Under det senaste året har Niemikotisäätiö gjort ett målmedvetet lyft i utvecklingen av sitt dataskyddsarbete. Utgångsläget var tydligt: i en extern bedömning låg dataskyddsnivån på 14 poäng. I dag har poängen redan stigit till 75.
Niina Sahlberg, som har fungerat som dataskyddsombud, beskriver utgångsläget enkelt: det fanns mycket att utveckla. När resultatet på 14 poäng blev känt inleddes arbetet systematiskt och steg för steg.
Första iakttagelsen: dokumentation saknades
Redan i ett tidigt skede framträdde ett stort utvecklingsområde: bristen på dokumentation.
– En enorm mängd dokumentation saknades, berättar Niina.
En stor del av dataskyddsarbetet är ”osynligt”, det vill säga bakgrundsarbete med att bygga upp strukturer, anvisningar och dokument. Niina betonar dock att enbart pappersarbete inte räcker.
– Ett annat stort tema var utbildning av personalen. Om människor inte vet vad dataskydd är och hur det ska genomföras, är dokumentationen sekundär.
En ny dataskyddshandbok och ett planmässigt arbetssätt
Ett av de viktigaste konkreta stegen har varit att ta fram en dataskyddshandbok. Handboken har skrivits och publicerats så att den är tillgänglig för alla – och också för att ”förhöras” på.
Samtidigt har dataskyddsarbetet fått en tydlig struktur:
- årlig planering
- årlig rapportering
- kontinuerlig utveckling av praxis
Dessutom har förberedelserna inför anslutningen till Kanta-tjänsterna till exempel krävt att en informationssäkerhetspolicy tas fram och underhålls.
– Dokumentationen ger vägledning. Nu har fungerande strukturer skapats som grund, och de är lätta att vidareutveckla och tillämpa framöver.
Förändringen syns som ett nytt sätt att tänka
Enligt Niina handlar förändringen i första hand inte om nya system, utan framför allt om ett förändrat arbetssätt.
– Vi använder samma system som tidigare, men strukturerna och arbetsrutinerna för hur de används har tänkts igenom och skrivits ner.
I handledarnas arbete syns förändringen särskilt i att dataskyddet aktivt beaktas.
– Människor funderar på allvar över var information får lagras och var den får spridas eller berättas vidare. Och till exempel tillfälliga klientuppgifter: man kan inte spara ett utlåtande var som helst om det innehåller personuppgifter. Målet är att information om serviceanvändare ska stanna i Domacare.
Brådska och e-post är de vanligaste riskområdena
När dataskyddet riskerar att glömmas bort är orsaken ofta vardaglig.
– Vardagen och tidsbrist. Och e-post är väldigt typiskt: är den krypterad, hur ska den hanteras – kan man inte bara skicka den?
Niinans sammanfattning till personalen är tydlig:
- Serviceanvändarnas personuppgifter hör i första hand hemma i Domacare
- Personuppgifter skickas inte i vanlig e-post i någon form
- Ärenden som gäller serviceanvändare diskuteras inte så att utomstående kan höra
”Allt behövde läras in vid sidan av arbetet”
Arbetet som dataskyddsombud har också krävt mycket lärande.
– Min egen utgångsnivå var inte särskilt hög. Förmodligen nära de där 14 poängen även för mig, säger Niina.
Det mest utmanande var att hitta trygghet i det egna arbetet samtidigt som man både behövde lära sig själv och utbilda andra.
– Situationer uppstår snabbt, och ibland tar det en stund att fundera och reda ut saker för att kunna ge ett vettigt och väl motiverat svar.
Externa revisioner och uppföljning stöder utvecklingen
Dataskyddsnivån följs upp på flera sätt. Externa revisioner fungerar särskilt som ett mått på helhetsläget. Därutöver följs bland annat rapporterade dataskyddsincidenter samt olika årliga indikatorer upp.
Information samlas årligen i ett dokument som också innehåller observationer kring informationssäkerhet, till exempel eventuella nätfiskeförsök. Ärendena behandlas i dataskyddsteamet och helheten sammanställs i ett ”dataskyddsbokslut”.
75 är redan en hög nivå – och det viktigaste är att upprätthålla den
I teorin vore 100 poäng det bästa möjliga resultatet, men i praktiken är det inte ett realistiskt mål.
– Hundra är bäst, men det sägs vara omöjligt att uppnå, konstaterar Niina.
Enligt Niina är 75 redan en hög nivå för en aktör som Niemikotisäätiö – ett ”B+”.
– Om vi lyckas upprätthålla den här nivån eller förbättra den lite, är vi mycket nöjda.
Tips för en lyckad förändring
Om Niina ger ett råd kring utveckling av dataskydd eller system, handlar det om vardagliga samtal och att föra frågan nära det praktiska arbetet.
– Man måste prata om det återkommande och hålla det synligt. Annars sjunker det undan.
En annan central faktor är ett motiverat utvecklingsteam och stödfunktioner.
– Utvecklingen behöver ske nära verksamheten. Om den bara kommer uppifrån, stannar den lätt på den nivån.
