Eftersom GDPR är en lagförändring blir förhållningssättet att en förändring måste genomföras av alla organisationer, men resultatet visar att det finns skillnader i hur och när verksamheter tar sig an lagförändringen. Andersson och Tushman (1990) menar på att en förändring får genomslag först när flera aktörer väljer att ta sig an den. Detta kan likställas med resultatet som visar på att sju av nio organisationer först påbörjat arbetet med GDPR under 2017 trots att lagförändring bestämdes 2016. Dessutom uppgav organisation 4 inte sig ha någon kännedom om ett GDPR-projekt inom sin organisation.
Representanterna för samtliga organisationer uppgav svårigheter med tolkningen av lagen och dess omfattning vilket ledde till att sju av nio organisationer påbörjade sitt arbete mellan 12 och 5 månader innan lagen börjar gälla. Situationen kan beskrivas med Jacobsens (2013) tolkning av ett reaktivt förhållningssätt då respondenterna nämner att respektive verksamhet har börjat agera först när det blivit kritiskt med tid kvar tills att GDPR börjar gälla och att de upplever att de inte har något annat val.
I förhållande till övriga organisationer utmärkte sig organisation 3 genom att ha påbörjat GDPR-diskussionerna redan 2012 när det första lagförslaget aktualiserades. Vidare uppgav representanten för organisation 3 att deras GDPR-projekt varit färdigt sedan nio månader tillbaka från intervjutillfället, detta kan likställa med Mintzberg (1994) som anför att en förändring ska ske genom intuition av vad som kommer att ske. Trots att beslutet om GDPR inte fastslogs förens 2016, påbörjade organisationen som representant 3 tillhör arbetet redan 2012 med intuitionen att lagen skulle fastslås i ett senare skede. Situationen kan även kopplas till Jacobsens (2013) tolkning av en proaktivt förändringsstrategi, där organisationen anpassar sig till en händelse som förväntas inträffa i framtiden.
För övriga organisationer intensifierades arbetet med GDPR ju närmare verksamheterna kom den 25 maj. Uppseendeväckande var att representanten för organisation 1 uttryckte att “man vet ju inte förens man fått böter” och syftade till att de inväntades någon form av praxis då lagen ansågs svårtolkad. Uttalandet visar på ett enligt Jacobsen (2013) reaktivt förhållningssätt eftersom det innebär att organisationen inväntar en händelse som i sin tur triggar ett förändringsbehov. I motsats till organisation 1 sätt att hantera osäkerhet kring lagen valde organisation 5 att lägga extra resurser på att tolka lagen och snarare genomförde ett arbete i överkant för att vara på den säkra sidan till den 25 maj.
Trots att majoriteten av organisationerna har påbörjat sitt arbete med relativt kort tidshorisont till deadline har en del varit proaktiva i sitt arbete med informationssäkerhet. Organisation 2 nämnde att organisationen sedan tidigare arbetat med ett ledningssystem för informationssäkerhet vilket i mångt och mycket stämde överens med de krav som GDPR ställer. I enlighet med Jacobsens (2013) tolkning av en proaktiv förändringsstrategi kan organisationens arbete med informationssäkerhet ses som proaktivt i den mån att verksamheten gjort mer än tidigare lagstiftning krävt. På liknande sätt beskrev även organisations 9 att de hanterat förändringen och menade på att organisationen redan hade bra förutsättningar och rutiner för informationssäkerhet, eftersom personuppgifter behandlades i det dagliga arbetet.
7. DISKUSSION
I nedanstående kapitel diskuteras resultatet och analysen i förhållande till studien syfte och frågeställningar. Diskussionen tar även upp kritik mot den genomförda studiens metod.
I bakgrund till studiens syfte har tidigare undersökningar visat på att få svenska organisationer är förberedda för införandet av GDPR, det beskrevs att endast ett av tio svenska företag var väl förberedda. Med hänsyn till tidigare undersökningar och att den 25 maj närmar sig togs forskningsfrågan “Hur förbereder sig nio svenska organisationer inför GDPR?” fram. Den här studien visar på ett annat resultat än tidigare undersökningar som beskrivs i bakgrunden, det framkommer att åtta av nio tillfrågade organisationer anser sig vara förberedda och redo inför GDPR som träder i kraft den 25 maj. Som utgångspunkt för att undersöka organisationernas förberedelsearbete användes Kotters åttastegsmodell för lyckad förändring, eftersom den är en av de mest använda teorierna inom förändringsarbete. Det som framgår av resultatet är att Kotters åttastegsmodell och även utvecklingen av den inte innehåller alla de komponenter som moderna organisationer idag förknippar med förändringsarbete. Kotter (1996) menar att det första steget i en förändringsprocessen är att göra förändringen angelägen. Det empiriska resultatet visar dock att åtta av nio organisationer kontinuerligt arbetar med omvärldsbevakning och det är utifrån det som förändringsprocessen startat. Det ska tilläggas att GDPR är en legal förändring som har sitt ursprung från en yttre kontext. Angelägenheten blir således annorlunda eftersom organisationens ledning först behöver bli medvetna om lagförändringen och dess omfattning för att kunna göra det angeläget. Kotters steg om angelägenhet passar således bättre på en intern förändring som initieras från organisationen själv. Detta eftersom en legal förändring innebär en tvingande åtgärd och blir av sig självt angeläget då den måste efterföljas.
Studiens resultat gav sken av att organisationernas varierande omvärldsbevakning tenderade att påverka hur väl förberedda organisationerna var. Framförallt bidrog en aktiv omvärldsbevakning till att GDPR-projektet kunde startas i ett tidigare skede än de organisationer som varit mindre aktiva. En tidigare start av projektet gav även bättre förutsättningar att lyckas med förändringsarbetet. Denna upptäckt visade på att de som arbetade med omvärldsbevakning hade ett enligt Jacobsen (2013) mer proaktivt förhållningssätt till förändringsarbetet, allra tydligast var det med respondent 3 som startade GDPR-projektet när lagen enbart var ett förslag. Resterande respondenter agerade först efter att lagen fastställts och fick därför ett annat utgångsläge.
Att utveckla en vision som är det tredje steget i Kotters förändringsprocess påverkades också av att GDPR är en legal förändring. Det empiriska materialet visade att åtta av nio respondenter inte arbetade med en egenutvecklad vision för projektet utan snarare tolkning samt förståelse. Visionen för projektet blev för samtliga respondenter att efterfölja lagen och således skiljer det sig från ett förändringsprojekt av frivillig karaktär.
7.2 Delmål
Kotter (1996) menar att förändringsprojekt behöver inkludera delmål för att säkerställa progression samt bibehålla motivation i projekt som tenderar till att vara långa. Det empiriska materialet visade tydligt på att det finns en koppling mellan de organisationer som valt att inkludera delmål och medvetenheten kring hur långt projektet var gånget. Respondenter som medgav att de inte arbetat med någon form av delmål alls upplevdes även vara de som hade sämre överblick över vart organisationen befann sig i projektets tidshorisont och när projektet
förväntades bli färdigt. Studiens resultat styrker både Kotter (1996) och Sirkin m.fl. (2005) påståenden om att delmål och att säkra kortfristiga segrar är viktigt i längre projekt.