Arbetsbörda - Programvaruutvecklingen efter GDPR

Nya roller

Det går att dra en parallell till GDPR och de nya jobbrollerna vissa företag har kommit fram med.

Som visas i enkätstudien har vissa företag en GDPR ansvarig eller ett GDPR arbetslag som är den slutliga kontrollanten i frågor relaterade till detta. Det är även denna person som verkar hantera den största delen av den säkerställning av företagets uppgifter lever upp till standarden. Detta visar på att det tillkommit nya roller inom företag efter GDPR för att minska arbetsbördan på utvecklare och annan personal. Detta visar även enkätundersökningens fråga om arbetsbörda på.

Vi kan se detta hos svar hos utvecklarna under fråga “Hur mycket tid uppskattar du att du lagt på GDPR?” där ett antal av utvecklarna har antytt att det finns GDPR ansvariga på deras företag som tar hand om majoriteten av dessa frågor. Så som person 8 har svarat på denna fråga “Personligen har jag inte lagt så mycket tid, en av mina kollegor har fått ansvaret för GDPR implementationen.

skulle gissa på ca 2-3 veckor har gått åt bara åt GDPR delar detta år. Antagligen mer förra året.”.

(detta året 2019, data insamlad i November, författarens tolkning). Vi kan härmed se att för den GDPR ansvariga så går mer än 10% av dess arbetstid åt till GDPR för att se till att upprätthålla föreskrifterna hos ett företag där implementering och omstrukturering redan skett sen GDPR trädde ikraft året innan.

Omstrukturering

Vi kan också se en stor omstrukturering hos företagen som hanterar känsliga uppgifter. Hos dessa företag har nya policys tagits fram för att förenkla arbetet för utvecklare och för att se till att upprätthålla den standard EU har satt för lagring och användning av dessa uppgifter. Alla företag som anser sig på något sätt hantera uppgifter av detta slag har ändrat sin kod för att leva upp till den nya regleringen och ser till att detta görs löpande antingen av alla utvecklare eller av den utsedde GDPR ansvarige eller ansvariga. Även om det varit svårt för de tillfrågade att ge en exakt summa på hur mycket tid som läggs på GDPR så kan vi trots det se att det definitivt tillkommit en ökning av arbetstid som läggs på detta även hos de som inte är i en ansvarigposition gentemot GDPR.

Vad som är viktigt att lägga fokus på i en vidare studie är de företag som anser sig inte ha några känsliga uppgifter och därför inte behövt strukturera om eller lägga någon arbetstid på GDPR. Så som sett i litteraturstudien och i bakgrunden så är det fler uppgifter än kunduppgifter som ses som känslig data, detta så som all data som, på enskilt eller sammansatt sätt, kan röja en individs identitet.

5.1.2 Policy

En genomgående trend vi kunde se från enkätstudien var att alla tillfrågade vars företag hanterar någon typ av kunddata har fått en uppdatering av sin policy. Arbetet bakom denna policy måste ha 22

lagts innan GDPR då vi kunde se att hela 67,5 procent hade fått utbildning innan den nya lagen trädde ikraft. Hur mycket tid som lagts på just denna del av arbetet är med största sannolikhet inte inräknad i de timmar utvecklarna uppgett att de lagt på omarbetning av mjukvaran. Istället måste policyarbetet ligga på en annan avdelning som hanterar rättsliga frågor då detta är en lagtolkning.

Den andel av de som tyckt att den nya policyn inte helt har hjälpt dem i deras arbete har också uppgett att den varit svårförståelig eller att den inte har gett några klara direktiv vid utveckling.

Detta tyder också på att policyn inte är utvecklad och framtagen av de som vet hur företagets datahantering ser ut.

Det känns även underligt att vissa företag inte har varken tagit fram någon ny policy, ändrat i sina rutiner eller gjort någon förändring i sin kod. Som vi har sett i litteraturstudien och även i själva lagstiftningen så är det inte enbart kunddata som behöver hanteras på ett sätt som lever upp till GDPR. Annan data så som de anställdas egna uppgifter behöver tas omhand på ett sätt som är i enlighet med den rådande lagstiftningen. Hur dessa företag hanterar denna typ av data utan att behöva göra någon ändring i någon rutin eller policy känns märklig även om de inte hanterar denna typ av data i sin egen mjukvara. Något vi även kan se i Steiferts artikel från 2017 ”What are the Business implications of GDPR”. [15] Där förutspår hon att det skulle vara ett genomgående problem under de första månaderna av GDPR för de företag som inte gjort ett genomgående arbete inför lagändringen under 2017. Speciellt vid datalagring då uppgifter som kan identifiera enskilda individer inte får sparas utan godkännande.

6. Slutsats

Har datalagringen medfört regleringar vilket ökar på arbetsbördan för företagen?

Vad vi kan se är att den nya föreskrifterna har skapat merarbete för utvecklare i it sektorn tack vare att den största delen av detta arbete hamnat på deras bord. Många uppger en stor ökning i arbetstid som lagts på att enbart upprätthålla de nya föreskrifterna under 2019 och långt mycket mer tid under den övergångsfas som skedde under 2018. Detta arbete har därför öppnat upp för nya roller hos företag så som GDPR ansvarig eller en GDPR arbetsgrupp.

Trots att dessa nya roller finns på många av de tillfrågade företagen så är det fortfarande en andel som inte gjort någon ändring alls i sina rutiner och policys. Detta då de uppgett att de inte hanterar några känsliga uppgifter. Vi kan därför se en generalisering hos företag där känsliga uppgifter med andra ord ses som kunddata/kunduppgifter och inte känsliga uppgifter så som det i lagen är utformat vilket även gäller för de uppgifter de har om sin egen personal.

Hur har företagen hanterat GDPR i form av utbildningar och policys?

Majoriteten av alla tillfrågade har uppgett att deras företag har en ny policy efter GDPR trädde ikraft men det är inte alla som känner att den nya policyn hjälper dem med deras arbetsuppgifter.

Mycket av det som visats i litteraturstudien har varit ett genomgående tema för detta arbete. Företag och utvecklare som inte helt känner att de vet var GDPR börjat eller slutar.

De som svarat att deras företag inte behöver leva upp till GDPR då de inte hanterar känslig data.

Vi kan där dra slutsatsen av att vissa företag fortfarande ligger i startgroparna för GDPR trots de stränga böter som ges. Att många företag ser sig inte ha någon koppling till den nya lagen och därför inte lagt varken tid eller energi till att utbilda sin personal och uppdatera sin policy verkar missvisande då detta är en föreskrift som omfattar alla företag som på ett eller annat sätt lagrar uppgifter om en europeisk invånare. Detta kan vara så lite som en cookie på en hemsida eller en lista på emailadresser för nyhetsbrev eller andra utskick. Det verkar underligt att dessa företag som skapar eller distribuerar IT-lösningar för sin egen del eller åt tredje part inte har varken en hemsida eller en lista på mailadresser till sina kunder.

Hur mycket har GDPR ändrat företagens utvecklingsmöjligheter?

Vi kan se att de allra flesta företag har en längre process för utveckling efter GDPR än vad de hade innan förordningen trädde ikraft. Detta innebär att det tar längre tid för en ny produkt att färdigställas tack vare de hårdare direktiv som ställts. Speciellt i början fick många mjukvaruföretag omarbeta en stor del av de redan sålda lösningarna för att de skulle leva upp till de nya kraven vid lagring och mer tid kommer att behöva läggas vid nya lösningar tack vare de nya policys som framarbetats på arbetsplatserna.

In document Programvaruutvecklingen efter GDPR (Page 22-26)