GDPR. Ringer det någon klocka? Om inte, då bör du absolut läsa vidare. Förordningen träder i kraft i maj och påverkar oss alla.
Har du hört talas om det, men tycker ”äsch, det är ju bara en IT-fråga”? Då har du fel och bör läsa vidare. Klämtar varningsklockorna istället våldsamt? Då bör du också läsa vidare. Det finns all anledning att ta förordningen på allvar, men världen kommer inte att gå under – och du bli utblottad av skadestånd – den 28 maj.
Digitaliseringen i samhället är orsaken till GDPR. Idag kan enorma och detaljerade mängder uppgifter om oss samlas in, bearbetas och utnyttjas. Och så sker redan. I stor utsträckning har vi glädje av det och dagens ekonomi och samhällsliv bygger i allt större utsträckning på dessa möjligheter. Digital profilering av oss gör att vi får användbara träffar när vi googlar, gör att vi slipper ta del av en hel del för oss irrelevanta uppgifter och reklam, gör att vårt umgänge med företag, myndigheter, ideella organisationer – och vänner och bekanta – blir smidigt, och kan till och med bidra till effektivare hälsovård. Men det kan också medföra risker av olika slag – oönskad reklam eller bearbetning från olika organisationer, exponering av uppgifter om oss som vi inte vill se spridda, kanske till och med säkerhetsrisker – om andra vet precis var jag är (och inte är) kan jag bli utsatt för hot, våld och andra brott. Data om individer är alltså värdefulla på olika sätt, och GDPR ska ge individen ökad äganderätt till data om sig. Det personligt aktiva medgivandet ska normalt krävas för att någon organisation ska få samla och använda uppgifter om dig.
Gemensamma spelregler på EU-nivå
Skydd för individen är alltså den ena sidan av bakgrunden. Tanken är också att en gemensam lagstiftning inom EU för hur personuppgifter inte får hanteras ger gemensamma spelregler för organisationer. Det kan göra internationell verksamhet smidigare. Och de gemensamma reglerna gör också att det inte ska gå att flytta registrering och bearbetning till ett annat EU-land med lägre krav – eller ens att flytta hanteringen utanför EU. Om en europeisk organisation hanterar personuppgifter om folk inom EU utanför Europa – t ex via utlandskontor eller outsourcing – gäller fortfarande förordningen. Och om organisationer med hemvist utanför EU hanterar personuppgifter om folk i EU så gäller förordningen dem också.
Vad behöver organisationen veta om människor och varför?
GDPR är alltså viktigt för oss som privatpersoner och påverkar organisationers möjligheter – och skyldigheter. Men varningsklockorna då? Varför skulle jag som verksam i ideell sektor uppfatta GDPR som skrämmande? En orsak är påföljderna för brott mot förordningen: böter på upp till 20 miljoner Euro (eller 4% av årsomsättningen, om det beloppet är högre). Dessa böter kan utkrävas av den som bryter mot förordningen, men lär knappast bli aktuella för den som försöker följa den, men ännu inte (helt) lyckats. Därför är det inte panik. Däremot är det dags att ta GDPR på allvar, om ni inte redan gör det. Det förordningen föreskriver är att det ska finnas goda skäl för hantering av persondata. De interna processerna ska vara genomtänkta – vad behöver organisationen veta om människor, och varför? Och om vi samlar på oss uppgifter, hur länge är det relevant att ha kvar dem? Har vi riggat våra system så att vi systematiskt kan ta bort det som inte längre är väsentligt att ha kvar? Kan vi enkelt berätta för den som frågar vad vi har registrerat om den personen? Kan vi enkelt radera uppgifter om den person som så önskar?
Det här kan föranleda att vi behöver se över överenskommelsen med våra medlemmar – har de aktivt givit oss tillåtelse att samla, behålla och använda de uppgifter om dem som vi anser att vi har glädje av? Hur är det med våra givare? Våra förtroendevalda? Våra besökare och sympatisörer? De vi vill bearbeta, påverka, rekrytera? De som besöker vår Facebook sida, hemsida, etc? Har vi rutiner för att omvandla personuppgifter till avidentifierad statistik, om vi tycker att vi behöver sådan löpande över tiden? Även för den som aktivt arbetat med PUL-frågor är GDPRs ambitioner en utmaning, en höjning av kraven. Det är nu ännu viktigare att tänka igenom vilka uppgifter som organisationen behöver, och varför. Det blir viktigt att tänka igenom processer och rutiner. Och i det arbetet rensa ut de uppgifter som det inte längre finns ett tydligt behov av. Det blir också viktigt att ha en aktivt granskande funktion som ser till att förordningen efterlevs.
Hur ska förordningen tolkas?
Men förordningen är en text. Den är genomarbetat, tröskad utifrån många olika intressenters perspektiv. Den är en förhandlad ambitionsförklaring, men det är inte glasklart hur den ska tolkas. En strikt juridisk tolkning som ser till att de som berörs av förordningen, inte kommer i närheten av att överträda den på något sätt, kan leda till att den verksamhet som bedrivs inte längre kan bedrivas. Det är rimligen inte avsikten. Tanken är att skydda personlig integritet och att kunna dra nytta av välmotiverade möjligheter som digitaliseringen öppnar. Vi kan nog se fram emot en hel del kalibrerande diskussioner med ansvariga myndigheter nationellt och på EU-nivå även efter den 28 maj. Men basen för de diskussionerna bör vara att vi tänkt igenom vår verksamhet och vad som är våra välgrundade behov av att samla, bearbeta och spara personuppgifter – i ljuset av GDPRs föreskrifter. Att tänka att GDPR bara är en fråga för andra, eller att det vi alltid gjort säkert är OK även framöver, eller att GDPR är IT-ansvarigas huvudvärk, det är inga rimliga förhållningssätt. Det kan mycket väl leda till böter – eller åtminstone till smärtsam social skampåle.
Vad betyder detta för en ideell organisation?
Så se till att dataskyddsförordningen är en fråga som tas på allvar, diskuteras på ledningsnivå – och på bredd i organisationen. Se till att ni utser ansvariga i organisationen som får förutsättningar att skaffa sig djupare insikter i intentioner och konsekvenser. Se över verksamhetsprocesser och personuppgiftshantering samt hur personuppgifter hanteras i datoriserade och manuella system. Utarbeta riktlinjer för hur personuppgifter ska hanteras framöver och se till att alla i organisationen förstår såväl grundidén med GDPR som era ställningstaganden. Juridisk kompetens är naturligtvis en sida i den här processen. Och många konsulter ser lysande affärsmöjligheter, men fall inte blint för försäljningssnacket. Kanske kan ni ha glädje av dem, kanske är det onödiga utgifter. Verksamhetsgrundad eftertanke är troligen det viktigaste. Och kalibrering med organisationer med liknande verksamhet. Som i andra normeringssammanhang kommer branschpraxis och genomtänkta förhållningssätt från grupper av organisationer att ha möjlighet att påverka tolkningar och tillämpning av texterna – och kanske påverka formuleringarna i förordningen, om det visar sig att den får orimliga konsekvenser i något avseende. Men, som sagt, det kräver samverkan. Som enskild, isolerad organisation lär det i stället bara handla om att försöka efterleva föreskrifterna och de tolkningar av dem som etableras.
Utnyttja det halvår som är kvar till 28 maj. Gör det medvetet, ansvarsfullt, i samråd och samarbete, men utan panik. Vi inom ideell sektor ska även efter den 28 maj kunna bedriva meningsfull verksamhet, och göra det på ett sätt som drar nytta även av digitaliseringens växande möjligheter, i samförstånd med medmänniskorna inom och runt organisationen, och i samklang med den väckarklocka GDPR är tänkt att vara.
/Alf Westelius, professor i ekonomiska informationssystem (verksamhetsstyrning, verksamhetsutveckling, strategi och utnyttjande av ITs möjligheter) vid Linköpings Universitet