen och säkra den (Kaminski, 2011). År 1998 så byggde Kotter (1998) vidare på “Lewin’s Three Stage Model of Change” för att ytterligare förklara organisationsförändringar. Denna modell består av åtta steg där de fyra första stegen är baserade på Lewin’s upptiningsfas, det vill säga “Unfreeze”. Denna modell kan enligt Kotter (1998) appliceras på verksamheter där behov av tidig kommunikation och processförståelse skapar bättre förutsättningar för själva förändringen. Detta kan appliceras på GDPR eftersom Datainspektionen (2017a) är tydliga med att verksamheter måste börja arbetet i tid; och en viktig del av förarbetet är att analysera sina processer. Kotters 8-stegsmodell ses nedan enligt “Figur 3”.

Figur 3 - Kotters 8-Step Model (Kotter, 1998)

22

För att en förändring ska lyckas så måste verksamheter, enligt Kotter (1998), börja med att skapa “Urgency” (skapa medvetenhet, det vill säga “Create Urgency”). Genom att skapa detta så kan en verksamhet förstå att det finns förändringsbehov vid exempelvis en akut situation. Detta kan skapas och främjas på olika sätt, men ett exempel enligt författaren är att ledningen medvetet skapar en kris, för verksamheten ska förstå att det är nödvändigt med förändring. Crom (2017) menar dock att detta kan bidra till en rädsla för förändring - samtidigt som Smith (2005) menar att krisen måste uppfattas som tillräckligt allvarlig för att provocera fram förändring utan att vara för extrem för verksamheten att reda ut. Kotter (1998) tar även upp vikten av konsultativ hjälp för att bättre skapa förståelse för problem och förändring medan Smith (2005) menar att strategin som verksamheten väljer måste skapa en känsla av missnöje för att det ska uppstå en önskan om förändring. Steg två i förändringsarbetet är att skapa en koalition (“Form a powerful coalition”); exempelvis ett team eller ett projekt. Medlemmarna i teamet eller projektet ska enligt Kotter (1998) ha en positiv inställning till förändring och även vara kunniga inom området som förändringen ska ske inom. Enligt Talmaciu (2014) är det avgörande huruvida dessa medlemmar ser på förändring - antingen som hot eller som faktiska möjligheter att skapa en förbättring. Gällande störningar eller partiskhet i förändringsarbetet så anser Wieland & Ullrich (1976) att man måste lita på sina anställda - men att även de kan ha slut på idéer på grund av inlärda beteenden och rutiner. Det kan då vara bra att ta in konsulter för att komma igång, exempelvis vid förarbetet. I steg tre (“Create a vision for change”) skapas en vision som visar på förändringens riktning och en konkret bild på hur framtiden kan komma att se ut - om förändringen genomförs korrekt (Kotter, 1998). Demers (2007) menar även att det är viktigt med ett gemensamt synsätt om vart verksamheten står idag och vad förändringen kommer leda till - för att skapa en positiv och entusiastisk känsla. Det fjärde steget i Kotters åttastegsprocess handlar om att förmedla visionen och strategin med verksamheten - “Communicate the Vision” (Kotter, 1998). Detta menar Smith (2005) är viktigt eftersom det skapar en förståelse för problemet. Det är även viktigt att bidra till en bra attityd till förändring - eftersom det minskar motstånd och ökar chanserna för verksamheterna att lyckas med förändringsarbetet (Jones, Jimmieson & Griffiths, 2005). Anställda, eller individer överlag, har benägenheter att klara sig genom en förändringsprocess på ett bättre sätt, om själva processen är transparent (bra kommunikation) och inkluderande (Kaminski, 2011). Med detta menas att anställda måste rätta sig till förändringsarbetet för att allting inte ska fallera och om anställda inte tar upptar de rutiner, tankesätt och beteenden som krävs för att efterleva uppsatta regler försvåras arbetet mot förändring. Det är därför av yttersta vikt att upplysa och utbilda anställda i verksamheterna angående det stundande läget - och den kommande förändringens innebörd (Puhakainen & Siponen, 2010). Steg 5, “Empower action”, syftar på att börja med själva förändringsarbetet. För att lyckas med detta så kan man exempelvis ta bort barriärer inom verksamheterna. Barriärer som exempelvis inkorrekta och ineffektiva processer samt även hierarkier. Detta bidrar enligt Kotter (1998) till fritt och gränsöverskridande arbete som genererar inverkan på riktigt. Gällande “Create quick wins” (steg 6) så syftar denna del på analys, uppföljning och identifiering av resultat (Kotter, 1998). Ytterligare menar författaren att vinster är molekyler av ett helt resultat och att dessa vinster ständigt måste bli upplysta och kommunicerade (gärna ofta) för att främja ett fortsatt arbete. Det näst sista steget (steg 7) i Kotters åttastegs-modell är “Build on Change” som menar på att man ska arbeta hårdare vid visad vinst.

23

När anställda förstår att förändringen verkligen bidrar till något, så ökar detta deras motivation. Vidare så ska man vara bestämd vid denna punkt och trycka på vid varje uppkomst av vinst - tills den bestämda visionen är en verklighet (Kotter, 1998). Det sista steget (steg 8) är “Make it stick” (eller Institute Change) som menar på att verksamheter ska se mönster mellan nya beteenden och verksamhetens vinster för att säkerställa att dessa till slut kan ersätta gamla vanor (Kotter, 1998).

2.6 Teoretiskt ramverk Nedan finns det teoretiska ramverket i form av en tabell uppdelad i olika teman och undersökningsobjekt (med referenser). Detta teoretiska ramverk är baserat på litteraturgenomgången i just detta kapitel och sammanställer det centrala som nämnts samtidigt som det skapar en grund för studiens intervjufrågor. Tabellen finns även till för att läsaren, på ett mer överskådligt sätt, ska kunna förstå vilka teorier som är centrala för studien samt hur de relaterar eller skiljer sig ifrån varandra.

Tabell 1 - Teoretiskt ramverk

Tema Litteratur Undersökningsobjekt

Definitioner, riktlinjer och krav

(Allmän dataskyddsförordning 2016/679 av den 27 april 2016)

- Vad GDPR är

- Vad förordningen innebär samt vad verksamheter ska förhålla sig till

Synsätt, planering och arbete

Change Management (Moran & Brightman, 2000), Nelson (2003), (Burnes, 2004), (Motiwalla & Thompson, 2012), (Smith, 2005), (Jones, Jimmieson & Griffiths, 2005), (Puhakainen och Siponen, 2010). Business Process Management (Van der Aalst & van Hee, 2004), (Van der Aalst, 2004), (Van der Aalst m.fl., 2003), (Van de Aalst, 2013), (Smith & Fingar). Business Process Reengineering (Hammer, M, Champy, J, & Svensson, P, 1994), (Cummings, Bridgman & Brown, 2016), (Talmaciu, 2014), (Kaminski, 2011).

- Hur verksamheter kan se på det nuvarande förändringsarbetet och sina anställda

- Att arbeta med processer på ett effektivt sätt för att möta GDPR:s krav

- Nedbrytning av processer och hur detta kan appliceras på ett förändringsarbete mot GDPR

24

Påverkan och effekter

Leda förändring (Kotter, 1998) (Datainspektionen, 2017a) (Datainspektionen, 2017b) (Allmän dataskyddsförordning 2016/679 av den 27 april 2016)

- Ökad kontroll och medvetenhet

- Process-revidering

- Utbildning och synen på anställda

- Pseudonymisering

- Hårdare krav på lagring och användande överlag

25

3. Metod

3.1 Vetenskaplig ansats Inom forskning så nämner man generellt att studier har en induktiv, deduktiv eller abduktiv ansats när man försöker se samverkan mellan teori och empiri. Med induktion menas att forskaren skapar en generalisering av den teoretiska delen genom verkliga observationer (Jacobsen, 2002). Genom deduktion så formas en hypotes genom teori eller modell som utgångspunkt, en hypotes som enligt Eliasson (2006) senare även prövas mot realiteten genom observationer. Den sista ansatsen är abduktiv, vilket innebär en variation mellan en induktiv och deduktiv ansats för att på så sätt forma ny teori - det vill säga att empirisk data samlas in parallellt med teorin och att forskaren senare hoppar mellan empiri och teori för att successivt komma fram till en slutsats (Bryman & Bell, 2015). Alvesson & Sköldberg (1994) menar även att detta arbetssätt gör att forskningen inte låses av förutbestämda teorier och att det istället hjälper forskaren att arbeta på ett förutsättningslöst sätt. Denna ansats valdes för att få fram relevant bakgrundsfakta kring ämnet, men även olika teorier som behandlar olika aspekter av området. Denna insamlade teoretiska bas skulle sedan ligga till grund för den empiriska undersökningen, vilket enligt Bryman & Bell (2015) är karaktäristiskt för en abduktiv ansats. Genom att växla mellan empiri och teori så anses det att studien har fått ett bättre resultat än om den skulle valt att utgå från endast en utav ansatserna. Detta backas även upp av av Larsson (2005) som menar att parallella kunskapsvägar kan göra det lättare att, genom den insamlade teorin, tydliggöra empiriska mönster.

3.2 Insamling av empirisk data Uppsatsen är en kvalitativ studie som utgår från empiri genom semistrukturerade intervjuer. Kvalitativa studier, precis som kvantitativa, har båda fokus på att finna orsaker, distinktion och samband - men det som som särskiljer dem är att den förstnämnda fokuserar på egenskaper och ord, medan den sistnämnda fokuserar på storlek och mängd (Boolsen, 2007). Eliasson (2006) förklarar skillnaden på ett enkelt sätt genom att jämföra det kvalitativa med ord och det kvantitativa med siffror. Det kvalitativa tillvägagångssättet valdes eftersom det, enligt Trost (2005), handlar om att förstå tankar, erfarenheter, handlingar och föreställningar hos informanterna - vilket är passande för studien då syftet är att just identifiera dessa aspekter. Intervjuer med en semi-strukturerad karaktär valdes även då det ansågs vara passande för studiens datainsamling eftersom det ger möjlighet till en bekvämare dialog, följdfrågor, ändring av infallsvinklar och slutligen en anpassning till informanten (Jacobsen, 2002). Denna datainsamling valdes eftersom den bidrar till mer struktur - istället för en öppen intervju som enligt Dalen (2015) ibland kan bli röriga och svårtolkade. Slutligen så valdes denna form av intervju eftersom det gör det enklare för forskaren att sammanställa och analysera data - eftersom alla intervjuer är skapade på ett likadant sätt. Detta ingiver, enligt Bryman & Bell (2015), mer stabilitet mellan flexibla och standardiserade frågor.

26

Lindh & Lisper (1990) menar att semistrukturerade intervjuer är karaktäriserade genom att forskaren utgår från frågeområden snarare än precisa och detaljerade frågor samt att man enligt Denscombe (2009) även börjar med öppna frågor som sedan smalnas av mot slutet av intervjun. Intervjuer med en semi-strukturerad karaktär tillåter forskaren att, enligt Jacobsen (2002), ställa följdfrågor under intervjuns gång vilket enligt Denscombe (2009) gör det möjligt att applicera nya infallsvinklar. Vid utformandet av en intervjuerna så har fokus varit att utgå ifrån problemformuleringen för att därefter hitta underliggande ämnen som ska bidra till en övergripande förståelse för problemet (Dalen, 2015). Frågorna har även utformats så att den empiri som insamlats ska grunda sig på det teoretiska ramverket (se Tabell 1 - Teoretiskt ramverk).

3.2.1 Urval Då syftet för denna studie är att undersöka hur personuppgiftsansvariga ser, agerar och uppfattar den nya allmänna dataskyddsförordningen (GDPR) så har urvalet handplockats specifikt för att få ut den bästa, och mest reella informationen för just detta syfte. Detta innebär att ett ändamålsenligt urval har skett, där informationsansvariga roller har valts ut (Saunders, Lewis & Thornhill, 2016). Informanternas roller har varit olika för denna studie, men de har gemensamt haft en betydande roll för respektive verksamhets arbete i och med införandet av GDPR den 25:e maj 2018. Detta betyder, enligt Denscombe (2010), att informanterna har valts ut baserat på attribut, erfarenhet och kunskap inom området - och eftersom informanterna besitter den exakta kunskap som studien efterfrågar, så blir dessa informanter passande studieobjekt. Urvalsprocessen har fokuserat på att tillfråga personer med informationsansvariga roller, där ansvar för GDPR ingår. Företagen som tillfrågades plockades ut genom ett bekvämlighetsurval, som enligt Denscombe (2010) är passande för småskaliga forskningsprojekt med begränsad tid, eftersom forskaren väljer de smidigaste objekten som ligger närmast till hand. De företag som deltar i studien är Stena Stål, Växjö Kommun, Region Jämtland Härjedalen, Stadium och IST Group.

Tabell 2 - Informanter

Intervjuperson

Namn Företag Plats Intervjutyp

IP1 Jenny Nyström Stena Stål Växjö Telefon

IP2 Marcus Holmqvist Växjö Kommun Växjö Telefon

IP3 Lars Christersson Region Jämtland Härjedalen Växjö Telefon

IP4 Peter Johansson Stadium Växjö Telefon

IP5 Maria Wellmert IST Group Växjö Telefon

27

3.2.1.1 Summerad informantbeskrivning Stena Stål Stena Stål är en rikstäckande stålleverantör med ett brett sortiment av stålprodukter såsom balk, stång, rör, armering, plåt och legerat konstruktionsstål. Stena Stål har verksamheter på ett 20-tal platser i Sverige samt i Moss i Norge. Deras produktportfölj innehåller troligtvis det bredaste stål- och plåtsortimentet på marknaden. Verksamheten ingår i Stena Metallkoncernen som har sitt ursprung från 1939. Koncernen bedriver idag verksamheter på mer än 200 platser i tio länder där drygt 3 000 medarbetare varje dag jobbar för att skapa nya värden åt kunderna, miljön och samhället i stort. (Stena Stål, 2018) Växjö Kommun Växjö kommun och dess verksamhet styr, hjälper och underlättar för Växjö Kommun och dess invånare. Arbetsområdet sträcker sig från skola och omsorg till trafik och stadsplanering. Sedan 2014 är det Moderaterna, Centerpartiet, Miljöpartiet, Liberalerna och Kristdemokraterna som styr kommunen (Växjö Kommun, 2018). Region Jämtland Härjedalen Region Jämtland Härjedalen arbetar för utveckling och tillväxt i länet samt med att erbjuda alla boende och besökare en hälso- och sjukvård av hög kvalitet. Regionens vision är att vara ett område att längta till och växa i. I regionen sker spetsforskning och testmiljöer inom medicin samtidigt som sport och friluftsliv skapar fina möjligheter för stora varumärken och framgångsrika elitidrottare. Växande branscher och unga entreprenörer med global utblick har sin bas i regionen. Här hittar du också landets största alpina destinationer såsom Vemdalen och Åre (Region Jämtland Härjedalen, 2018). Stadium Stadium är Sveriges största sportkedja med cirka 160 butiker i Sverige, Finland och Tyskland. Förutom Stadium Retail så finns specialkonceptbutikerna Stadium Ski, Stadium Outlet samt nytillkomna Stadium Pulse. Deras dotterbolag; Stadium Solutions och Stadium Sports Camp ingår också i företaget. Moderbolaget Stadium AB i Norrköping fungerar som servicekontor för alla butiker och IKANO A/S äger 25% av innehavet i Stadium AB. Stadiums affärsidé är modern, funktionell sport och sportkläder till bästa pris - med ett mål att inspirera en aktiv livsstil (Stadium, 2018). IST Group IST Group levererar IT-lösningar och tjänster med målet att göra vardagen och verksamheten lättare och mer effektiv för de som jobbar inom skolan. Detta uppfylls genom att erhålla moderna produkter för skoladministration, lärande och schemaläggning (EduCloud) samt genom säker inloggning för lärare, elever och pedagoger via SkolID. IST Group vänder sig till förskola, grundskola, gymnasieskola samt vuxenutbildning/SFI och erbjuder dessutom mer lösningar än exemplen ovan (IST Group, 2018).

28

3.2.2 Genomförande Datainsamlingen har, som tidigare nämnts, skett genom semistrukturerade intervjuer där fem informanter har intervjuats. Denna typ av metodik valdes på grund av den djupare kunskap det ingiver. Detta eftersom specialister med bred kunskap inom området kan väljas ut - istället för att göra en kvantifierad undersökning av mer bred och ytlig karaktär (Oates, 2006). Frågorna till intervjuerna (Bilaga 1 - Intervjufrågor) har utformats utifrån det teoretiska ramverket (se Tabell 1 - Teoretiskt ramverk) och med stöd av min handledare. Frågorna är anpassade utefter informantens kunskaper och attribut samt är speciellt designade för att uppfylla syftet med studien. Frågorna är dessutom öppna - vilket möjliggör för forskaren att ställa följdfrågor vilket, som tidigare nämnt, kan ge nya infallsvinklar till studien (Denscombe, 2009). När intervjuförberedelserna var klara så kontaktades tio informationsansvariga personer på relativt stora verksamheter, för att få till en intervju. Fem av dessa gick anslöt sig till studien och telefonintervjuades under februari och mars månad 2018. Intervjuerna genomfördes via telefon eftersom det var flexibelt. Alla intervjuer spelades in genom en annan mobiltelefon och transkriberades därefter. Transkribering är en del av det analytiska arbetet av intervjumaterialet - där forskaren översätter det talade i skriftspråk (Cultura, 2006). Detta görs för att kunna avläsa intervjuerna djupgående, vilket kan leda till uppenbarelser och identifiering av specifika mönster.

3.3 Analys Transkribering känns säkert och korrekt när intervjuer genomförs och därför har detta tillvägagångssättet valts. För att backa upp detta så menar Patton (1990) att transkribering är en mycket viktig del inom intervjuarbetet eftersom det bidrar till mer äkta och användbar information. Information som även, på ett enklare sätt, kan användas i eventuella analys -och replikationssammanhang. Dock så menar Patton (1990) även att transkribering tar lång tid om man jämför med rådata, i form av exempelvis citat, som är det primära extraherade utkastet från intervjuerna, men att det ändå är ett bra val. Efter transkriberingen och dess sammanställning så genomfördes en kvalitativ innehållsanalys, enligt Graneheim & Lundman (2004) för ökad objektivitet genom identifiering av meningsbärande enheter (se Bilaga 2 - Innehållsanalys). Detta gjordes i följande steg:

1. Meningsbärande enheter hittades 2. Kodning av meningsbärande enheter 3. Finna subteman 4. Kodning av varje subtema i teman 5. Hitta likheter och olikheter

29

Innehållsanalysen fokuserar på det manifesta och latenta. Det är genom det manifesta som det uppenbara i texten avläses och genom den latenta forskaren försöker hitta underliggande meningar inuti det uppenbara (Graneheim & Lundman, 2004). För att öka tillförlitligheten i resultatet så kommer informanterna att få läsa igenom ett transkript av intervjun - som enligt Lindh & Lisper (1990) görs för kontroll och säkerställning av information. Exempelvis om informanterna vill ändra, eller lägga till något. Det transkriberade materialet lästes igenom flera gånger för att skapa en helhetsbild av empirin. Därefter hittades viktiga meningsbärande enheter genom att de hade direkt (eller indirekt) betydelse för forskningssyftet och frågeställningarna. Dessa meningsbärande enheter (fraser med omgivande text) har sedan kodats för att öka förståelsen och fånga det centrala budskapet från informanten (Graneheim & Lundman, 2004). Kondensering och abstrahering av de meningsbärande enheterna har inte genomförts eftersom empirin inte varit så omfattande. Huvudsyftet vid en kvalitativ innehållsanalys är att skildra mönster genom att finna likheter och olikheter i texten. Dessa likheter och olikheter uttrycks sedan i teman (Graneheim & Lundman, 2004). Därefter har den kodade meningen tilldelats ett relevant subtema. När flera subteman hade skapats blev det enkelt att slutligen skapa flera övergripande teman som fångade alla olika subteman. Det är dessa övergripande teman som fångar det latenta i innehållet i intervjuerna och som sedan även ligger till grund för den empiriska sammanställningen (se Bilaga 3 - Sammanställning av teman och subteman). Dessa meningsbärande enheter, kodningar, subteman, teman samt påvisade likheter och olikheter ligger även till grund för forskarens framtida slutsats och svaret på frågeställningarna.

3.4 Tillförlitlighet Enligt Jacobsen (2002) så måste validitet och reliabilitet uppfyllas för att en studie ska anses som tillförlitlig. Med validitet menas att empirin som forskaren har tagit fram är giltig och relevant för uppsatsens syfte. Vidare syftar reliabilitet mer på teorin som tagits fram och huruvida den är tillförlitlig och trovärdig. Creswell (2014) menar att en hög validitet grundas i att forskaren mäter det som från början är tänkt att mätas. Detta eftersom syftet och frågeställningarna går i linje med informanternas erfarenheter, intervjuernas utformning samt den empiri som bildats. Informanterna som är med i denna studie innehar hög expertis vad gäller informationssäkerhet, kvalitetssäkring, laglig grund och även kring själva förordningen. Detta innebär att empirin baseras på kunniga informanter, som efter besvarande av frågor som går i linje med syftet, skapat en hög validitet för studien. Intervjuerna har utförts med hjälp av en telefon, vilket enligt Creswell (2014) bidrar till hög trovärdighet för studien - speciellt om man spelat in samtalet för framtida transkribering, vilket gjordes. Det anses även att studien innehar hög reliabilitet eftersom intervjuerna har skett konsekvent, utan någon som helst påverkan från skribenten. Detta bidrar enligt Creswell (2014) till en ökad reliabilitet. Intervjufrågorna har heller inte varit missledande, vilket Creswell (2014) även menar är ett viktigt i fråga om reliabilitet. Utöver detta så har relevant och passande teori används till studien.

30

3.5 Etiska överväganden Etiska överväganden innefattar enligt Jacobsen (2002) informerat samtycke, rätt till privatliv samt krav på riktig presentation av data. Dessa tre krav är viktiga att upprätthålla för att genomföra en studie på rätt sätt. När det gäller Informerat samtycke så har alla informanter deltagit frivilligt och är väl medvetna om vad intervjun har inneburit - för den själv och för uppsatsen. Rätt till privatliv har även upprätthållits då undersökningen endast undersöker det som sagt i informationsbrevet som skickades ut innan. Slutligen så uppfylls även kravet för “Krav på riktig presentation av data” eftersom alla fem intervjuer har transkriberats detaljerat. För att säkerställa reliabiliteten av transkriberingen så har även informanterna tagit del av ett utkast, där de fick tycka till om innehållet. Detta gjordes för att säkerställa att det stämmer överrens med vad de sagt och för att säkerställa att att informanterna inte, vid ett senare skede, hittar något som de inte vill ha med i uppsatsen.

31

4. Resultat Här presenteras den framtagna empirin, uppdelat per informant. Innehållet är även uppdelat i relevanta rubriker för att särskilja empirin och göra informationen lättare att överskåda samt ta in.

4.1 Stena Stål

“Vi har länge funderat kring den grad av rimlighet gällande datalagring”

Jenny Nyström, Stena Stål

4.1.2 Allmän uppfattning, tankegång och prioritet Stena Stål anser att förordningen kommer påverka deras verksamhet utifrån huruvida de hanterar personuppgifter kopplat till relationer med externa parter (men även gällande dess medarbetare). Exempel på externa parter är kunder och den information som dem sparar kring dessa samt konsulter och deras tillgång till uppgifter - och hur uppgifterna är reglerade i avtal med dessa. Förändring kommer även ske kring hur de lagrar persondata från leverantörskontakter. Frågor som har ställt på Stena Stål är exempelvis hur de ska sparar uppgifterna, vilket typ av regelverk som ska stötta detta samt hur länge ska datan sparas. Det har även diskuterats mycket kring gallring av data. Övriga frågor som diskuterats är vad Stena Stål behöver kommunicera till den registrerade - samt om ett eventuellt medlidande från deras kunder och leverantörer behövs. Och isåfall när. Stena Stål anser att GDPR och arbetet kring denna förordning är väldigt viktigt inom hela koncernen, vilket exempelvis är baserat på den höga sanktionsavgiften.

4.1.3 Verksamhetens efterlevnad För att möta förordningens alla krav så har ett projekt satts upp av koncernen, Stena Metall. Detta projekt bestämmer och gör det klart kring vilka delar som hanteras lokalt på specifika kontor - och vilka delar som hanteras centralt inom koncernen. Genom projektet så har Stena Stål tagit fram koncerngemensamma riktlinjer och regler. Utöver detta så har de även gått igenom sina affärsprocesser där de har mappat vilken information som hanteras - samt i vilka steg som informationen sparas. Genom mappningen har de även fått fram vem som har tillgång till informationen, hur ofta informationen tas bort (gallring), hur kommunikationen går till samt slutligen vilka riktlinjer och policys som finns.

32

Informanten menar att det nog är svårt att se omfattningen kring något förrän man gått in i det och att man alltid hade kunnat börja tidigare. Verksamheten upplever dock att de har varit duktiga på frågan och de har även haft hjälp av en extern jurist som har stöttat dem med mappningsarbetet, riktlinjer samt policys.

4.1.4 Tankar kring påverkan Informanten nämner att förordningen kommer påverka hur verksamheten sätter upp deras system och hur de sätter upp sina behörigheter. Verksamheten är även mer restriktiva i hur dem behandlar data och speciellt hur denna data sedan sparas. Förordningens kommer även påverka hur verksamheten kommunicerar med dess registrerade - men det kommer inte påverka dess affär -eller affärsrelation utan isåfall bara skapa tydlighet. Informanten nämner även att en annan positiv påverkan är nog att verksamheten kommer få förbättrade processer kring personuppgiftshantering - och en effektivisering genom hela koncernen i förlängningen. Stena Stål anser även att GDPR skapar trygghet för individen och att det är bra att kunna vända sig till organisationer och få en upplysning vilken information som finns sparad kring dig - och även kräva att den tas bort.

4.1.5 Svårigheter och utmaningar Min informant tror att en stor utmaning ligger i hur dem hanterar e-mail -och e-mailkonversationer. Problematiken fokuseras på när man mailar och får tillbaka personens personuppgifter - hur kommer det hanteras och regleras? Där har verksamheten en osäkerhet kring hur detta ska hanteras i framtiden.

4.2 Växjö Kommun

4.2.2 Allmän uppfattning, tankegång och prioritet Växjö kommun har jobbat ganska länge med GDPR och säger att det var över ett år sedan som de började med planeringen. Informanten menar att det finns en stark oro kring dataskyddsförordningen och när den träder i kraft, vilket grundar sig i att man inte riktigt vet vad allting innebär. Det skrivs mycket kring vite och så vidare, vilket bidrar till en stark oro ute i verksamheter och speciellt där man har låg kunskap kring denna förordning. Där man har lite mer kunskap så tror informanten att det känns mer lugnt - trots den stora arbetsbelastningen som allt detta bidrar till. Växjö kommun menar dock att GDPR är en väldigt viktig fråga för dem och att den drivs på högsta ledningsnivå. Växjö kommun ska klara av arbetet och anpassa sig så att de klarar den lagstiftning och det skydd för personlig integritet som ställs. Informanten tycker personligen att GDPR är en bra lag - men att det är svårt att bedöma hur man ska mäta den som bra, alltså hur den hade kunnat bli bättre på ett annat sätt. Samtidigt nämner Informanten att skydd mot personuppgifter är viktigt och det är väldigt bra att EU nu tagit det steget. Ett steg som gör att alla privata och offentliga myndigheter skyddar och hanterar personuppgifter på ett bättre sätt.

33

Det känns alltså tryggt med högre krav, så att man vet att de inte skickar vidare uppgifterna eller sparar dem hur som helst. Informanten menar slutligen att allt detta leder till struktur inom alla verksamheter - i det långa loppet. “Arbetet med dataskyddsförordningen och personuppgifter slutar inte den 25:e

maj, utan det är något man alltid kommer jobba med framöver.”

Marcus Holmqvist, Växjö Kommun

4.2.3 Verksamhetens efterlevnad Växjö kommun har arbetat väldigt mycket med att försöka uppfylla alla kraven som GDPR ställer. Från ett år tillbaka haft de haft olika utbildningar för de som varit PuL-ombud innan och systemförvaltare för olika IT-system som innehåller personuppgifter. De har även börjat med utbildning av övrig personal och i förarbetet tagit in hjälp för analyser (ex. GAP) för att ta reda på vad som behövs göras. Inventering av personuppgifter samt identifiering av register har även lagts stor vikt vid och sammanfattningsvis är kommunen nöjda med det som gjorts hittills. Informanten menar dock att det finns mycket mer att göra och utveckla och att arbetet med dataskyddsförordningen och personuppgifter inte slutar den 25:e maj 2018 utan det är något man alltid kommer jobba med framöver. Slutligen nämner informanten att de är nöjda med arbetet de gjort fram tills denna punkt - men att det alltid finns förbättringspotential på det mesta.

4.2.4 Tankar kring påverkan Informanten menar att verksamheten kommer behöva tänka mer kring de uppgifter de sparar. Förordningen kommer även ändra deras arbetssätt eftersom en kommun behandlar mycket personuppgifter - vilket de måste göra för att klara av denna typ av verksamhet - ex. journalhantering. Informanten säger även att verksamheten måste analysera behovet kring data i deras register för att endast behålla det som verkligen behövs - vilket kan göras genom en mer frekvent gallring av data. Informanten nämner även att denna förordning kommer påverka deras processer eftersom detta tänk blir en viktig aspekt i allting. Det blir en stor omställning då den tidigare personuppgiftslagen (PuL) har varit ganska svag, vilket gör den mindre prioriterad - men GDPR är stark vilket gör det till en hög prioritering. Enligt informanten är detta bra, så att vi alla blir bättre på att hantera personuppgifter. En hög medvetenhet kring fundering och förändring kan hjälpa arbetet - exempelvis i det lilla såsom registerhantering.

34

4.2.5 Svårigheter och utmaningar Informanten menar att det största hindret nog är att man ser för mycket på att det ska vara klart 25e maj 2018. Det man måste se är man har kommit en bra bit och gjort mycket - men att fortsätta med jobbet efter detta datum. Ett fast datum menar att allt ska vara klart, medan informanten menar att det är ett förhållningssätt för framtiden. Alltså inget som ska sluta den 25:e maj 2018. Han menar återigen att det finns en rädsla kring vite - men att man inte behöver oroa sig om man gjort sitt jobb.

4.3 Region Jämtland Härjedalen

4.3.2 Allmän uppfattning, tankegång och prioritet Informanten menar att GDPR kommer innebära stor påverkan på många verksamheter - mestadels eftersom förordningen kräver mycket nyhantering som inte riktigt finns på plats idag. På Region Jämtland Härjedalen är det, enligt Informanten, dock svårt att säga hur viktig förordningen egentligen är. Informanten menar att förordningen är hård men rättvis och att den ställer rätt krav. Informanten tycker även att den är bra och pekar åt rätt håll eftersom det är en motvikt mot allt annat som sker när det finns jättestora spelare som Facebook och Google som gör precis som de vill med personuppgifter, eftersom det inte funnits någon sån här lag tidigare. Informanten menar att det måste finnas balans och GDPR skapar den balansen. Det nämns även att förordningen kan upplevas som jobbig men att man senare kommer förstå att den behövdes. Informanten menar att inte alla länder har samma medvetande kring det här. Han nämner exempelvis Tyskland som en utav förordningens drivkrafter - eftersom de har haft en lag liknande GDPR, vilket gör att dem inte påverkas lika mycket som andra länder. I Tyskland är det viktigt med individuell integritet, medan man i Sverige tidigare har slängt sig med sitt personnummer i alla möjliga sammanhang. Det kommer bli ändring på det och en mer restriktivt framtid väntar.

4.3.3 Verksamhetens efterlevnad På Region Jämtland Härjedalen har man ett projekt som jobbar mot att införa alla anpassningarna inför GDPR. Detta projekt har bedrivits sedan i våras och fokuserar på att ta fram och identifiera processer samt göra kravställning på IT-system - för att se vad som behövs göras inom dessa så att de uppfyller kraven som GDPR ställer. Gällande utvärdering så har detta projekt inte utvärderats ännu, så det är svårt att säga om de är nöjda eller ej. Verksamheten har även tagit in en konsult som hjälpt till och har genom detta fått in ett nytt tänk i deras anpassning - utifrån hur konsulten jobbar med information kring behörighetshantering, exempelvis uppgiftsminimering.

35

“Innan har det varit ett fritt val där man fick spara där det gick, och fanns plats. Men det är slut med det nu.”

Lars Christersson, Region Jämtland Härjedalen

4.3.4 Tankar kring påverkan Enligt informanten så kommer GDPR påverka på många plan. Det krävs exempelvis, av verksamhetens medarbetare, att de är mycket mer medvetna än förr när det gäller personuppgiftshantering. Detta är tidigare ett eftersatt område, men som är av högsta prioritet just nu. Informanten nämner att GDPR är en fråga som finns på ledningens bord kring hur vi hanterar detta och hur vi kan mäta det på bra sätt. Detta gör förordningen viktigare för oss, eftersom ledningen vet det kan bli väldigt dyrt om vi inte skärper oss. Detta är en stor orsak till varför GDPR tagits på så stort allvar. Förordningen kommer att bidra till en renodlad hantering av information som inte kommer spridas på olika lagringsytor utan endast på förutbestämda platser enligt regelverk. Regelverk som säger att denna typ av data ska användas till detta och denna typ till detta. Så att man inte blandar information på olika ställen. Informanten nämner att man helst ska lagra på rätt sätt samtidigt som man gör det på få ställen - så att man har koll på allting. En annan sak som kommer påverka är införandet av informationsklassning som en aktiv skyddsåtgärd, vilket verksamheten inte haft resurser för tidigare. Men det har dem nu och då kan de klassa informationen. Detta är något som man gjort inom militären väldigt länge - men inte inom landsting, där viljan eller behovet kanske har saknats, tillägger informanten. Informanten menar att GDPR kommer påverka deras interna processer och därför är det viktigt att vi har koll på de processerna så vi vet hur dem fungerar och vad som krävs inom dem. Förordningen kommer alltså ha stor påverkan på grund av just detta, eftersom vi måste upprätthålla de processerna och samtidigt ta höjd för det nya tänket som blåser in nu - där mycket kommer ändras.

4.3.5 Svårigheter och utmaningar Enligt Informanten är det största hindret tid att jobba på detta samt att allting upprätthålls på rätt nivå och att man har tillräckliga resurser för att jobba med detta. En annan utmaning är även resurser för riskbedömningar, vilket han anser är viktigt att jobba aktivt med för att förstå vikten av problemet och ständigt vara beredda.

36

4.4 Stadium

4.4.2 Allmän uppfattning, tankegång och prioritet Informanten menar att Stadium har levt med PuL sedan länge och att GDPR egentligen bara är en uppstramning av denna lag. Han berättar ytterligare att de även har tagit förordning på stort allvar och vill göra rätt för sig - på så sätt anser han att lagen är viktig för verksamheten även om de egentligen inte hanterar så mycket känsliga personuppgifter som andra företag/institutioner gör. Trots detta så har de valt att ta det på stort allvar, gällande medlemmar och data kring anställda. Informanten säger att de ligger ganska bra till och att de har börjat i tid och personligen anser informanten att lagen är svår, eftersom den är ny och saknar prejudicerande domar. Så man vet inte riktigt hur man ska förhålla sig till den vilket gör att lagen blir rörig och svårtolkad. Den har ännu inte hunnit bli anpassad kring olika verksamheter heller, vilket Informanten tror att den kommer göras med tiden. Just nu är lagen väldigt strikt och generell vilket leder till att olika retailers inte riktigt vet hur man ska förhålla sig till den och vad som kommer gälla. Det kommer säkert bli bra till slut trots det enorma arbete som företagen ställs inför. Informanten diskuterar även kring nyttan i vissa regelverk inom förordningen och att vissa saker känns jättebra och vissa saker känns omständliga. Han tillägger att det ibland är svårt att veta hur man skall tolka vissa saker i en given situation, vilket gör att man oftast tolkar det striktare än tänkt - vilket kan göra lagen lite fyrkantig. Han tycker dock att den är jättebra för att man skyddar personuppgifter i slutändan. Han menar även att det är svårt att se något positivt med lagen från ett verksamhetsperspektiv, men att den är bra för individen. Ibland känns vissa krav och uppgifter onödiga vilket gör att man undrar över nyttan med det hela. Förklaringen till detta kan vara att lagen inte riktigt känns hundra procent klar heller och det är även väldigt otydligt från EU vad som gäller. Det är heller ingen som vet förrän förordningen är beprövad Detta skapar frustration eftersom man inte riktigt vet vilken väg man ska gå.

4.4.3 Verksamhetens efterlevnad Stadium har drivit ett projekt sedan förra våren där de försöker identifiera vad som hela tiden behöver göras. Det flyter på bra även om det ibland är lite otydligt vad som exakt behöver göras - eftersom lagen inte är prövad. Det finns även ett stort spann mellan olika retailers hur man uppfattar GDPR och hur seriöst man tar det. Informanten tillägger dock att Stadium troligtvis är en av de aktörer som tar det mer seriöst och gör det mer ordentligt. Projektet har även drivits tillsammans med en jurist för att täcka in det nödvändiga för att uppfylla GDPR. Exempelvis ta fram rutiner och olika sätt för hur man ska hantera medlemmars personuppgifter, med samtycke och så vidare. Alla de rutinerna som är nödvändiga har Stadium tagit fram (eller håller på att ta fram) och de håller även på att teckna avtal med de leverantörer (konsulter) som är personuppgiftsbiträden åt dem.

37

Informanten anser även att arbetet har gått bra och att det nog inte hade kunnat gjorts annorlunda på något sätt. Kanske att man hade tagit juridisk hjälp lite tidigare. Men i och med dess oklarhet så är det svårt få grepp i början och även nu.

4.4.4 Tankar kring påverkan Förordningen kommer inte ändra inriktning för Stadiums verksamhet, men det kommer ändra hur de tänker kring rutiner. Informanten nämner att de behöver tydliga rutiner för personuppgiftsbehandlingen och att de löpande kommer informera deras personal kring hur man ska hantera personuppgifter och att de som hanterar personuppgifter kommer bli ännu mer noggranna på hur man gör det. Sen kommer de bli ännu mer strikta med behörigheter till system samt arbeta med en ökad respekt för kundens uppgifter genom att fortsätta att informera kunden hur datan behandlas av verksamheten. En konsekvens av detta är vi kommer bli mer noga med personuppgifter och behörigheter till system och så vidare.

“Vi har koll på läget!”

Peter Johansson, Stadium

4.4.5 Svårigheter och utmaningar Stadium ser inga hinder. De har en stor kundgrupp som de måste hantera på rätt sätt och därför kommer de att börja informera och ta in mer samtycke från medlemmar, vilket är en viktig men stor process. De känner ändå att det inte är något hinder och Informanten menar att Stadium har koll på vad som ska göras. Om han dock får nämna ett litet hinder, eller utmaning, så är det relativt krävande att ta in personuppgiftsbiträden och avtal kring dessa från deras leverantörer.

4.5 IST Group

4.5.2 Allmän uppfattning, tankegång och prioritet Informanten tror att många uppfattar förordningen som lite krånglig och svår. På IST Group anser man att GDPR är väldigt viktig, eftersom de gör administrativa system för kommun och skola - där det är väldigt mycket persondata, speciellt kring barn. För IST är det avgörande att de visar att de följer lagstiftningen och att kunderna kan känna sig trygga med det. IST Group förstår att det kommer ställas höga krav och att saker och ting kommer förändras inom verksamheten. De arbetar just nu för att möta kraven som GDPR ställer och har haft ganska mycket utbildningsinsatser för att få folk att förstå vad allt detta innebär. Sen varierar insatserna beroende på vilket bolag man arbetar på eftersom IST har landsbolag i Sverige, Norge, Danmark och Tyskland. Därför ser vissa strategier annorlunda ut på grund av olika skollags-stiftningar och så vidare.

38

Informanten anser att GDPR är en bra lag - speciellt arbetet inför den, eftersom att alla på IST förstår vad som är viktigt och vad som är längst bort; individen. Detta är även lysande ur ett informationssäkerhets-perspektiv eftersom GDPR belyser rutiner och säkerhet vilket är bra även om man bara fokuserar på en typ av data. Slutligen nämner Informanten att lagen kan ses som väldigt abstrakt och att det därför kommer behövas prejudicerande fall och kanske även en hel del ändringar inom förordningen. Informanten poängterar dock att lagstiftningen i grund och botten är väldigt bra. På IST Group tycker man att GDPR är nödvändig eftersom digitaliseringen har hänt och påverkat så mycket. Det är viktigt att börja prata och ta tillbaka integriteten till individen igen. Det är bra att det är fokus på individen och individens rättigheter och detta kan skapa mer förståelse samt mer eftertänksamhet när man använder sig av system, plattformar eller sociala medier. Det vill säga att man inte bara förstår att en individ har en rättighet, men att privatpersoner också har en skyldighet att förstå vad som händer med ens persondata. GDPR upplyser faktiskt om detta och berättar vad persondata är och vad som kan göras med den - samt hur man kan begränsa den. Detta tycker Informanten är en viktig aspekt.

4.5.3 Verksamhetens efterlevnad IST Group har exempelvis gjort flödesanalyser på persondata, sett över arkitekturen i systemens miljöer och strukturer samt kollat på säkerhet kring allt detta (som går enligt ISO27001). Utöver detta så nämner informanten att de har gjort riskanalyser och även diskuterat laglig grund på fältnivå (fritextfält) som blir knepigare att använda nu när GDPR träder i kraft. Förarbetet har grundat sig i kunskaper från ISO27001 i form av grunder och informationssäkerhets-kontroller. IST Group arbetar även mot nya förhållningsregler, policy-dokumentation, rutiner och incidentrapportering. Så för att sammanfatta, anser Informanten att de har gjort väldigt mycket för att uppfylla de kommande kraven, där det största och jobbigaste måste varit att sätta igång med de inledande analyserna samt att kategorisera den persondata vi har. Detta för att identifiera så att vi inte har några särskilda kategorier av persondata - exempelvis barn med nötallergi. Där har verksamheten diskuterat väldigt mycket internt men även med deras jurister kring hur detta ska hanteras. IST Group har gjort väldigt mycket analytiskt arbete men nu ligger fokus på utvecklingen så att de ska kunna möta målen den 25:e maj 2018. Allt detta arbete började hösten 2016 hos deras produktbolag (innan min Informant hade börjat) då dem hade ett externt företag som kom in och hjälpte till med inventering och riskanalys så alla kom igång. Informantens del i detta är att stötta upp med utbildning och övrig hjälp - ex. tolkning.

“Förut handlade de om vilken laglig grund och ändamål vi skulle ha.

Nu frågar vi istället oss själva vilken typ av kryptering vi ska använda. Vi har kommit förbi första fasen.”

Maria Wellmert, IST Group

39

IST Group har inte haft detta som ett enda projekt, utan flera olika, och det har varit ganska svårt att koordinera ihop allting. I efterhand hade det varit klokare att ha ett enda stort projekt, menar Informanten - och det är ju lätt att vara efterklok. Men nu valde deras koncernledning att inte göra så vilket har lett till en del synkningsfel där vissa bolag inom koncernen har kommit längre och vissa endast har kommit in på analysdelen. Det är också skillnad på grund av att IST Group verkar i olika länder. Vilket också bidragit till osynkroniserat arbete. Exempelvis så har deras danska och norska bolag tidigare haft mycket hårdare krav (än vad de har haft med PuL i Sverige) så därför har det varit lite osynkroniserat hela vägen. Informanten tror att verksamheten hade kunnat gjort mycket mera “lessons learned” och delat kunskaper om vi hade haft ett mer enhetligt projekt - ett landsöverskridande sådant.

4.5.4 Tankar kring påverkan Enligt Informanten så kommer denna förordning framförallt göra skillnad för verksamhetens utvecklare, då på grund av att allt ska följa “Privacy by Design and Default”. Det kommer även ske förändring i vardagsanvändning gällande exempelvis e-mail och hur detta kommer regleras. Utöver detta så kommer det även ske förändringar kring hur man hanterar supportärenden samt riktlinjer kring detta. Dessa är exempel på rutiner som IST Group behöver uppdatera så att de ligger i linje med GDPR. Den största delen är supportfunktionen och också deras ostrukturerade material samt hur detta ska hanteras. Exempelvis e-mailsystemet som nämns som en gråzon och som, enligt Informanten, sägs vara det svåraste att reglera. Det nämns dock att IST Group kommer sätta upp regler för hur e-mailanvändning ska ske. Detta finns exempelvis med i deras introduktionsutbildning som de har för sina nyanställda på företaget där de berättar vad man mailar och inte mailar och allmänna tankegångar kring detta. Informanten menar även att det är viktigt att följa upp analysarbetet med personuppgiftsansvariga vad gäller kategorisering och andra skyldigheter. Informanten berättar att bolag av IST’s storlek (ca. 400 anställda) har resurser som tar hand om GDPR - men att det kan bli tufft att uppfylla förordningens alla krav om man är ett mindre bolag (exempelvis egenföretagare). I dessa bolag har man oftast inte samma koll vilket leder till att det blir mycket att hålla reda på om man ska ha koll på sina leverantörer. Det känns inte riktigt som att den här lagen är skriven för egenföretagaren eller småföretagaren. Eller föreningsverksamheter. Informanten berättar om hur många som arbetar ideellt i olika föreningar och att det är mycket oklarheter där. Vidare berättar informanten att det finns många bra guider på datainspektionens hemsida men att det inte finns några bra guider som vänder sig till föreningar och berättar vad dem ska tänka på. Detta kan bli problematiskt eftersom mindre föreningar ofta för register i mass-delade excel-ark. Informanten berättar att hon har utbildat externt, och har därigenom stött på många personer med panik av att det är mycket att greppa. Detta grundas nog i att det är ganska dåligt med information och inte ens branschorganisationerna för småföretagarna har kommit ut med några konkreta råd gällande GDPR. Sen kommer nog inte datainspektionen att granska småföretagarna i första hand men det är ändå ett regelverk som ska efterlevas på ett eller annat sätt.

40

Slutligen nämner informanten att GDPR kommer bidra till en ökad säkerhetsmedvetenhet, krav på transparens och även skapa en väldigt lukrativ marknad för system som går enligt GDPR för att förenkla för personer/verksamheter som hanterar persondata. Ett annat exempel som Informanten anser är bra är att man inte längre kan använda persondata som någon sorts handelsvara.

4.5.5 Svårigheter och utmaningar Enligt informanten är den största svårigheten nog rätten att bli glömd. Att hitta all data, även den ostrukturerade, blir jättesvårt och informanten tror att det är oerhört svårt att garantera att man blir raderat helt och hållet vilket EU kanske inte riktigt tagit höjd för. Detta eftersom, om man är extremt tech-nördig, det faktiskt inte går att ta bort någonting till hundra procent. På vilket plan menar då lagstiftarna att datan ska bort? Informanten hoppas slutligen att det kommer mer riktlinjer kring pseudonymisering och hon kan även tänka sig att “rätten att bli glömd” är det första som IST Group kommer att få hantera.

4.6 Innehållsanalys

Alla verksamheter har kommit igång med det förberedande arbetet för att möta kraven som förordningen ställer. För dessa projekt ligger fokus på gemensamma regelverk och policys som ska ligga till grund för hur dem tänker kring, hanterar och sparar data. Mycket förberedelse har legat på analytiskt arbete, för att förstå hur varje process fungerar. Detta för att sedan mappa hur informationen hanteras i dessa processer, så att man senare kan ta beslut kring detta. Genom mappning (kategorisering) av data inom processer så ser man i vilka steg som informationen sparas samt vem som har tillgång till den. I det förberedande arbetet så har många verksamheter även tagit hjälp av externa jurister där dem suttit ner och tillsammans försökt identifiera hur personuppgifter flödar i verksamheten. Det har exempelvis genomförts persondata-inventeringar men även flertalet GAP-analyser, riskanalyser samt flödesanalyser på persondata - något som ingår i själva mappningsarbetet. Många nya krav har även ställts på IT-system och register där verksamheterna kollat på vad som behövs göras så att dessa uppfyller kraven som GDPR ställer. Man har exempelvis kollat på systemens arkitektur för att se hur dessa miljöer och strukturer går i linje med förordningens krav. Vidare när datan har analyserats så har verksamheterna arbetat mycket med att ta fram rutiner och regelverk kring hur man hanterar personuppgifter, exempelvis med samtycke. Vidare så har det det även planerats mycket kring nya förhållningsregler, policys och incidentrapportering - men i det stundande läget så ligger fokus på utveckling. Detta eftersom verksamheterna har kommit relativt långt i det analytisk arbetet och det är nu upp till utvecklarna att uppfylla alla mål. Ett återkommande ämne är även uppgiftsminimering, där man försöker att minimera klustret av data till ett mer strikt nätverk där man har kategoriserad data på så få ställen som möjligt. Det är även viktigt att ständigt gallra information samt att ha en kommunikation med den registrerade kring motiv, riktlinjer och policys för den data som verksamheten sparar. Det nämns även att personalen utbildas för att bidra till ett informationssäkert tänk inom verksamheterna.

41

De som utbildas är exempelvis de som varit PuL-ombud innan och systemförvaltare för olika IT-system som innehåller personuppgifter, Men även vanlig personal gällande e-mailhantering och allmänt tänk kring datahantering. Det framkommer, bland informanterna, en känsla av oro i vissa fall. Lagen känns inte hundra klar och det är därför svårt att veta vilken väg man ska gå. Oron ökar även eftersom det inte finns några prejudikat att utgå ifrån samt att det råder många oklarheter kring förordningens tolkande. En utav informanterna menar att vissa krav ibland känns otydliga, onödiga och abstrakta - men att detta kommer bli bättre med tiden när lagen blivit beprövad, ändrad, testad och anpassad. Förordningen kräver ett helt nytt tänk inom verksamheterna samt att dess medarbetare måste vara mer medvetna än förr - när det gäller personuppgiftshantering. Personuppgiftshantering har tidigare varit ett eftersatt område, men det är det inte längre. Förordningen kommer påverka hur alla verksamheter tänker kring persondata. Inte bara persondata från konsumenten utan även från andra kunder, medarbetare och leverantörer. Förordningen kommer ändra arbetssättet för alla verksamheter och göra det mer tydligt, säkert och strukturerat - även om det just nu inte känns som så. Förordningen kommer även påverka kommunikationen mellan personuppgiftsansvarige och den registrerade till det bättre - via mer klarhet, tydligare regelverk och motiv för den data som hanteras och lagras (samtyckesavtal). Detta ökar tryggheten hos individen, så att denne vet att ens persondata inte sprids. Det är alltså viktigt med respekt för kundens personuppgifter vilket gör att verksamheter behöver tänka mer kring rutiner, motiv, lagring samt regelverk som stöttar detta. Hur länge är det rimligt att vi sparar dessa uppgifter? Vad är gallringshorisonten? Vem ska gallra? Hur? Dessa är frågor som en informant ställt till sin verksamhet. Vilka uppgifter är det okej att spara? Allt detta måste bestämmas och dokumenteras och alltid stå i linje med GDPR. Som tidigare nämnt så måste det även bestämmas vad som behövs kommuniceras till den registrerade och inte. Förordningen kommer även påverka hur verksamheter sätter upp system och behörigheter - men framförallt, så kommer den påverka verksamheternas interna processer. Det krävs även en högre medvetenhet kring hur data hanteras inom verksamheten exempelvis genom att de måste analysera sitt behov av register, där de frågar sig själva om det faktiska behovet av datan. Att ständigt behöva tänka och fundera kring data (exempelvis registerhantering) kommer indirekt att bidra till ett ändrat arbetssätt - och förhoppningsvis ett effektiviserat sådant. Utöver detta så behövs tydliga rutiner för personuppgiftsbehandlingen där verksamheterna, löpande, måste informera personal kring hur man ska hantera personuppgifter - och dem som hanterar personuppgifter kommer bli ännu mer noggranna på hur man gör det. Det är ytterst viktigt med struktur och verksamheterna måste ha koll på den information som de behandlar. Utöver detta så finns det väldigt mycket mer att göra hos verksamheterna - främst när det gäller den teknologiska utvecklingen. Arbetet med dataskyddsförordningen och personuppgifter slutar inte i slutet av maj utan det är något man alltid kommer jobba med framöver. Med tanke på “Privacy by Design and Default” så har ett nytt tänk fötts och detta speglas även i en verksamhets vardagsanvändning, där exempelvis e-mailkonversationer måste regleras. Där måste man ta fram strikta regler för vad man får och inte får maila - samt

42

hur man får använda sin e-mail i allmänhet. Det kommer även ske förändringar kring hur man hanterar supportärenden, samt riktlinjer kring detta. En informant nämner även att vi tidigare har haft Personuppgiftslagen (PuL) som har varit ganska svag, vilket gör den mindre prioriterad - men GDPR är väldigt stark vilket gör det till en hög prioritering. Detta är bra så att vi alla blir bättre på att hantera personuppgifter. Den höga prioriteringen kan även bero på vite och sanktionsavgiften som göra att verksamheter blir rädda för att inte uppfylla kraven - för då kan det bli dyrt. Sammanfattningsvis så kommer verksamheterna bli mer restriktiva i hur de behandlar data och speciellt hur de sparar den. Det kommer att påverka genom mer renodlad hantering av information som inte kommer skridas på olika lagringsytor utan endast på förutbestämda platser enligt regelverk. Regelverk som säger att denna typ av data ska användas till detta - och denna typ till detta, så att man inte blandar information på olika ställen. Helst ska man lagra på få ställen så att man har koll på allting. Innan har det tidigare varit ett fritt val där man fick spara där det gick, och fanns plats - men det är slut med det nu. En sista sak som som kommer påverka är införandet av informationsklassning som en aktiv skyddsåtgärd vilket många verksamheter inte haft resurser för tidigare. Men det har de nu, och då kan dem klassa informationen. Detta är något som man gjort inom militären väldigt länge men inte inom exempelvis landsting, där viljan eller behovet har saknats. Gällande utmaningar så nämns kontroll över ostrukturerad data ofta, vilket visar sig genom utbildningar kring e-posthantering och dylikt. Utöver detta nämns även tid och resurser.

43

5. Diskussion

5.2 Resultatdiskussion Detta kapitel är uppdelat i relevanta rubriker, där författaren diskuterar empirin samtidigt som den ställs mot den tidigare litteraturgenomgången.

5.2.1 Arbete för att möta kraven Inledningsvis ser det ut som att alla intervjuade verksamheter har kommit igång bra med arbetet för att efterleva förordningens alla krav. Författarens förförståelse inför denna uppsats var att inga företag hade börjat på riktigt - och den faller därmed direkt, även om vissa har kommit längre än andra. Efter innehållsanalysen (Bilaga 2 - Innehållsanalys) så framgår det att det första steget är analys och identifiering. I detta steg ser verksamheterna över all data som verksamheten rör vid. Antingen genomförs komplexa analyser eller så går man djupt in i processerna, men det centrala är en djupgående identifiering av hur informationen flödar och sparas inom verksamheten. Detta görs så att man kan åtgärda fel hantering av data inom processerna så att de går i linje med förordningen. Detta är det huvudsakliga syftet och det har presenterats genom att verksamheterna har skapat projekt som ska gå igenom detta. Det är som Nelson (2003) menar; behovet av förändring är ibland oförutsägbart och grundas ofta i en specifik organisatorisk kris, som exempelvis en betvingad omställning att följa den nya förordningen. Detta kan nog ligga till grund för att vissa företag nämnt att det inte hade skadat att börja tidigare med arbetet. Denna förordning är enligt Datainspektionen (2017b) viktig för hur personuppgifter ska hanteras i framtiden och frågan är om företag ens hade genomfört förändringar om inte Europeiska Unionen tryckte på kris-knappen genom höga sanktionsavgifter. Stena Stål har mappat informationen i affärsprocesserna för att se vem som har tillgång till den, hur den hanteras, hur ofta den tas bort samt hur kommunikationskanalen ser ut med den registrerade. Att analysera sina processer är något som Hammer, Champy & Svensson (1994) menar att är fundamentalt för att företagsledningen ska förstå hur och varför företaget väljer att arbeta på det sätt som de gör. Detta kan uppfattas genom att verksamheten frågar sig själva elementära frågor för att skapa en överblick på hur företaget styrs. Detta kan i sin tur leda till en identifiering av vissa delar i arbetsprocesserna, vilket gör att verksamheten, i detta stadie, kan analysera och utvärdera dessa. Detta har Stena Stål och resterande verksamheter gjort. Mappning av informationen i processerna är en del av ett förändringsarbete, som i detta fall är viktigt för verksamheterna att upprätthålla eftersom det ökar chanserna att rätta sig till de föränderliga behoven hos externa och interna faktorer (Moran & Brightman, 2000). Vidare har Växjö Kommun tagit in extern hjälp för analysera förarbetet och därefter börjat med att inventera personuppgifter och identifiera register där dessa sparas.

44

Detta är något som Kotter (1998) lägger stor vikt vid, när han menar att konsultativ hjälp ökar verksamhetens förmåga att skapa förståelse för problem och förändring. Något liknande har även gjorts hos Region Jämtland Härjedalen där man har fokuserat på att ta fram och identifiera processer (men även kravställning för IT-system) för att se vad som behöver göras inom dessa så att de uppfyller förordningens krav. Utöver detta så har de tagit in en konsult som bidragit till ett nytt tankesätt kring information kopplat till behörighetshantering och uppgiftsminimering. Denna identifiering av processer och konsultens nya tankesätt kan jämföras med Kotters ‘Urgency’ punkt från 8-stegsmodellen (Kotter, 1998). Vid denna punkt menar författaren att man måste skapa en medvetenhet (exempelvis analysen eller konsult-hjälpen) så att verksamheten förstår att det finns förändringsbehov. Författaren menar ytterligare att det är först när verksamheten förstått detta som de kan lyckas med en förändring. Det som måste förtydligas är att alla tillfrågade verksamheter har satt ihop ett team eller ett projekt som ska arbeta med att uppfylla förordningens alla krav. Detta går helt i linje med vad Kotter (1998) nämner om “Coalition”. Vid ett förändringsarbetet är det viktigt att skapa en koalition (team eller ett projekt) med kunniga och förändringsvilliga medarbetare (Kotter, 1998). Vidare anser Stadium att dem tagit förordningen på största allvar och började sitt arbete med analyser för att se vad som skulle göras. Därefter arbetade de med en jurist för att täcka in allt nödvändigt för att uppfylla förordningens alla krav. Slutligen nämner IST Group att de haft hjälp av ett externt företag som kom in och hjälpte till med inventering och riskanalys, så att alla kom igång. Därefter gjordes flödesanalyser och kategorisering av persondata samt genomgång av arkitektur inom systemmiljöer. Förarbetet har grundat sig i kunskaper från ISO27001 i form av grunder och informationssäkerhetskontroller. Vidare går detta i linje med Wieland & Ullrichs (1976) tankar kring konsultation. Författarna anser att man ska kunna lita på sina anställda - men även ha förståelse för att de även kan ha slut på idéer på grund av inlärda beteenden och rutiner. Det kan då vara bra att ta in konsulter för att komma igång, exempelvis vid förarbetet, vilket är något som IST Group har gjort. En annan likhet som går att identifiera i resultatet är exempelvis att alla fem företag påbörjat sitt arbete med någon sorts analys eller processidentifiering. Detta är jämförbart med den första fasen av Lewin’s Three Stage Model of Change som enligt Kaminski (2011) handlar om att analysera hur den nuvarande situationen ser ut samt vad som behövs göras för att nå specifika resultat. När det gäller spridningen i arbetet mot efterlevnad har inget specifikt utmätts från resultatet. Förutom att verksamheterna tolkar och arbetar mot lagen på olika sätt - men med samma grundmål. Det vill säga att förstå hur datan flödar inom verksamhetens alla IT-system. Nästa steg i efterlevnaden har varit att sätta riktlinjer, rutiner och policys kring den datahantering de analyserat och korrigerat. Utöver detta så har stor vikt lagts på informering och utbildning av anställda så att alla hänger med i förändringen. Stena Stål nämner att deras analys leder till en identifiering kring huruvida de har riktlinjer eller policys kring det informationsflödet de hittat. Detta kan sedan korrigeras eller inte. Demers (2007) anser att det är viktigt med ett gemensamt synsätt om vart verksamheten står idag och vad förändringen kommer leda till - för att skapa en positiv och entusiastisk känsla.

45

Det är därför av största vikt att anställda upptar de rutiner, tankesätt och beteenden som krävs för att efterleva uppsatta regler - annars försvåras arbetet mot förändring (Puhakainen & Siponen, 2010). Växjö kommun nämner att de utbildat PuL-ombud och systemförvaltare (gällande system som hanterar personuppgifter) samt att de nyligen börjat utbilda övrig personal. Detta pratar Puhakainen och Siponen (2010) om med genom att belysa vikten av utbildning av anställda kring den kommande förändringens innebörd. Vidare menare Kaminski (2011) att det även är viktigt med hög kommunikation och transparens inom verksamheten för att lyckas med en förändring. Växjö Kommun nämner även att GDPR styrs på högsta ledningsnivå och att detta är viktigt för dem. När en sådan förändring hanteras och styrs av de högt uppsatta inom en verksamhet så menar Kotter (1998) att det är ytterst viktigt att ta bort barriärer (exempelvis inkorrekta och ineffektiva processer) inom verksamheterna eftersom det bidrar till ett fritt och gränsöverskridande arbete som genererar inverkan på riktigt. Stadium säger att de ska skapa tydliga rutiner för personuppgiftsbehandling, samt även tydlig informering till dess personal kring hur detta ska gå till. Utöver detta så håller Stadium även på att teckna avtal med personuppgiftsbiträden. Slutligen har IST Group skapat nya förhållningsregler, policy-dokumentation, rutiner och incidentrapportering. De har även haft introduktionsutbildningar för nyanställda på företaget.

5.2.2 Påverkan och framtida effekter Enligt verksamheterna kommer förordningen (och deras handlingar att följa den) påverka dem själva, andra företag och även individer. Det som sticker ut, gällande påverkan, är ett ändrat tanke -och arbetssätt kring hur data ska hanteras inom verksamheterna, vilket i sin tur leder till ändrade processer. Exempelvis uppgiftsminimering, registerhantering och en mer kontrollerad lagring av data. Verksamheterna lägger även vikt vid ändrad kommunikation - både gällande frekvensen och vad exakt som ska kommuniceras till den registrerade. En annan sak som kommer ändras är hur verksamheterna sätter upp systembehörigheter till dessa. Slutligen nämner några verksamheter att GDPR är en bra lag som bidrar till trygghet och säkerhet för individen - samt en tydlighet och effektivisering för företagen. Stena Stål nämner att GDPR kommer påverka hur system och behörigheter sätts upp. De tror även att förordningen kommer bidra till ett mer restriktivt arbete kring data, exempelvis kring datalagring gällande externa parter såsom kunder, konsulter och leverantörer. De nämner även att förordningen kommer påverka hur verksamheten kommunicerar med den registrerade. De nämner också att förordningen, i förlängningen, kommer bidra till förbättrade processer kring personuppgiftshantering, samt en effektivisering av hela koncernen. Hammer, Champy & Svensson (1994) syftar på vikten av att bortse från befintlig struktur och istället fokusera på roten av problemet. Detta kan göras genom att bryta ner processerna helt och börja om från början så att man förstår hur de fungerar. Vidare menar ju Howard Smith & Peter Fingar (2003) att processer är otroligt viktiga att förstå och det ser ut som att flertalet verksamheter har tagit tag i detta. Slutligen säger Stena Stål att förordningen inte kommer påverka affärerna, utan bara skapa tydlighet.

46

Gällande individnivå så nämner de att förordningen skapar trygghet. Det är bra att kunna vända sig till organisationer för att få reda på vilken information de lagrar om dig och att det även finns möjlighet att ta bort information om man vill. Växjö Kommun pratar även om uppgiftsminimering och säger att de kommer behöva tänka mer kring de uppgifter som de sparar. De behöver analysera sina behov av att spara data, för att endast spara det som är nödvändigt - vilket kan göras genom en frekvent gallring av data. De nämner slutligen att förordningen kommer ändra deras processer eftersom tankar kring uppgiftsminimering ständigt är närvarande. Region Jämtland Härjedalen nämner att GDPR kommer påverka deras kultur eftersom deras medarbetare måste vara mer medvetna än förr - gällande exempelvis personuppgiftshantering. Förordningen kommer även bidra till en renodlad hantering av information som inte sprids på olika lagringsytor, utan endast på förutbestämda platser enligt regelverk. En korrekt lagring så att säga - så att inte olika typer av information blandas på olika platser. Därav införs informationsklassning som en aktiv skyddsåtgärd. De nämner även att GDPR kommer påverka verksamhetens interna processer och det är då viktigt att de har koll på varje process och vad som krävs av dem för att de ska uppfylla alla krav. Det kommer påverka mycket att alltid behöva upprätthålla detta. Slutligen nämner de att det är ett nytt tankesätt som blåser in nu. Stadium nämner att förordningen kommer bidra till en stor förändring hos deras medarbetare. De som exempelvis hanterar personuppgifter kommer numera bli mycket noggrannare med hur datahantering går till. Utöver detta så kommer förändring även ske gällande verksamhetens systembehörigheter - där dessa kommer bli mer strikta. Slutligen så nämner Stadium att förändring kommer ske gällande kommunikationen till den registrerade där de kommer arbeta med högre respekt för dennes personuppgifter genom en mer frekvent kommunikation. IST Group nämner att de framförallt kommer se skillnad hos verksamhetens utvecklare, eftersom system nu ska följa “Privacy by Design and Default - vilket innebär att deras standardiserade arbetssätt påverkas. Utöver detta så kommer GDPR bidra till en ökad säkerhetsmedvetenhet och en ökad transparens gentemot den registrerade. Det anses även bra att data inte längre blir en handelsvara. De nämner att det även kommer ske förändring i vardagsanvändning, exempelvis gällande e-mail och hur detta kommer regleras (ostrukturerad data). Det kommer även ske förändringar kring hur verksamheten hanterar supportärenden samt riktlinjer kring detta. Slutligen nämner IST Group att GDPR även skapar en lukrativ marknad för system som går enligt GDPR.

5.2.3 Utmaningar De utmaningar som sticker ut är speciellt tid, resurser, förhållningssätt (organisatorisk struktur) och hur verksamheterna ska hantera sin ostrukturerade data (exempelvis e-mail) Stena Stål nämner att det är en stor utmaning kring hur e-mail ska hanteras av koncernen i framtiden. Växjö Kommun menar att det är en utmaning, men att man fokuserar för mycket på 25:e maj 2018. De menar att GDPR är ett förhållningssätt för framtiden - alltså inget som slutar när lagen träder i kraft.

47

Region Jämtland Härjedalen menar att det största hindret är tid och resurser. Exempelvis behövs resurser som arbetar med riskbedömningar - så att man förstår vikten av problemet och ständigt är beredda. Slutligen menar de att GDPR måste upprätthållas på rätt nivå, vilket kan vara en utmaning. Stadium menar att de inte ser några specifika hinder. De ska dock börja informera deras registrerade och ta in samtycken, vilket kan bli en stor process och utmaning, men inget hinder. De nämner dock slutligen att avtal kring personuppgiftsbiträden (konsulter) kan vara krävande att ta fram. IST Group anser att den största svårigheten nog är rätten att bli glömd, eftersom det blir svårt att hitta all data (även den ostrukturerade) och då bli garanterad att utraderas helt och hållet. En annan utmaning är supportfunktionen och hur deras övriga ostrukturerade material ska hanteras - exempelvis email-systemet som är svårt att reglera. De kommer dock sätta upp regler för hur e-mail får användas och lära ut detta genom deras introduktionsutbildningar för nyanställda på företaget, där det exempelvis gås igenom vad man mailar, och inte mailar. Kotter (1998) skriver om “Create quick wins” som syftar på analys, uppföljning och identifiering av resultat. Han menar att vinster är molekyler av ett helt resultat och att dessa vinster ständigt måste bli upplysta och kommunicerade för att främja ett fortsatt arbete. För att inte tappa humöret så menar Kotter (1998) även att det kan vara viktigt för verksamheterna att inneha hög kommunikation kring vinster och visioner i detta förändringsarbete. Detta bör verksamheten då göra ända tills den bestämda visionen blir till verklighet. Slutligen menar författaren att det är av största vikt att se mönster mellan nya beteenden och verksamhetens vinster, så dessa tillslut ersätter gamla vanor (Kotter, 1998). Detta kan jämföras med det sista steget i Lewin’s Three Stage Model of Change vid namn “Refreeze”. Denna del syftar, enligt Kaminski (2011), på att verksamheten måste “återfrysas” för att skapa förbättring. Detta görs genom att verksamheten låser fast förändringarna.

5.2 Metodreflektion Metoden som användes var lämplig för studiens syfte och övergripliga utformning. Flera olika företagstyper -och strukturer fångades, vilket skapade en viss spridning i resultatet och möjliggjorde att gemensamma mönster kunde identifieras. Det gick genom denna metod att se huruvida detaljhandeln, industrin, konsultverksamheter samt offentlig sektor skiljdes eller fördes samman gällande deras tolkning av förordningen och arbetet för att följa den. Det hade dock varit intressant om informanterna kom från samma företagstyp -och struktur för att visa på en eventuell spridning inom den specifika gruppen. Det vill säga en identifiering av likheter och skillnader mellan samma företagstyp gällande samma typ av utmaning - vilket hade varit intressant. För att få fram detta hade exempelvis bara informanter från detaljhandeln (Stadium) intervjuats - och detta hade isåfall skapat ett annat typ av resultat där spridning hade varit av större vikt. Informanterna som deltog i intervjuerna togs fram genom ett bekvämlighetsurval vilket var passande för studiens utformning. Trots detta så finns det klara nackdelar med denna metod eftersom det kan vara svårt att utläsa om deltagarna verkligen kan bidra med tillräckligt

48

mycket erfarenheter, synpunkter och åsikter kring ämnet (Polit & Beck, 2012). Men i detta fallet så kunde deltagarna göra det, vilket kan ha varit bra för studien. Dock så vet jag inte hur resultatet hade sett ut om jag hade haft andra informanter med - med annan bakgrund och erfarenhet. Forskaren hade kunnat ställt fler följdfrågor under intervjuerna och därmed kanske fått ut missad information eller skapat nya infallsvinklar. Med missad information menas att vissa informanter hade kunnat varit tydligare med deras svar, vilket forskaren skulle ha varit mer uppmärksam kring och således ställt följdfrågor direkt för att få fram mer information. Alla intervjuer genomfördes via mobiltelefon eftersom det är ansågs vara flexibelt med tid och plats, men detta hade kunnat gjorts annorlunda. Vid intervjuer på plats är det lättare att avläsa ansiktsuttryck och kroppsspråk, så vid vidare eftertanke hade detta nog varit ett bättre val och kanske då gett ett rikare resultat. Utöver detta så har forskaren begränsat studien genom att enbart inkludera fem informanter. Ett större antal informanter hade möjligen bidragit till ett mer tillförlitligt resultat. Slutligen så hade det även varit intressant att få höra hur andra länder inom EU tänker kring denna förordning - vilket kanske hade kunnat skapa ett intressant resultat och inte minst en intressant skildring länderna emellan.

49

6. Avslutning

6.1 Slutsats

- Vilka specifika handlingar väljer verksamheterna att genomföra för att på bästa sätt möta den nya allmänna dataskyddsförordningen?

Verksamheternas förberedande arbete för att uppfylla förordningens alla krav - och en fortsatt efterlevnad fokuserar primärt på processidentifiering, informationsmappning och kontroll över lagring. Sammanfattningsvis handlar allt detta om en bra kontroll över hur informationen flödar - för att därefter se till så att flödet är i linje med GDPR.

- Vad ser verksamheterna att förordningen, samt deras egna handlingar för efterlevnad, kan komma att ha för effekt på verksamheten nu och i framtiden?

Gällande påverkan och framtida effekter så kommer förordningen ändra verksamheternas processer (kring uppgiftsminimering, registerhantering, restriktivitet och behov) och kommunikation. Sammanfattningsvis handlar detta om en omvälvande förändring gällande verksamheternas tanke -och arbetssätt kring hur data ses och hanteras. Slutligen kommer förordningen bidra till trygghet och säkerhet för individen - samt en tydlighet och effektivisering för företagen.

- Vilka är de största utmaningarna enligt verksamheterna just nu? Kring utmaningar nämns områden som exempelvis brist på personal, riskbedömningar, avtal, e-mailhantering och organisatorisk struktur. Sammanfattningsvis landar alla dessa utmaningar i tre övergripande utmaningar: tid (resurser), hantering av ostrukturerad data samt att förordningen styrs på rätt nivå.

6.2 Förslag till fortsatt forskning Eftersom studien avslutas precis när GDPR träder i kraft så hade det, enligt forskaren, varit intressant med någon sorts uppföljning gällande synsätt, implementation och efterlevnad. Detta för att undersöka hur förordningen verkligen påverkade verksamheterna samt vilken effekt som deras aktioner för efterlevnad fick. Isåfall skulle det kunna studeras kring huruvida tankesättet och rutinerna applicerats på de anställda eller inte.

50

Referenslista

Alvesson, M. & Sköldberg, K. (1994) Tolkning och reflektion: vetenskapsfilosofi och kvalitativ metod, Studentlitteratur, Lund Bristrand, O. (2016). Sex myter om EU:s dataskyddsförordning - och fyra steg för att klara anpassningen. Tillgänglig: https://cio.idg.se/2.1782/1.669594/anpassning-eu-gdpr-dataskydd [Hämtad 2018-05-10] Bryman, A. & Bell, E. (2015). Business Research Methods. 4. uppl. Oxford: Oxford University Press. Burnes, B. (2004). Kurt Lewin and the Planned Approach to Change: A Re-appraisal. Journal of Management Studies. 41(6), s. 977-1002. Boolsen, M.W. (2007). Kvalitativa analyser. Malmö: Gleerup Utbildning AB. Chapman, J.A. (2002). A framework for transformational change in organisations. Leadership & Organization Development Journal, 23(1), s. 16-25. Creswell, J. W. (2014). Research Design: Qualitative, Quantitative and Mixed Methods Approaches. 4:e uppl. Thousand Oaks, CA: Sage. Crom, S. (2017). Dispelling Several Myths About Leadership and Change. Tillgänglig: https://www.isixsigma.com/new-to-six-sigma/deployment/dispelling-several-myths-about-leadershipchange/ [Hämtad 2018-05-05] Cultura (2006). Transkriberingsregler. Åbo Akademi. Cummings, S., Bridgman, T. & Brown, K.G. (2016). Unfreezing Change As Three Steps: Rethinking Kurt Lewin’s Legacy For Change Management. Human Relations, 69(1), s. 33-60. Dalen, M. (2015) Intervju som metod. 2:a uppl. Malmö: Gleerups Utbildning AB. Datainspektionen (2017a) Förberedelser för personuppgiftsansvariga https://www.datainspektionen.se/dataskyddsreformen/forberedelser/forberedelser-for-personuppgiftsansvariga/ [Hämtad 2018-05-20] Datainspektionen (2017b) Dataskyddsreformen - Allt om dataskyddsförordningen (GDPR) https://www.datainspektionen.se/ dataskyddsreformen/ [Hämtad 2018-05-20] Demers, C. (2007). Organizational Change Theories: A Synthesis. Los Angeles: Sage

51

Denscombe, M. (2009). Forskningshandboken: för småskaliga forskningsprojekt inom samhällsvetenskaperna. 2. uppl. Lund: Studentlitteratur Denscombe, M. (2010). The Good Research Guide for small-scale social research projects. 4 uppl. Berkshire: McGraw-Hill. Eliasson, K. (2006). Måluppfyllelseanalys: hur måluppfyllelse, effekter och effektivitet kan undersökas och rapporteras. Stockholm: Ekonomistyrningsverket Europaparlamentets och rådets direktiv 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119/1,4.5.2016). http://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32016R0679&rid=1 [2018-04-02] Frydlinger, D. (2016). It-juristens checklista: Det här krävs för att leva upp till EU:s dataskyddsförordning. Tillgänglig: https://cio.idg.se/2.1782/1.671787/eu-dataskydd-gdpr [Hämtad 2018-04-16] Graneheim, U.H., Lundman, B. (2004): ”Qualitative content analysis in nursing research: concepts, procedures and measures to achieve trustworthiness”. Nurse Education Today. Hammer, M, Champy, J, & Svensson, P. (1994). Reengineering The Corporation: Ett Radikalt Nyskapande Av Processer För Att Uppnå Dramatiska Resultatförbättringar I Organisationen, n.p.: Göteborg. IST Group (2018). Om IST. https://www.ist.com/sv/om-ist-0 [Hämtad 2018-05-28] Jacobsen, D.I. (2002) Vad, hur och varför? Om metodval i företagsekonomi och andra samhällsvetenskapliga ämnen. Lund: Studentlitteratur. Jones, R.A., Jimmieson, N.L. & Griffiths, A. (2005). The impact of organizational culture and reshaping capabilities on change implementation success: the mediating role of readiness for change. Journal of Management Studies, 42(2), s. 361-386. Kaminski, J. (2011). Theory applied to informatics—Lewin's change theory. Canadian Journal of Nursing Informatics, 6(1), s. 1–4. Kotter, J.P. (1998). Leda Förändring. Malmö: Richter. Larsson, S. (2005). Kvalitativ metod- en introduktion. I: Larsson, Sam, Lilja, John, Mannheimer, Katarina (Red.) Forskningsmetoder i socialt arbete. Lund: Studentlitteratur Lindh, G. & Lisper, H-O. (1990). Samtal för förändring. Lund: Studentlitteratur.

52

Marsh (2017). GDPR Preparedness: An Indicator of Cyber Risk Management. (Global Cyber Risk Perception Survey: Oktober 2017) Tillgänglig: https://www.marsh.com/content/dam/marsh/Documents/PDF/US-en/Cyber-Survey-Report-2017.pdf [Hämtad: 2018-04-12] Moran, J.W. and Brightman, B.K. (2000). Leading organizational change. Journal of Workplace Learning. http://www.emeraldinsight.com/doi/pdfplus/10.1108/13665620010316226 [Hämtad 2018-02-06] Motiwalla, L., F. & Thompson, J. (2012). Enterprise System for Management. 2:a uppl. New Jersey: Pearson Education Inc. Nelson, L. (2003) A case study in organizational change: implications for theory. The Learning Organization, 10(1), s. 18 –30. Oates, B. J. (2006). Researching Information Systems and Computing. London: Sage Publications Ltd. Patton, M.Q. (1990). Qualitative evaluation and research methods. 2:a uppl. Newbury Park: Sage. SFS 1998:204. Personuppgiftslag. Tillgänglig: http://www.riksdagen.se/sv/dokumentlagar/dokument/svensk-forfattningssamling/personuppgiftslag-1998204_sfs-1998-204 Hämtad [2018-02-02] Polit, D.F., & Beck, C.T. (2012). Nursing research: generating and assessing evidence for nursing practice. Philadelphia: Wolters Kluwer Health/Lippincott Williams & Wilkins. Puhakainen, P. & Siponen, M. (2010). Improving Employees' Compliance Through Information Systems Security Training: An Action Research Study. MIS Quarterly, 38(4). Tillgänglig: http://www.jstor.org/stable/25750704?seq=1#page_scan_tab_contents [Hämtad: 2018-04-12] Region Jämtland Härjedalen (2018). Om Region Jämtland Härjedalen. Tillgänglig: https://www.regionjh.se/ [Hämtad 2018-05-28] Rosengren, L. (2017). Juristen: ”Det är hög tid att börja med GDPR-arbetet”. Tillgänglig: https://cio.idg.se/2.1782/1.681447/juristen-gdpr [Hämtad 2018-05-16] Saunders, M., Lewis, P. & Thornhill, A. (2016). Research Methods for Business Students. 7:e uppl. Harlow: Pearson Smith, H & Fingar, P. (2003) Business Process Management: The Third Wave. Tampa: Meghan-Kiffer Press. Smith, I. (2005). Achieving readiness for organisational change. Library Management, 26(6/7), s. 408- 412.

53

Stadium (2018). This is Stadium. Tillgänglig: https://www.stadium.se/cms/this-is-stadium [Hämtad 2018-05-28] Stena Stål (2018). Om oss. Tillgänglig: https://www.stenastal.se/om-oss [Hämtad 2018-05-28] Talmaciu, I. (2014). Comparative Analysis of Different Models of Organizational Change. Valahian Journal of Economic Studies, 5(4), s. 77-86. Tankard, C. (2016). What The GDPR Means For Businesses. Network Security, 2016(6). Trost, J. (2005). Kvalitativa intervjuer. 3 uppl. Lund: Studentlitteratur Van der Aalst, W., van Dongen, B., Herbst, J., Maruster, L., Schimm, G. & Weijters, A.J. (2003). Workflow Mining: A Survey of Issues and Approaches. Data and Knowledge Engineering. Van der Aalst, W. & Van Hee, K. (2004). Workflow Management - Models, Methods and Systems. Massachusetts: The MIT Press. Van der Aalst, W. (2013). Business Process Management: A Comprehensive Survey. Kairo: Hindawi Publishing Corporation Växjö Kommun (2018). Startsidan. Tillgänglig: https://vaxjo.se/ [Hämtad 2018-05-28] Wieland, G.F. & Ullrich, R.A. (1976). Organizations: Behavior, Design and Change. Homewood: Irwin

54

Bilagor

Bilaga 1 - Intervjufrågor

55

Bilaga 2 - Innehållsanalys

Informant Meningsbärande enhet Kodning Subtema Tema

Stena Stål “Vilket typ av regelverk ska stötta sparandet av data? Hur länge ska datan sparas? Vi har även diskuterats mycket kring gallring av data. Vad är gallringshorisonten? Vem ska gallra? Hur ska vi gallra? Vilka uppgifter är okej att vi sparar?”

Verksamheter behöver ta fram regelverk och långsiktiga planer kring hur data sparas och tas bort. Men även hur och av vem samt vilka specifika uppgifter som är okej.

Process-mappning, kategorisering och strukturering

Arbete för att möta kraven

Stena Stål “Vi har ställt oss frågor som exempelvis: Vad behöver vi kommunicera till den registrerade?”

Verksamheter behöver ha riktlinjer kring vad exakt de ska kommunicera till den registrerade.

Kommunikation Arbete för att möta kraven

Stena Stål “I vilka fall behöver vi ett eventuellt medlidande från våra kunder och leverantörer?”

Verksamheter behöver veta i vilka exakta fall som de behöver ett medlidande från kunder och leverantörer gällande datahantering.

Kommunikation Arbete för att möta kraven

Stena Stål “För att möta förordningens alla krav så har ett projekt satts upp av koncernen. För att komma överens om vilka delar som hanteras lokalt på specifika kontor - och för vissa delar som hanteras centralt inom koncernen. Genom detta tar vi fram koncerngemensamma riktlinjer och regler.”

Ett koncerngemensamt projekt har satts upp för att ta fram gemensamma riktlinjer och regler (för lokala eller gränsöverskridande regelverk)

Projekt uppsättning

Arbete för att möta kraven

Stena Stål “Vi har gått igenom affärsprocess för affärsprocess - Där vi har mappat vilken information som hanteras, i vilka steg informationen sparas, vem som har tillgång till informationen, hur den hanteras, hur ofta vi tar bort den (gallrar), hur vi kommunicerar kring den samt vad vi har för riktlinjer och policys för den (datan).”

Verksamheten har gått igenom sina affärsprocesser. De har mappat informationen som hanteras i varje steg i processen. Genom att göra detta så ser de vem som har tillgång till den, hur den hanteras, hur ofta den tas bort samt hur vi kommunicerar till den registrerade. Genom att analysera detta så kan vi se om vi har riktlinjer eller policys för detta.

Process -mappning, kategorisering och strukturering

Arbete för att möta kraven

Stena Stål “Vi har även haft hjälp av en extern jurist som har hjälpt till med mappningsarbetet och riktlinjer/policys.”

Verksamheten har tagit juridisk hjälp vid mappningsarbetet och för riktlinjer/policys.

Process -mappning, kategorisering och strukturering

Arbete för att möta kraven

Stena Stål “Förordningen kommer påverka hur vi sätter upp våra system och hur vi sätter upp våra behörigheter.”

GDPR påverkar huruvida system och behörigheter sätts upp.

System uppsättning och behörigheter

Påverkan och framtida effekter

56

Stena Stål “Vi är mer restriktiva i hur vi behandlar data och speciellt hur denna data sedan sparas.”

GDPR bidrar till mer restriktivt arbete kring data och speciellt hur data sparas.

Ändrat tankesätt Påverkan och framtida effekter

Stena Stål “Det påverkar också hur vi kommer kommunicera med våra registrerade.”

Förordningen påverkar hur verksamheter kommer kommunicera med den registrerade.

Relationer och kommunikation

Påverkan och framtida effekter

Stena Stål “Det kommer inte påverka vår affär -eller affärsrelation. Det kommer isåfall bara skapa tydlighet.”

Det kommer inte påverka affärerna - utan bara skapa tydlighet.

Tydlighet, trygghet och säkerhet

Påverkan och framtida effekter

Stena Stål “En annan, positiv påverkan är nog att, i förlängningen, kommer verksamheten få förbättrade processer kring personuppgiftshantering - och en effektivisering genom hela koncernen.”

Förordningen kommer, i förlängningen, bidra till förbättrade processer kring personuppgiftshantering - och en effektivisering av koncerner.

Process förändringar

Påverkan och framtida effekter

Stena Stål “GDPR skapar trygghet för individen och det är bra att kunna vända sig till organisationer och få en upplysning om vilken information som finns sparad kring dig. Och även kräva att den tas bort.“

GDPR skapar trygghet. Det är bra att kunna vända sig till organisationer för att få reda på vilken information de lagrar om dig. Och sen även ta bort den om man vill.

Tydlighet, trygghet och säkerhet

Påverkan och framtida effekter

Stena Stål “Förordningen kommer påverka vår verksamhet utifrån huruvida vi hanterar personuppgifter kopplat till relationer med våra externa parter (ex. kunder, leverantörer och konsulter).”

Förordningen kommer påverka hur verksamheten hanterar personuppgifter kring externa parter (kunder, leverantörer och konsulter)

Relationer och kommunikation

Påverkan och framtida effekter

Stena Stål “Stor utmaning ligger i hur vi hanterar e-mail -och e-mailkonversationer. När man mailar och får tillbaka personens personuppgifter, hur kommer det hanteras och regleras? Där har verksamheten en osäkerhet kring hur detta ska hanteras i framtiden.”

Stor utmaning kring hur e-mail ska hanteras av hela koncernen i framtiden.

Ostrukturerat material

Utmaningar

Växjö Kommun

“Från ett år tillbaka haft vi haft olika utbildningar för de som varit PuL-ombud innan och systemförvaltare för olika IT-system som innehåller personuppgifter.”

Verksamheten har sedan ett år tillbaka utbildat PuL-ombud och Systemförvaltare (gällande system som hanterar personuppgifter)

Utbildning av personal

Arbete för att möta kraven

Växjö Kommun

“Vi har även börjat med utbildning av övrig personal.”

Verksamheten har börjat med utbildning av övrig personal.

Utbildning av personal

Arbete för att möta kraven

57

Växjö Kommun

“I för-arbetet tog vi in hjälp för analyser (ex. GAP) för att ta reda på vad som behövdes göras.”

Verksamheten har tagit in extern hjälp för analysera vad som behövdes göras från början.

Analysering Arbete för att möta kraven

Växjö Kommun

“Det har lagts stor vikt vid inventering av personuppgifter samt identifiering av register.”

Det har varit viktigt att inventera personuppgifter och identifiera register där dessa sparas.

Process -mappning, kategorisering och strukturering

Arbete för att möta kraven

Växjö Kommun

“Vi kommer behöva tänka mer kring de uppgifter vi sparar.”

De kommer behöva tänka mer kring de uppgifter som de sparar.

Ändrat tankesätt Påverkan och framtida effekter

Växjö Kommun

“Vi måste analysera behov av data i våra register. För att endast behålla det som verkligen behövs - vilket kan göras genom en mer frekvent gallring av data.”

De behöver analysera sina behov att spara data. För att endast spara det som är nödvändigt. Kan göras genom en frekvent gallring av data.

Uppgifts minimering, register hantering och lagring

Påverkan och framtida effekter

Växjö Kommun

“Denna förordning kommer påverka våra processer eftersom detta tänk (kring lagring) blir en viktig aspekt i allting.”

Förordningen kommer ändra deras processer eftersom tankar kring uppgiftsminimering ständigt är närvarande.

Process förändringar

Påverkan och framtida effekter

Växjö Kommun

“Det största hindret nog är att man ser för mycket på att det ska vara klart 25:e maj 2018. Det man måste se är man har kommit en bra bit och gjort mycket - men att fortsätta med jobbet efter detta datum.”

Ett hinder är att man fokuserar för mycket på 25:e maj 2018. Detta är ett förhållningssätt för framtiden - alltså inget som slutar den 25:e maj 2018.

Tunnelseende Utmaningar

Region Jämtland Härjedalen

“Vi har ett projekt (sedan i våras) som jobbar mot att införa alla anpassningarna inför GDPR.”

De har bedrivit ett projekt sedan i våras med syfte att införa alla anpassningar inför GDPR.

Projekt uppsättning

Arbete för att möta kraven

Region Jämtland Härjedalen

“Projektet fokuserar på att ta fram och identifiera processer samt kravställning på IT-system - för att se vad som behövs göras inom dessa så att de uppfyller kraven som GDPR ställer.”

Projektet fokuserar på att ta fram och identifiera processer - men även kravställning för IT-system. Processerna identifieras för att se vad som behövs göras inom dessa så att de uppfyller förordningens krav.

Process -mappning, kategorisering och strukturering

Arbete för att möta kraven

Region Jämtland Härjedalen

“Vi även tagit in en konsult som hjälpt till. Genom detta har vi fått in ett nytt tänk i vår anpassning - utifrån hur konsulten jobbar med information (ex. uppgiftsminimering) gällande behörighetshantering.”

Verksamheten har tagit in en konsult som bidragit till ett nytt tänk kring information kopplat till behörighetshantering (samt uppgiftsminimering).

Förhållnings -regler, policys, prioritering och rutiner

Arbete för att möta kraven

58

Region Jämtland Härjedalen

“GDPR kommer påverka på många plan. Det krävs exempelvis, av verksamhetens medarbetare, att de är mycket mer medvetna än förr när det gäller personuppgiftshantering.“

GDPR kommer påverka genom att medarbetare måste vara mer medvetna än förr - gällande personuppgiftshantering.

Ändrat tankesätt Påverkan och framtida effekter

Region Jämtland Härjedalen

“Förordningen kommer att bidra till en renodlad hantering av information som inte kommer spridas på olika lagringsytor utan endast på förutbestämda platser enligt regelverk. Helst ska man lagra korrekt, på få ställen, så att man har koll på allting.”

Förordningen kommer bidra till en renodlad hantering av information - som inte sprids på olika lagringsytor utan endast på förutbestämda platser enligt regelverk. En korrekt lagring, så att man inte blandar informationen.

Uppgifts minimering, register hantering och lagring

Påverkan och framtida effekter

Region Jämtland Härjedalen

“GDPR kommer påverka genom införandet av informationsklassning som en aktiv skyddsåtgärd. Detta är något som man inte haft behov av tidigare.”

GDPR kommer påverka genom att verksamheter tvingas införa informationsklassning som en aktiv skyddsåtgärd. Något som inte behövts tidigare.

Uppgifts minimering, register hantering och lagring

Påverkan och framtida effekter

Region Jämtland Härjedalen

“GDPR kommer påverka våra interna processer. På så sätt är det viktigt, så vi har koll på dom processerna så vi vet hur dem fungerar och vad som krävs inom dem. Stor påverkan på grund av det, genom att vi måste upprätthålla dem processerna. Det är ett nytt tänk som blåser in nu, där mycket kommer ändras.”

GDPR kommer påverka verksamhetens interna processer och det är då viktigt att de har koll på varje process och vad som krävs av dem för att de ska uppfylla alla krav. Stor påverkan att behöva upprätthålla detta. Det är ett nytt tänk som blåser in nu.

Process förändringar

Påverkan och framtida effekter

Region Jämtland Härjedalen

“Det största hindret tid att jobba på detta och att man har tillräckliga resurser för att jobba med detta. Exempelvis resurser för riskbedömningar, vilket är viktigt så att man jobbar aktivt med detta. Detta för att förstå vikten av problemet och ständigt vara beredda.”

Det största hindret för verksamheten är tid och resurser. Exempelvis resurser som arbetar med riskbedömningar - så att man förstår vikten och problemet och ständigt är beredda.

Resurser Utmaningar

Region Jämtland Härjedalen

“Det är en utmaning att GDPR upprätthålls på rätt nivå.”

Det är en utmaning att GDPR upprätthålls på rätt nivå.

Organisatorisk struktur

Utmaningar

Stadium “Vi har tagit förordning på stort allvar och vill göra rätt för oss, på så sätt är lagen viktig för verksamheten - även om vi egentligen inte hanterar så mycket känsliga personuppgifter som andra företag/institutioner gör.”

Verksamheten tar lagen på största allvar trots att de inte hanterar så mycket känsliga personuppgifter.

Förhållnings -regler, policys, prioritering och rutiner

Arbete för att möta kraven

59

Stadium “Vi har drivit ett projekt sedan förra våren där vi försöker identifiera vad som hela tiden behövs göras. Sen är det lite otydligt vad som exakt behövs göras, eftersom lagen inte är prövad.”

Verksamheten har bedrivit ett projekt sedan i våras för att identifiera vad som måste göras. Det är dock lite otydligt vad som exakt måste göras eftersom lagen saknar prejudicerande domar.

Projekt uppsättning

Arbete för att möta kraven

Stadium “Projektet har drivits tillsammans med en jurist för att täcka in det nödvändiga för att uppfylla GDPR. Vi har tagit fram rutiner och olika sätt för hur man ska hantera medlemmars personuppgifter (samtycke) Alla dem rutinerna som är nödvändiga har vi tagit fram och vi håller även på att teckna avtal med de leverantörer som är personuppgiftsbiträden åt oss.”

De har drivit ett projekt tillsammans med en jurist för att täcka in det nödvändiga för att uppfylla GDPR. Gällande rutiner och hur man ska hantera medlemmars personuppgifter (samtycke etc.) De nödvändiga rutinerna är framtagna och de håller även på att teckna avtal personuppgiftsbiträden.

Förhållnings -regler, policys, prioritering och rutiner

Arbete för att möta kraven

Stadium “Vi behöver tydliga rutiner för personuppgiftsbehandlingen och vi kommer löpande att informera vår personal kring hur man ska hantera personuppgifter.”

Tydliga rutiner för personuppgiftsbehandling behövs - i samband med tydlig informering av personal kring hur detta ska gå till.

Utbildning av anställda

Arbete för att möta kraven

Stadium “Förordningen kommer inte ändra inriktning för vår verksamhet, men det kommer ändra hur vi tänker kring rutiner.

Förordningen kommer inte påverka verksamhetens inriktning - men det kommer ändra deras tänk kring rutiner

Ändrat tankesätt Påverkan och framtida effekter

Stadium “De som hanterar personuppgifter kommer bli ännu mer noggranna med hur man gör det.“

De som hanterar personuppgifter kommer bli noggrannare med hur detta går till.

Tydlighet, trygghet och säkerhet

Påverkan och framtida effekter

Stadium “Vi kommer bli ännu mer strikta med behörigheter till system”.

Verksamheten kommer bli mer strikta kring systembehörigheter.

System uppsättning och behörigheter

Påverkan och framtida effekter

Stadium “Vi kommer arbeta med en ökad respekt för kundens uppgifter genom att fortsätta att informera kunden hur datan behandlas av verksamheten.”

De kommer arbete med högre respekt för kundens uppgifter genom en ökad kommunikation.

Relationer och kommunikation

Påverkan och framtida effekter

Stadium “Vi ser inga hinder. Vi har en stor kundgrupp och där kommer vi informera och ta in mer samtycke från medlemmar vilket blir en stor process.”

Vi ser inga specifika hinder. Vi ska bara börja informera våra registrerade och ta in samtycken. Detta kan bli en stor process.

Samtycke Utmaningar

Stadium “Vi har koll på vad som ska göras, men om vi ska nämna ett hinder, så är det relativt krävande att ta in personuppgiftsbiträden och avtal kring dessa från deras leverantörer.”

Avtal kring personuppgiftsbiträden (konsulter) kan vara krävande att ta fram.

Avtal Utmaning

60

IST Group “Arbetet började hösten 2016 hos vårt produktbolag. Resterande bolag började våren 2017.”

Arbetet började hösten 2016 hos produktbolaget. Resterande bolag började våren 2017.

Projekt uppsättning

Arbete för att möta kraven

IST Group “Ett externt företag kom in och hjälpte till med inventering och riskanalys så alla kom igång. Min del i detta var/är att stötta upp med utbildning och övrig hjälp - ex. tolkning.”

Ett externt företag kom in och hjälpte till med inventering och riskanalys så att alla kom igång.

Analysering Arbete för att möta kraven

IST Group “Vi har inte haft detta som ett enda projekt, utan flera olika. Det har varit ganska svårt att koordinera ihop. Det varit klokare att ha ett enda stort projekt för att få mera “lessons learned”.

De har inte haft detta som ett enda projekt, utan flera olika. Det har varit ganska svårt att koordinera ihop. Det varit klokare att ha ett enda stort projekt för att få mera “lessons learned”.

Projekt uppsättning

Arbete för att möta kraven

IST Group “Vi har gjort flödesanalyser på persondata. Vi har även gjort riskanalyser.”

De har gjort flödesanalyser på persondata och riskanalyser

Analysering Arbete för att möta kraven

IST Group “Vi har sett över arkitekturen i systemens miljöer och strukturer samt kollat på allmän säkerhet kring allt detta.“

De har sett över arkitekturen i systemens miljöer och strukturer samt kollat på allmän säkerhet kring allt detta.

Process -mappning, kategorisering och strukturering

Arbete för att möta kraven

IST Group “Vi har diskuterat laglig grund på fältnivå (på fritextfält) som blir knepigare att använda nu efter att GDPR träder i kraft. Förarbetet har grundat sig i kunskaper från ISO27001.

De har diskuterat laglig grund på fältnivå (på fritextfält) som blir knepigare att använda nu efter att GDPR träder i kraft. Förarbetet har grundat sig i kunskaper från ISO27001.

Förhållnings -regler, policys, prioritering och rutiner

Arbete för att möta kraven

IST Group “Vi har skapat nya förhållningsregler, policy-dokumentation, rutiner och incidentrapportering. Vi har gjort mycket för att uppfylla de kommande kraven.”

De har skapat nya förhållningsregler, policy-dokumentation, rutiner och incidentrapportering. Mycket har gjorts.

Förhållnings -regler, policys, prioritering och rutiner

Arbete för att möta kraven

IST Group “Det största och jobbigaste måste ha varit att sätta igång med de inledande analyserna samt att kategorisera den persondata vi har. Detta för att identifiera så att vi inte har några särskilda kategorier av persondata.”

De har kategoriserat den persondata de har. Detta för att identifiera så att de inte har några särskilda kategorier av persondata.

Process -mappning, kategorisering och strukturering

Arbete för att möta kraven

61

IST Group “Vi har introduktionsutbildningar för nyanställda på företaget. Där berättar vi exempelvis vad man mailar och inte mailar.”

De har introduktionsutbildningar för nyanställda på företaget. Där berättas det exempelvis vad man mailar och inte mailar.

Utbildning av anställda

Arbete för att möta kraven

IST Group “Det kommer framförallt göra skillnad för verksamhetens utvecklare, exempelvis att allt ska följa “Privacy by Design and Default.”

Det kommer framförallt göra skillnad för verksamhetens utvecklare, exempelvis att allt ska följa “Privacy by Design and Default.

System uppsättning och behörigheter

Påverkan och framtida effekter

IST Group “Det kommer även ske förändring i vardagsanvändning, exempelvis e-mail och hur detta kommer regleras.“

Det kommer även ske förändring i vardagsanvändning, exempelvis e-mail och hur detta kommer regleras.

Process förändringar

Påverkan och framtida effekter

IST Group “Det kommer även ske förändringar kring hur man hanterar supportärenden samt riktlinjer kring detta.”

Det kommer även ske förändringar kring hur man hanterar supportärenden samt riktlinjer kring detta.

Process förändringar

Påverkan och framtida effekter

IST Group “GDPR bidrar till en ökad säkerhetsmedvetenhet.”

GDPR bidrar till en ökad säkerhetsmedvetenhet.

Ändrat tankesätt Påverkan och framtida effekter

IST Group “GDPR ökar krav på transparens.” Bidrar till ökade krav på transparens (gentemot den registrerade exempelvis).

Relationer och kommunikation

Påverkan och framtida effekter

IST Group “GDPR skapar även en väldigt lukrativ marknad för system som går enligt GDPR, för att förenkla för personer/verksamheter som hanterar persondata på ett eller annat sätt.”

GDPR skapar även en väldigt lukrativ marknad för system som går enligt GDPR, för att förenkla för personer/verksamheter som hanterar persondata på ett eller annat sätt.

Nya möjligheter Påverkan och framtida effekter

IST Group “Det är bra att denna förändring gör så att man inte längre kan använda persondata som någon sorts handelsvara.”

GDPR gör så att persondata inte längre blir en handelsvara.

Process förändringar

Påverkan och framtida effekter

IST Group “Den största svårigheten nog rätten att bli glömd. Att hitta all data, även den ostrukturerade, blir jättesvårt och jag tror att det är oerhört svårt att garantera att man blir raderat helt och hållet. Vilket EU kanske inte riktigt tagit höjd för, eftersom, om man är extremt tech-nördig så går det ju faktiskt inte att ta bort någonting. På vilket plan menar då lagstiftarna att datan ska bort?”

Den största svårigheten nog rätten att bli glömd. Svårt att hitta den ostrukturerade datan och då garantera att man blir helt raderad. Vilket EU kanske inte riktigt tagit höjd för. Om man är riktigt nördig så går det ju faktiskt inte att ta bort någonting. På vilket plan menar då lagstiftarna att datan ska bort?

Rätten att bli glömd

Utmaningar

62

IST Group “En utmaning är supportfunktionen och också vårt ostrukturerade material och hur detta ska hanteras. Exempelvis e-mailsystemet som är som en gråzon, och är svårt att reglera. Vi kommer dock sätta upp regler för hur e-mail får användas och lära ut detta.”

En utmaning är supportfunktionen och hur deras ostrukturerade material ska hanteras. Exempelvis e-mailsystemet (gråzon) som är svårt att reglera. De kommer dock sätta upp regler för hur e-mail får användas och lära ut detta.

Ostrukturerat material

Utmaningar

63

Bilaga 3 - Sammanställning av teman och subteman

Tema: Arbete för att möta kraven

Subtema: Projektuppsättning

Subtema: Analysering

Subtema: Process-mapping, kategorisering och strukturering

Subtema: Förhållningsregler, policys, prioritering och rutiner

Subtema: Kommunikation

Subtema: Utbildning av anställda

Tema: Påverkan och framtida effekter

Subtema: Systemuppsättning och behörigheter

Subtema: Uppgiftsminimering, registerhantering och lagring

Subtema: Processförändringar

Subtema: Ändrat tankesätt

Subtema: Relationer och kommunikation

Subtema: Tydlighet, trygghet och säkerhet

Subtema: Nya möjligheter

Tema: Utmaningar

Subtema: Resurser

Subtema: Ostrukturerat material

Subtema: Rätten att bli glömd

Subtema: Organisatorisk struktur

Subtema: Tunnelseende

Subtema: Avtal

Subtema: Samtycke

64