Snart 18 månader har gått sedan GDPR infördes och många projekt har övergått i löpande förvaltning. De som blivit tillsatta som Dataskyddsombud har börjat hitta sina roller, men är det tydligt hur man ska arbeta i rollen och vad som ska uträttas i det dagliga arbetet?

I min roll som utbildningsledare på Sveriges mest ambitiösa utbildning som dataskyddsombud har jag lagt ned avsevärd tid på att hitta olika metoder och arbetssätt för hur man skall strukturera upp arbetet som ett dataskyddsombud.

Vår kurs löper över en termin och mellan de olika omgångarna har vi kunnat se att omvärlden har mognat och rollen som dataskyddsombud tydligare går mot att vara den granskande roll som den är avsedd att vara.

Det finns dock många exempel ute där dataskyddsombudet fortfarande sitter med operativa roller och är den enda resursen som hanterar dataskyddsfrågor i organisationen. När det är så riskerar man oberoendet att ombudet skall granska sig själv samtidigt som man tappar det strategiska synsättet kring dataskydd när personen vanligtvis drunknar i det dagliga arbetet.

När vi samtalat med hundratals olika dataskyddsombud har vi mognat i våra tankar kring hur ett effektivt arbete med dataskydd bör läggas upp. Vi har kombinerat ett riskbaserat arbetssätt tillsammans med styrkan i ett årshjul för att strukturera upp de arbetsuppgifter som ett dataskyddsombud bör utföra! Detta kan vara en stor hjälp till dataskyddombud som är osäkra i sin roll och inte vet vilka arbetsuppgifter som bör ligga på rollen och även en stor hjälp till alla dataskyddsombud för att strukturera upp de arbetsuppgifter som finns.

Ett riskbaserat arbetssätt

Att vara medveten om vilken nivå av risk som organisationen befinner sig i när det gäller hur man hanterar sitt dataskydd blir allt mer väsentligt i en värld där personuppgiftsincidenter händer och skadorna kan bli betydliga på varumärke och även finansiellt. Vi rekommenderar att samtliga punkter i årshjulet hanteras utefter sannolikheten för att skada sker och konsekvensen. Detta görs bäst genom att tydliggöra detta grafiskt och tydligt. Det är nivån av risk som avgör hur årshjulet utformas. Ligger Avtalshanteringen som den tydligt högsta risken skall denna givetvis hanteras flera gånger under året, med tydlig avrapportering till styrelsen.

Årshjulet som stöd

Metodiken bygger på att arbetet inom dataskyddet delas upp i ett årshjul, där varje månad är indelad i ett fokusområde som respektive dataskyddsombud kan fokusera på. I årshjulet delas arbetsuppgifterna upp i löpande aktiviteter som utvärderas, granskas och förbättras.

Här följer en kortare beskrivning av årshjulets innehåll:

·       Januari – Granska registret över behandlingar inkl. ostrukturerad information

·       Februari -Granska intern kommunikation och utbildning

·       Mars – Granska personuppgiftsincidentsprocessen

·       April -Granska Personuppgiftsbiträdesavtalen (PUBA)

·       Maj -Granska underleverantörers arbete med GDPR

·       Juni -Granska processen för de registrerades rättigheter

·       Juli – Semester

·       Augusti – Planera och genomför revision, insamling

·       September – Planera och genomför revision, presentation

·       Oktober -Granska riskprocessen och dataskyddorganisationen

·       November – Granska inbyggt dataskydd, dataskydd som standard och säkerhet vid behandlingar

·       December – Granska extern kommunikation samt Löpande förbättringar och planering

Årshjulet har visat sig vara ett effektivt sätt att strukturera arbetet som dataskyddsombud på. Det är även ett bra sätt att fördela arbetet mellan dataskyddsombud och dataskyddsorganisationen och stärka den granskande rollen för dataskyddsombudet.

Givetvis ska delarna anpassas efter organisationens förutsättningar, men vi rekommenderar att samtliga delar av årshjulet skall granskas varje år och dess mognad/ nivå av risk uppskattas.

Ytterligare en fördel med att arbeta utifrån ett årshjul är att den löpande granskningen sker över hela året och sammanfattas till högsta ledningen vid givna tillfällen. I modellen ingår mallar för respektive månad samt en mall för revisionsrapport där organisationens mognadsgrad uppskattas och följs genom åren. Ett antal KPI:er har tagits fram för respektive period vilken även kan följas. Genom att arbeta strukturerat med revision och granskning kan man följa organisationens progress under en längre tid.