Tre av landets största it-konsulter Knowit, Tieto och Acando delar med sig av hur de jobbar med GDPR inför 25 maj när GDPR går live.
HANS PETER ERLINGSSON, VD PÅ KNOWIT DIGITAL LAW
– Vi erbjuder ett stort utbud av tjänster för att uppnå och upprätthålla efterlevnad till GDPR. Eftersom GDPR spänner över ett flertal kompetensområden, samverkar olika styrkeområden i leveransen för att kunna leverera effektiva helhetslösningar. Eftersom GDPR i många avseenden är en tekniskt komplicerad och svårtillämpad lagstiftning är kunskap om personuppgiftsjuridik och informationssäkerhet av stor betydelse. Dessutom är det en fördel om man i projekten har stöd av en erfaren förändringsledare, då GDPR i regel innebär betydande förändringar av organisationer och processer. Alla dessa kompetenser finns i huset, säger Hans-Peter Erlingsson och fortsätter:
– Tidigare i år lanserade Knowit även Dataskyddsombud som tjänst. För alla myndigheter och många företag och organisationer är tillsättandet av ett dataskyddsombud ett krav. Likt en internrevisor ska dataskyddsombudet utöva tillsyn och ge stöd åt verksamheten i GDPR-frågor. Men dataskyddsombudet måste också förhålla sig självständig till sin uppdragsgivare, vilket kan vara svårt om man tillhör en organisation. Därför kan det vara lämpligt och även ekonomiskt fördelaktigt att köpa denna funktion som tjänst. Och samtidigt säkerställer nödvändig kompetens.
Enligt Hans-Peter Erlingsson är efterfrågan på GDPR-tjänster fortsatt stor.
– Många har redan gjort sin hemläxa och genomför nödvändiga åtgärder. Andra har knappt börjat. För dessa kommer våren bli en stor utmaning. Vi bedömer att efterfrågan kommer att fortgå en tid med tyngdpunkt på implementering och dataskyddsombud. Först under slutet av 2018 tror jag att vi kommer att se en avmattning på efterfrågan av implementeringstjänster medan intresset för dataskyddsombud kommer att vara fortsatt hög.
För affären är GDPR en viktig verksamhet för Knowit.
– GDPR och säkerhetsprojekt har generellt ökat i betydelse för Knowit, inom alla tre affärsområden – Insight, Experience och Solutions. Samtliga känner av hypen men på olika sätt. Medan Knowit Insight leder förändringsarbetet bidrar Solutions och Experience med anpassning och vidareutveckling av system för att klara kraven i GDPR.
Hur många har ni hos er som jobbar med GDPR?
– Det är en betydande andel av våra konsulter som jobbar med GDPR, direkt och indirekt. Det kan vara frågan om att bygga om journalsystem för att möta kraven på privacy by design till att möjliggöra digitalisering av HR-funktionen på ett företag. Vi har även specialiserade jurister som hjälper till med både strategisk rådgivning och praktisk implementering.
Kan du tipsa om tre saker kring GDPR som man absolut måste ha koll på?
– Få en överblick av din data – Det största jobbet relaterat till GDPR är att få en helhetsbild av din data, dataflöden och operativa processer. Det gäller särskilt komplexa organisationer där system har vuxit fram stegvis.
– Skaffa kunskap – De som är ansvariga för företagets regelefterlevnad bör gå de utbildningar som krävs. De behöver också se till att flera i organisationen får förståelse för hur reglerna ska följas, speciellt de i ledande funktioner.
– Se över dina system – GDPR föreskriver att individer kan kräva att information om dem raderas eller överförs inom en viss tid. Det kräver att organisationen använder lämpliga format och att gamla system har uppdaterats, till exempel kring röst, text, bilder med mera, avslutar Hans-Peter Erlingsson.
MARIA NORDGREN, CHEF INOM IT-SÄKERHETSTJÄNSTER PÅ TIETO
– Tietos affärsenhet Security Services är en strategisk leverantör av cybersäkerhetstjänster som anpassar lösningar efter affärs-, teknik- och regelverkskrav. Vi har en omfattande portfölj av tjänster som stödjer uppdragsgivarnas resa mot att efterleva GDPR, oavsett bransch. Vi har kapacitet att vända kraven i GDPR till en praktisk och hållbar implementation. Vi hjälper idag kunder med den initiala analysen och förstudien som utgör grunden för allt från bedömning till implementering av tekniska stödsystem. Allt det här blir möjligt eftersom vi har en bredd av konsulter med mångårig erfarenhet av GDPR och andra regulatoriska krav, säger Maria Nordgren och fortsätter:
– Vi anser att det är viktigt att inte se GDPR-efterlevnaden som ett engångsprojekt, detta är snarare ett pågående arbete som kräver att företag har en modell på plats som ska fungera över en lång tid framåt. Därför erbjuder vi även en rådgivningstjänst där vi hjälper våra kunder att identifiera roller, uppgifter och ägandeskap för GDPR. Dessutom jobbar vi efter ett ramverk som säkerställer att framtida aktiviteter, så som revisioner, tester och granskningar uppfylls även efter att GDPR har införts.
Vad betyder GDPR för er omsättning i år?
– Kunskapen om och tjänster rörande GDPR och andra regleringar genomsyrar hela vår verksamhet och utgör en viktig del i alla våra affärsenheter. Jag har dock inte möjlighet att uttala mig om den faktiska omsättningen.
Hur många har ni hos er som jobbar med GDPR?
– I det breda perspektivet är hela Tietos organisation engagerad i GDPR. Vi gör det för att säkerställa vår egen, såväl som våra kunders efterlevnad. För oss har det varit viktigt att alla delar av organisationen ska vara delaktiga och ha en grundkompetens om vad GDPR är och hur det påverkar våra kunder. På så vis kan man säga att har vi har 14 000 experter som arbetar med detta. Tittar vi på spetskompetens inom området har vi en säkerhets- och konsultorganisation på cirka 130 personer som ingår i vårt Security Services-team och som arbetar nära våra kunder med dessa frågor.
Hur ser efterfrågan ut på GDPR-tjänsterna?
– Vi har sett en ökad efterfrågan på våra GDPR-tjänster sedan 2016 när vårt eget arbete tog fart på allvar. Sedan dess har efterfrågan varierat något. Idag är många av våra kunders processer och rutiner på plats och vi implementerar nu tekniska stödsystem som ska vara på plats innan den 25 maj.
Maria Nordgren lägger till:
– Men vi ser också en del eftersläntrare som av olika skäl inte kommit lika långt i processen och där vi, tillsammans med kunden, gör en kraftsamling för att komma ikapp och hinna bli klar i tid. Det är också viktigt att komma ihåg är att det riktiga arbetet börjar i maj.
Kan du tipsa om tre saker med GDPR som man absolut måste ha koll på?
– Ett av de viktigaste områden vi ser som kan förbättras hos många företag är informationen inom hela organisationen, från ledningsnivå ner till de som möter kunden på daglig basis. De kan mycket väl vara det sista försvarslagret för att inte personuppgifter ska röjas. Det är därför viktigt att utbilda de medarbetare som möter kunden och skapa en bred förståelse för vad GDPR innebär för alla delar av organisationen.
– Beroende på hur långt man har kommit i arbetet att implementera de tekniska stödsystemen, och om de har kommit på plats eller inte så vill jag slå ett slag för kryptering. För dem som inte är helt i mål ännu kan kryptering av data vara en lösning på både kort och lång sikt. Kortsiktigt löser inte kryptering som sådant problemet med att ha processer och rutiner på plats, men kan ge lite andrum för de som ligger efter i schemat. Vid stöld eller eventuellt läckage kommer datan att vara under kontroll och oanvändbar utanför organisationen. På lång sikt är kryptering ett av de tekniska hjälpmedel som kan hjälpa till med efterlevnad.
– Identiteter och åtkomst till data i organisationen är en annan viktig punkt. Det är oerhört viktigt att säkerställa vem har tillgång till vilket data och när. Där kan en IAM-lösning hjälpa en bra bit på vägen, både internt och externt mot kunder. Vill du få kontroll över och kunna hantera identiteter, finns det lösningar som passar de flestas behov. Ett exempel som vi på Tieto har tagit fram, är en kundportal där vanliga användare kan hantera sina personuppgifter och ta del av vilka uppgifter som företaget behandlar. Att lägga korten på bordet och visa för sina användare vad man behandlar och på ett enkelt sätt göra det tillgängligt för kunden att hantera sina egna uppgifter bidrar till ökat förtroende. De företag som anammar detta kommer få en affärsmässig fördel tack vare GDPR. Transparens vad gäller vilken data man behandlar, både internt och extern kommer vara ett viktigt argument för nöjda kunder och ökad tillväxt, avslutar Maria Nordgren.
DANIEL RIDDARVINGE, ANSVARIG FÖR GDPR PÅ ACANDO
Vilka GDPR-tjänster erbjuder ni?
”Allt från specialister, utredning och analys, till kompletta team som stöttar företag på förändringsresan som GDPR innebär. Stort fokus på efterlevnad av GDPR i kundens egna förvaltningsorganisation och det pragmatiska förhållningssättet till GDPR över tid, skriver Daniel Riddarvinge i ett mejl till Beaconomist.
Hur ser efterfrågan ut på GDPR-tjänsterna?
”Extremt hög. Vi väljer att ta oss ann uppdrag där vi garanterat levererar hög kvalitet genom våra konsulter eftersom det inte finns tid att förlora i dessa projekt och att kvalitet står i första rummet”.
Vad betyder GDPR för er omsättning i år?
”GDPR är en del inom vårt affärsområde Digital Trust, med det sagt så utgör det naturligtvis en del av vår omsättning utan att gå in i detalj på hur mycket, men med över 220 GDPR-utbildade konsulter i Norden förser vi våra kunder med rådgivning och stöd genom hela GDPR resan, vilket såklart får ett visst avtryck i vår omsättning”.
220 GDPR-utbildade konsulter?
”220 är utbildade inom GDPR idag, växelvis är vi troligen flera som på ett eller annat sätt arbetar inom GDPR. Antingen som konsult eller rådgivare i pågående uppdrag hos kund, alternativt i projektleveranser som helt styrs av Acando.
Kan du tipsa om tre saker med GDPR som man absolut måste ha koll på?
”Förändringsbehovet. Underskatta inte den förändringsresa som GDPR innebär, med rätt insats blir effekten mycket hög av dessa projekt”.
”Hur du hanterar data som tillhör specifika roller eller uppdrag som data i CRM eller som HR-ansvarig, då behöver du förstå och veta vilka krav som kan komma på er avseende transparens, rättning och registerutdrag”
”Verktygsval – Det finns många väldigt dåliga verktyg för GDPR-efterlevnad idag. Välj med omsorg och ta hjälp att välja rätt, gärna från några som inte säljer verktyg”, avslutar Daniel Riddarvinge.
Dela inlägg
Rolf van den Brink
DO JOBB
Almega Tjänsteföretagen söker en strategisk och engagerad förbundsdirektör som vill leda och utveckla vårt arbete för att stärka tjänstesektorn. Vi samlar en mångfald av branscher...