GDPR for kommuner: Er du (med)ansvarlig for dårlig personvern?

«Kommunene har ikke kontroll»

...sier Datatilsynet, om implementeringen av GDPR, til tross for krav om personvernombud for kommuner, og sikkert flere hundre GDPR-prosjekter.

Det er tankevekkende, spesielt etter flere alvorlige personvernbrudd i norske kommuner der konsekvensen for enkelte barn er flytting til nytt, hemmelig bosted. Slik kan vi ikke ha det.

Men det er nå slik at det jobber helt vanlige mennesker også i kommunal sektor, som jeg tror har like store vansker for å forstå GDPR, vite hva de skal gjøre, og hva som egentlig er godt nok, som en småbedriftseier.

Derfor har jeg et konkret råd i dag til deg som jobber med GDPR i en kommune, som synes at det er overveldende og vet at dere ikke har ting på stell.

Det er basert på mange års nasjonal og internasjonal erfaring med krevende prosjekter over landegrenser. Det er basert på et tusentalls timer med å lese meg opp på og forenkle GDPR, inkludert samtaler med et hundretalls småbedriftseiere, og en lang rekke oppdrag med både små og store aktører – både i privat og offentlig sektor.

Og rådet mitt til deg, uansett om du sitter i en kommune eller bedrift, er å se på arbeidet med ny personvernforordning som et prosjekt.

Les også om hva som er troverdige GDPR-kilder

Et GDPR-prosjekt hjelper deg å få klarhet i oppgavene

Et prosjekt er et initiativ med en klar start og slutt, altså er avgrenset i tid, har et gitt omfang og et konkret (for)mål som skal nås innenfor en gitt ressursramme.

Prosjektet inkluderer en midlertidig organisasjon som jobber for å få GDPR opp på et visst nivå, før det løpende ansvaret overføres til linjen, som det så fint heter (de som skal følge opp GDPR i det daglige).

Prosjektet er det som vil samle alt arbeidet med GDPR i kommunen. Det som endelig samler alle de løse trådene, tankene og tiltakene. Som gjør det konkret og håndfast. Et veikart.

For hvor overveldende har det ikke vært å sitte med «alt GDPR» dag inn og dag ut, med hundre forskjellige oppgaver du vet dere må gjøre, men ikke i hvilken rekkefølge, og uten å vite hva som egentlig haster mest..?

Et GDPR-prosjekt vil hjelpe deg å sortere tankene, ta GDPR ned på et forståelig og håndterlig nivå. Og kanskje, som mange småbedriftseiere opplever, gi deg nattesøvnen tilbake.

Veikartet du har savnet i GDPR-arbeidet

Mine GDPR-oppdrag leveres som prosjekter, og vi starter alltid med prosjektplanen. Den oppsummerer arbeidet på en enkel og logisk måte, og danner et felles utgangspunkt for alle involverte.

Prosjektplanen er et viktig styringsverktøy, særlig for prosjektlederen, som eier dokumentet. Her enes man om vesentlige punkter rundt varighet, deltakere, roller og ansvar (svært viktig!), forankring, kommunikasjon og budsjett.

Prosjektplanen danner de viktige rammene rundt prosjektet. Selve fremdriften anbefaler jeg å legge inn i en aktivitets- og milepælsplan; et Gantt-diagram. Den viser hver eneste aktivitet med tilhørende ansvarlig gjennom hele prosjektet, organisert i grupper, lagt ut i tid.

Et interaktivt Gantt-diagram der en kan legge inn fremdrift på enkeltaktivitet, er et svært nyttig verktøy i prosjektsammenheng! Da blir ikke GDPR-sjekklisten så overveldende.

Start med prosjektplanen

Aller først bør du skrive en solid prosjektplan. Du har kanskje allerede en? Fungerer den etter hensikten? Får den deg til å senke skuldrene, se alle aktivitetene i sammenheng, og hvordan det hele skal fungere, i praksis, til slutt?

Hvis ja - fantastisk! 👏 Hvis ikke - kan du (som jobber i en kommune) starte med en gratis mal for prosjektplan fra meg. Det er helt uforpliktende å få tilsendt denne, men kopiretten skal tilskrives Bedre Bedrift AS.

Malen min er basert på rammeverket til Difis prosjektveiviser og jeg anbefaler å følge metodikken for øvrig - i alle fall på et overordnet nivå. Ikke gå deg vill i alle fasene, aktivitetene og malene derfra. 😉 (Og joda, du kan fortsatt jobbe smidig selv om du har en plan!)

NB! Husk bare at en prosjektplan ikke er verdt noe uten at et formelt prosjekt er besluttet og etablert, med forankring i ledelsen. Det må også avsettes nok tid og ressurser til gjennomføring. Det må tas på alvor.

"Men, vi har allerede hatt et GDPR-prosjekt"...

De fleste har nok allerede hatt en form for "GDPR-prosjekt". Dessverre har nok mange vært dårlig gjennomført, med manglende forankring, roller og ansvarsfordeling, og uten nok eller riktig kompetanse.

Veldig mange har fått GDPR nærmest dumpet på skrivebordet sitt, med beskjeden "dette ordner vel du"...

GDPR er mye mer krevende enn at en ansatt bare kan ta det på seg i tillegg til sine vanlige arbeidsoppgaver. GDPR er ikke noe én person kan løse. GDPR er et ledelsesansvar, og noe som må gjennomføres i hele organisasjonen.

Det kan ikke gjøres stykkevis og delt, men krever en solid innsats over mange uker og kanskje måneder - avhengig av størrelse på og kompleksitet i kommunen/virksomheten.