Om Tjenester Butikk Kontakt Artikler Gratis minikurs Logg inn

Er du (med)ansvarlig for dårlig personvern (GDPR) i kommunen din?

gdpr Nov 20, 2019

 «Kommunene har ikke kontroll»

...sier Datatilsynet, om implementeringen av GDPR, til tross for krav om personvernombud for kommuner, og sikkert flere hundre GDPR-prosjekter.

Det er tankevekkende, spesielt etter flere alvorlige personvernbrudd i norske kommuner der konsekvensen for enkelte barn er flytting til nytt, hemmelig bosted. Slik kan vi ikke ha det.

Men det er nå slik at det jobber helt vanlige mennesker også i kommunal sektor, som jeg tror har like store vansker for å forstå GDPR, vite hva de skal gjøre, og hva som egentlig er godt nok, som en småbedriftseier.

Derfor har jeg et konkret råd i dag til deg som jobber med GDPR i en kommune, som synes at det er overveldende og vet at dere ikke har ting på stell.

Det er basert på mange års nasjonal og internasjonal erfaring med krevende prosjekter over landegrenser. Det er basert på et tusentalls timer med å lese meg opp på og forenkle GDPR, inkludert samtaler med et hundretalls småbedriftseiere, og en lang rekke oppdrag med både små og store aktører – både i privat og offentlig sektor.

Og rådet mitt til deg, uansett om du sitter i en kommune eller bedrift, er å se på arbeidet med ny personvernforordning som et prosjekt.

Les også: Troverdige kilder du kan stole på i GDPR-arbeidet (og ikke)

Et GDPR-prosjekt hjelper deg å få klarhet i oppgavene

Et prosjekt er et initiativ med en klar start og slutt, altså er avgrenset i tid, har et gitt omfang og et konkret (for)mål som skal nås innenfor en gitt ressursramme.

Prosjektet inkluderer en midlertidig organisasjon som jobber for å få GDPR opp på et visst nivå, før det løpende ansvaret overføres til linjen, som det så fint heter (de som skal følge opp GDPR i det daglige).

Prosjektet er det som vil samle alt arbeidet med GDPR i kommunen. Det som endelig samler alle de løse trådene, tankene og tiltakene. Som gjør det konkret og håndfast. Et veikart.

For hvor overveldende har det ikke vært å sitte med «alt GDPR» dag inn og dag ut, med hundre forskjellige oppgaver du vet dere må gjøre, men ikke i hvilken rekkefølge, og uten å vite hva som egentlig haster mest..?

Et GDPR-prosjekt vil hjelpe deg å sortere tankene, ta GDPR ned på et forståelig og håndterlig nivå. Og kanskje, som mange småbedriftseiere opplever, gi deg nattesøvnen tilbake.

Veikartet du har savnet i GDPR-arbeidet

Mine GDPR-oppdrag leveres som prosjekter, og vi starter alltid med prosjektplanen. Den oppsummerer arbeidet på en enkel og logisk måte, og danner et felles utgangspunkt for alle involverte.

Prosjektplanen er et viktig styringsverktøy, særlig for prosjektlederen, som eier dokumentet. Her enes man om vesentlige punkter rundt varighet, deltakere, roller og ansvar (svært viktig!), forankring, kommunikasjon og budsjett.

Prosjektplanen danner de viktige rammene rundt prosjektet. Selve fremdriften anbefaler jeg å legge inn i en aktivitets- og milepælsplan; et Gantt-diagram. Den viser hver eneste aktivitet med tilhørende ansvarlig gjennom hele prosjektet, organisert i grupper, lagt ut i tid.

Et interaktivt Gantt-diagram der en kan legge inn fremdrift på enkeltaktivitet, er et svært nyttig verktøy i prosjektsammenheng! Da blir ikke GDPR-sjekklisten så overveldende.

Start med prosjektplanen

Aller først bør du skrive en solid prosjektplan. Du har kanskje allerede en? Fungerer den etter hensikten? Får den deg til å senke skuldrene, se alle aktivitetene i sammenheng, og hvordan det hele skal fungere, i praksis, til slutt? 

Hvis ja - fantastisk! 👏 Hvis ikke - kan du starte med en gratis mal for prosjektplan fra meg. Det er helt uforpliktende å få tilsendt denne, men kopiretten skal tilskrives Bedre Bedrift AS.

Malen min er basert på rammeverket til Difis prosjektveiviser og jeg anbefaler å følge metodikken for øvrig - i alle fall på et overordnet nivå. Ikke gå deg vill i alle fasene, aktivitetene og malene derfra. 😉 (Og joda, du kan fortsatt jobbe smidig selv om du har en plan!)

NB! Husk bare at en prosjektplan ikke er verdt noe uten at et formelt prosjekt er besluttet og etablert, med forankring i ledelsen. Det må også avsettes nok tid og ressurser til gjennomføring. Det må tas på alvor. 

"Men, vi har allerede hatt et GDPR-prosjekt"...

De fleste har nok allerede hatt en form for "GDPR-prosjekt". Dessverre har nok mange vært dårlig gjennomført, med manglende forankring, roller og ansvarsfordeling, og uten nok eller riktig kompetanse.

Veldig mange har fått GDPR nærmest dumpet på skrivebordet sitt, med beskjeden "dette ordner vel du"...

GDPR er mye mer krevende enn at en ansatt bare kan ta det på seg i tillegg til sine vanlige arbeidsoppgaver. GDPR er ikke noe én person kan løse. GDPR er et ledelsesansvar, og noe som må gjennomføres i hele organisasjonen.

Det kan ikke gjøres stykkevis og delt, men krever en solid innsats over mange uker og kanskje måneder - avhengig av størrelse på og kompleksitet i kommunen/virksomheten. 

Heldigvis er det ikke for sent. Hvis dere vet at dere henger (langt) etter, er sent bedre enn aldri. Ikke vent til en innbygger klager dere inn og Datatilsynet banker på døren, eller til dere står på forsiden av en riksavis. Ta personvern på alvor, og kom á jour - i dag!

Hvis du kunne tenke deg malen for prosjektplan kan du sende meg en e-post på hei@bedrebedrift.no eller ringe meg på 95882744 for en like uforpliktende prat. 🙂

Close

Nyhetsbrev sendes ut 1-2 ganger i måneden og inneholder noen ganger informasjon om mine produkter og tjenester. Jeg lover å ta godt vare på dataene dine og slette de på forespørsel, jfr. personvernerklæringen. Du kan enkelt melde deg av når som helst.