Vill du höra om framgångsrikt GDPR-arbete från en erfaren expert? Då har du kommit rätt! Vi har nämligen träffat Anna Eidvall som har gett oss flera goda tips på hur man implementerar framgångsrika GDPR- och dataskyddsinitiativ och hur alla företag - stora som små - kan övervinna vanliga GDPR-utmaningar. Vi fick ta del av Annas synpunkter på dessa ämnen, och mycket mer:
- Varför du behöver budgetera och planera för att kontinuerligt prioritera dataskydd
- Hur man undviker en falsk känsla av efterlevnad som kan uppstå vid dokumentation
- Det förändrade fokuset på små och medelstora organisationers dataskyddsansvar
Så låt oss sätta igång med intervjun med Anna!
Om Anna Eidvall
Anna Eidvall är partner, styrelseledamot och ansvarig för MAQS Advokatbyrås integritets- och dataskyddsgrupp i Stockholm. Hon har omfattande erfarenhet av dataskydd och arbetar med rådgivning om dataskyddspolicyer, informationsmeddelanden, konsekvensbedömningar av dataskydd (DPIA) och tredjelandsöverföringar. I grund och botten är hon din expert om du vill hålla dig uppdaterad om de senaste integritetstrenderna eller behöver hjälp med att förstå vad GDPR innebär för ditt företag.
Vad driver Anna att arbeta med GDPR och dataskydd?
Hur började du arbeta inom området och hur förändrades ditt arbete när GDPR kom in i bilden?
"Mitt första uppdrag, på mitt första jobb efter universitetet, var att ge råd till en kund i en dataskyddsfråga. En lyckoträff. Jag har varit fast sedan dess."
"Före GDPR var min verksamhet något mer mångsidig och delad mellan dataskydd och affärsjuridik. Men så snart GDPR trädde i kraft blev jag helt fokuserad på integritets- och dataskyddsfrågor."
Vad är det som gör att du brinner för GDPR?
"Integritet och dataskydd är en mänsklig rättighet, och det blir allt viktigare i ljuset av digitalisering osv. När man arbetar med integritet och dataskydd får man dessutom utgå från sig själv och fråga sig - 'Hur skulle jag känna inför det här?”
GDPR i din organisation
Vad behöver vi göra för att GDPR ska bli ett ämne som fler bryr sig om och vill lära sig mer om?
"Det viktigaste vi behöver göra, på alla nivåer, är att öka medvetenheten - återigen, integritet och dataskydd är en mänsklig rättighet och individer har stor kontroll över sina egna uppgifter. Eftersom det är en så grundläggande del av digitaliseringen bör utbildning och förståelse för de grundläggande principerna också ingå i många fler universitetsexamina. Slutligen, och det jag tror håller på att hända, är att inkludera det på den politiska agendan."
Vilket är det största missförståndet som de flesta människor har om GDPR?
"Att det är olagligt att använda någon annans data utan samtycke."
Och vad är en sak som GDPR-ansvariga kan göra för att rätta till detta missförstånd?
"Se till att de är transparenta med hur de behandlar personuppgifter och ge verktyg (t.ex. informations- och integritetsplattformar) som gör det lättare att förstå hur personuppgifter används av den 'GDPR-ansvarige' (och på vilken grund)."
Vad är exempel på GDPR-initiativ som du har sett fungera i företag?
"Grundläggande utbildning av anställda och specifika medvetenhetsprogram."
"Det är oerhört viktigt att utbilda och involvera alla anställda i dataskyddsfrågor och att höja medvetandegraden i hela organisationen, inklusive ledningen. Detta gör att dataskyddsfrågor kan identifieras och hanteras på ett korrekt sätt i den dagliga verksamheten."
"Organisationer som lever och andas dataskydd/integritet från toppen och använder en ""ton från toppen""-strategi är i allmänhet mer framgångsrika i sitt genomförande."
Finns det några exempel från ditt eget arbete som fungerat bra? Vilka är de och vilka förändringar har de lett till?
"För många företag är det svårt att veta var de ska börja och arbetet kan verka överväldigande till en början. För att få en bättre förståelse för efterlevnadsnivån, både för vår egen och för kundens skull, kombinerar vi en analys av dataskyddsbrister med grundläggande utbildning för att få kunden att börja tänka på dataskyddsfrågor på ett enkelt och begripligt sätt."
"På så sätt blir hela organisationen involverad i ett tidigt skede, vilket skapar en ansvarskänsla i alla delar av organisationen. Med analysen som bas är det lättare att planera och prioritera, samt att få alla 'med på tåget'."
GDPR är inte längre nytt, men efterlevnad kan fortfarande vara svårt. Vad ser du som några av de största utmaningarna när det gäller att arbeta med GDPR/hålla sig till kraven varje år?
"Att se till att tillräcklig budget och tid avsätts för efterlevnadsrelaterade frågor. Efterlevnad är inte ett engångsprojekt utan något som du måste leva med och praktisera varje dag."
Vilka är tre konkreta saker som företag bör göra för att komma igång med sitt GDPR-arbete?
"Se till att det finns budget och tid för att genomföra "projektet" och arbetet."
"Utse en intern person som ansvarar för dessa frågor (behöver inte vara en integritetsspecialist). Om rätt expertis inte finns tillgänglig inom organisationen, anlita en konsult som kan hjälpa er att förstå det rättsliga ramverket och vad det innebär för verksamheten."
"Utbildning och ökad medvetenhet för att säkerställa att alla i organisationen beaktar integritet och dataskydd i sina dagliga arbetsuppgifter."Finns det specifika saker som du ser att många företag missköter? Och vad bör de göra för att underlätta efterlevnaden av dessa områden?
"Det är lätt att fokusera på dokumentationen som GDPR kräver att man har på plats. Men många misslyckas med att implementera dokumentationen. Som en följd av detta ser vi en hel del dokumentation från 2018 som inte har efterlevts (och/eller uppdaterats) sedan dess."
"Att ha dokumentationen på plats betyder inte att man uppfyller kraven. Istället kan det skapa en falsk känsla av efterlevnad."
För mindre företag, vad kan IT-chefer, dataskyddsombud och GDPR-anställda göra med en mindre budget och mer begränsade resurser?
"Det finns många kostnadsfria digitala kurser, webbseminarier etc. som kan bidra till att öka medvetenheten och kunskapsnivån utan att belasta en mindre budget. Det kan också vara en bra idé att registrera sig för gratis nyhetsbrev, till exempel från den lokala tillsynsmyndigheten, för att hålla koll på vad som händer inom området, nya avgöranden etc."
"På en mer allmän nivå kommer det att vara avgörande att prioritera och fokusera på de viktigaste och mest riskfyllda dataskyddsaspekterna i organisationen för att se till att dessa tas om hand."
"Dessutom är det ofta väldigt ensamt att arbeta med GDPR i ett mindre företag. Därför är det oftast väl investerade pengar att lägga undan en mindre budget för att ha någon att diskutera svårare frågor med."
Vad Anna håller ögonen på i GDPR-världen
Vilka GDPR-fall tycker du säger något om hur GDPR kommer att tolkas eller tillämpas under de kommande åren?
"Schrems-domarna (I och II, samt andra som förmodligen kommer, och Meta-böterna). Domarna visar hur problematiskt det kan vara att inte ha en fullständig bild av sina dataflöden och att våra höga standarder är svåra att följa i praktiken. Det utmanar också gränserna för var GDPR tillåter ett riskbaserat tillvägagångssätt - något jag tror att vi kommer att se mer av under de kommande åren."
"I allmänhet fokuserar många avgöranden/fall på de registrerades rättigheter och de grundläggande principerna. Detta kommer sannolikt att fortsätta, vilket gör det viktigt att ha expertis inom dataskydd/integritet lätt till hands."
"Fokus på större och medelstora företag kommer sannolikt också att fortsätta, liksom fokus på internationella sociala medieplattformar och andra aktörer."
Internationella dataöverföringar har blivit mer komplicerade. Vad kan företag göra för att se till att deras dataöverföringar sker i enlighet med gällande regler?
"Det är viktigt att granska alla internationella dataöverföringar som sker från din organisation för att säkerställa lagliga och kompatibla dataöverföringar utanför EU/EES. Detta inkluderar bland annat att ha en fullständig förståelse för dina dataflöden och de inblandade aktörerna/länderna."
"Företag bör därför se till att deras register över behandlingsaktiviteter (ROPA) är uppdaterade. Företagen bör också kontrollera om en konsekvensbedömning av dataöverföring (DTIA) behöver utföras - och se till att de själva eller leverantören har gjort det. Om du använder standardavtalsklausulerna (SCC), se till att du använder den nya versionen."
Utvecklingen av nya AI-verktyg har fått mycket uppmärksamhet under det senaste året. Vilka skyldigheter har företag att säkerställa dataskydd med dessa nya verktyg? Och vilka försiktighetsåtgärder bör företagen vidta?
"Om utvecklingen eller användningen av AI-verktyg omfattar personuppgifter måste reglerna i GDPR följas."
"Det innebär att det måste finnas en rättslig grund (både för utbildning och användning) och oftast krävs det också en konsekvensbedömning av dataskyddet. Beroende på resultatet av en sådan bedömning kan andra åtgärder behöva genomföras - t.ex. policyer/instruktioner om hur verktygen får användas, lagringsplaner etc. Dessutom måste information om behandlingen naturligtvis ingå i det relevanta integritetsmeddelandet."
Användning av ramverk för cybersäkerhet i ert dataskyddsarbete
Många organisationer använder GDPR och andra lagar eller ramverk för cybersäkerhet i sitt dataskyddsarbete. Vilka är fördelarna med att arbeta med ett säkerhetsramverk som CIS?
"Att arbeta med säkerhetsramverk som Center for Internet Security (CIS) har flera fördelar, som att tillhandahålla en omfattande uppsättning säkerhetskontroller och bästa praxis som organisationer kan följa för att förbättra sin cybersäkerhet. CIS tillhandahåller dessutom ett strukturerat och väldefinierat ramverk som täcker olika aspekter av informationssäkerhet, inklusive åtkomstkontroll, incidenthantering, sårbarhetshantering och systemhärdning. Genom att implementera dessa kontroller kan organisationer skapa en stark säkerhetsgrund och skydda sina system och data från vanliga hot."
Avslutande tankar och råd från Anna
Vilket råd skulle du ge företag som precis kommit igång med sitt GDPR- och dataskyddsarbete? Hur är det med IT-säkerhetschefer?
"För att förstå hur dataskyddsreglerna påverkar ditt företag måste du förstå GDPR och andra regler som gäller för ditt företag. Det kan finnas anställda som redan vet lite om dessa saker eller som är intresserade av att lära sig mer, och därför är det en bra idé att se över vilka resurser du redan har inom organisationen för att bygga upp ditt dataskydd."
"Det är också viktigt att resurserna samarbetar med andra viktiga intressenter inom verksamheten, t.ex. IT-säkerhetschefer eller andra som arbetar med juridiska frågor, efterlevnad, HR osv. Och - återigen - se till att ni har budget och tid för att genomföra allt!"
Vilka resurser använder du för att hålla dig uppdaterad om allt som rör GDPR?
"Nyhetsbrev - både från företag och myndigheter - är en bra källa till snabb, sammanställd information. Det finns också många intressanta och kunniga personer inom dataskydd som delar med sig av sina tankar och insikter på LinkedIn, det gäller bara att hitta dem."
Några rekommendationer för podcasts, nyhetsbrev etc.?
"Jag brukar lyssna på poddarna Dataministeriet och Serious Privacy. Dessutom ger MAQS advokatbyrå, där jag arbetar, regelbundet ut ett nyhetsbrev om dataskydd och integritet, som är gratis och enkelt att anmäla sig till: Intresseanmälan: nyheter inom integritet och dataskydd (ungpd.com).”
"Du är också mer än välkommen att följa mig på LinkedIn, där jag regelbundet publicerar innehåll och nyheter om GDPR."
Avslutning
Vi är väldigt tacksamma över att Anna ville dela med sig av sin kunskap och sina insikter med oss! Hon gav fantastiska tips om hur du bygger upp ett dataskyddsteam inom din organisation, skapar medvetenhet bland alla anställda och ser till att dataöverföringar sker i enlighet med GDPR.
Vi hoppas att du tyckte vår intervju med Anna var till hjälp!
