Det problem som både A1 och B1 tar upp om hur omfattande det juridiska är går delvis utanför omfånget av vår studie, men vi anser att organisation B har löst det bra genom att låta en jurist leda arbetet. Det är trots allt en lag i grund och botten vilket innebär att det krävs juridisk kunskap för att kunna tolka GDPR. Genom att ha en projektgrupp beståendes av personer från de olika avdelningarna som berörs utöver juristen gör sedan att hela företaget kan inkluderas på ett bra sätt. De delar av arbetet som berör IT går via respondent B1 ut till IT-avdelningen där de sedan får säga sitt, och ifall något skulle behöva tänkas om eller är oklart tar B1 med det tillbaka till projektgruppen. På så sätt kan projektgruppen arbeta tätt och effektivt samtidigt som det finns plats för att gå djupare där det behövs med hjälp av personer från de olika avdelningarna.
5.4
Framtida arbete med GDPR
Både A1 och B1 menade att få företag kommer vara helt klara med arbetet att nå upp till alla GDPR’s krav den 25 Maj. Att projekt blir försenade är vanligt enligt Wendleby och Wetterberg (2018) vilket också kan ses i det B1 säger om att de borde ha börjat ett år tidigare med arbetet. B1 trodde att de skulle kunna vara klara med de system som hanterar känsliga uppgifter tills lagen träder i kraft, men att det skulle ta åtminstone ett halvår till ett år att få alla andra system att följa lagen. När väl alla systemen följer GDPR kommer det sedan, enligt B1, krävas ett fortsatt arbete för att upprätthålla att alla nya processer och system följer GDPR. B1 menade att detta är ett exempel på hur GDPR är uppbyggt kring riskhantering. Detta stämmer överens med vad Hillson (2016) skriver om riskhantering då han menar att det är viktigt att fortsätta arbetet även efter att projektet är klart. Det fortsatta arbete kommer i organisation B huvudsakligen drivas av projektgruppen som då kommer ha 20-40 % tjänst med att upprätthålla kraven. Det kommer också krävas personer på de olika avdelningarna som har koll på att deras arbetssätt följer GDPR. A1 har ingen direkt bild av hur länge arbetet med det aktuella projektet kommer pågå utan det beror på hur det fortsatta arbetet går samt hur långt företaget vill gå. Enligt A1 kommer det finns en hel del företag som väntar tills efter 25 Maj för att se hur strikt GDPR blir innan de gör några större förändringar.
Idag är det få företag som åker fast för brott mot PuL. Misstänkta brott mot PuL leder nästan aldrig till strafföreläggande eller åtal enligt en artikel av Sveriges Radio (Sveriges Radio, 2013). Detta anser A1 kan vara en bidragande faktor till varför företag väljer att avvakta med implementeringen av GDPR. A1 nämner även att en potentiell anledning till varför organisationer väljer att inte implementera är på grund av stora kostnader för implementationen, samtidigt som det finns en osä- kerhet kring vad som kommer ske när lagen träder i kraft. Då få företag tidigare har upplevt konsekvenser av att inte följa de regulationer som funnits kring person- uppgiftsbehandling, kan även det vara bidragande till varför företag väljer att inte implementera kraven GDPR ställer nu. Istället avvaktar organisationer till lagen träder i kraft för att se vad konsekvenserna blir för att undvika onödiga kostnader.
Detta ses även i en undersökning gjord av International Data Corporation (2018) där endast 29 % av små företag inom EU har vidtagit åtgärder för att se till att följa GDPR’s krav. Bland större företag är det istället 41 % som vidtagit åtgärder för att anpassa systemen efter GDPR.
Om det skulle ske en revision och sanktioner utfärdas, baseras böterna på hela koncernen och inte på företaget. Skulle det lilla företaget som B1 pratade om bryta mot GDPR är det alltså hela organisationens omsättning som bötern baseras på. Detta medför att en böter på 4 % skulle landa på nästan 300 miljoner euro baserat på förra årets omsättning. Detta är onekligen väldigt mycket pengar även för en större organisation, och vi anser det därför värt att lägga den tid och resurser som krävs för att klara av GDPRs krav.
Kapitel 6
Slutsats
I detta avsnitt presenterar vi det vi kommit fram till med hjälp av vår teori, empiri och analys. Vi har med hjälp av detta kunnat göra egna tolkningar av vad vi anser är de främsta utmaningarna med GDPR. Vi kommer tydligt att besvara våra forsk- ningsfrågor och avsluta med det resultat vi funnit och vilken betydelse det har i en vidare kontext.
6.1
Återkoppling till frågeställning och syfte
Syftet med vår studie är att skapa en nulägesanalys över hur implementationen av GDPR fortskrider. Vi har lagt fokus på att främst utröna vilka de största utmaning- arna har varit med implementationen samt hur dessa utmaningar bör hanteras för att underlätta implementationen. För att utöka nulägesanalysen inkluderar vi även hur det framtida arbetet kring GDPR kommer att se ut i vårt fall.
De forskningsfrågor vi använt som grund i vår studie är följande: • Vilka är de främsta utmaningar vid implementeringen av GDPR?
– Hur kan dessa utmaningar förebyggas?
– Hur kommer det fortsatta arbetet med GDPR se ut?
Vårt mål för denna studie är att bidra med ökad kunskap kring implementering- en av GDPR. Då arbetet med att anpassa systemen efter GDPR’s krav kommer fortgå även efter 25 maj 2018 önskar vi kunna bidra med ny information om vilka svårigheter som kan finnas i detta förändringsarbete och hur dessa utmaningar kan hanteras.