Pettigrew m.fl. (2001) nämner att förändring kan initieras från yttre eller inre kontext, i grunden handlar GDPR om en anpassning till ett politiskt beslut som organisation 2, 5 och 9 upptäckt genom omvärldsbevakning av lagstiftning och politiska beslut. Å andra sidan beskrev representanter från organisation 1, 3, 6, 7, 8 att de fått reda på förändringen internt, vilket kan ses som en inre kontext. Det empiriska materialet visade även på skillnader i när organisationerna hade uppmärksammat GDPR, framstående var att respondent 3 påbörjat sitt GDPR-arbete redan 2012 då förslaget togs upp för första gången. En möjlig orsak till att den tidiga starten kan vara organisationens branschtillhörighet, bank och finans i privat sektor. Detta eftersom branschen påverkas av politiska beslut i stor utsträckning. Det häranleds således att organisationen som respondent 3 tillhör är van vid att studera makrofaktorer vilket Fahey och Narayanan (1989) benämner som komponenter i PEST-analys. Organisation 3 skiljer sig mot de andra organisationerna gällande vad Wahlström (2015) beskriver som Corporate foresight. Detta eftersom de innehar en central arbetsgrupp som arbetar med att studera omvärldsfaktorer och dess påverkan på organisationen.
6.2 Skapa förändringsklimat
Resultatet påvisar att samtliga organisationer förutom organisation 4 är medvetna om GDPR och att det finns ett behov av förändring för att anpassa sig till den nya lagen. Vilket stämmer överens med Van de Ven (1995) och Jacobsen (2013) som nämner att det krävs förändringsarbete för att ta sig från det nuvarande tillståndet till ett önskat framtida tillstånd. Det första steget i Kotters (1996) åttastegsmodell innebär att organisationer behöver göra en förändring angelägen, vilket samtliga organisationer förutom organisation 4 gjort genom att ett GDPR-projekt har initierats från ledningsnivå, då det upptäckts ett gap inom organisationerna där kraven som GDPR ställer inte uppfylls. Luecke (2003) menar att det första steget i en förändringsprocess är att identifiera ett affärsproblem, något som alla organisationer förutom 4, menade att GDPR kunde bli om organisationen inte efterföljde lagen. Särskilt med tanke på de hårda sanktionsavgifterna som kan uppstå ifall en organisation brister i arbetet med GDPR. Vidare beskrev representanten för organisation 6 att organisationen har ett stort ansvar gentemot sina kommuninvånare och har på så sätt kunnat använda GDPR för att trycka på diverse förändringar som behövs utföras för att GDPR inte ska bli ett affärsproblem.
Sju av nio organisationer arbetade i projektform där projektmedlemmarna haft positioner med inflytande på organisationen, detta menar Kanter (2003) är en avgörande faktor för ett lyckat förändringsprojekt. Kotter (1996) anför även att medlemmarna ska inneha en bred kompetensprofil och komma från olika avdelningar, vilket inte stämmer överens med resultatet från samtliga organisationer. Detta uppmärksammades framförallt hos organisation 2 där representanten bedrev GDPR-projektet på egen hand vilket inte möjliggjorde en bred
organisationernas samtliga enheter och dels genom mindre projektgrupper på enheterna där dessa kontaktpersoner ansvarat för att förankra den centrala gruppens vision.
Samtliga organisationer förutom organisation 4 uppgav att lagen varit svårtolkad och att det krävts ett omfattande arbete med att förstå hur respektive organisation påverkas av GDPR. Detta arbete genomfördes för att kunna förmedla en förståelse till deras medarbetare, vilket stämmer överens med Kotter (1996) som anför att ett förändringsprojekt kräver en utvecklad och tydlig vision. Ingen av organisationerna nämner ordet vision utan ett genomgående tema var att de arbetade med tolkning för att skapa en förståelse och att det är förståelsen som utgör visionen för medarbetarna, vilket kan liknas med Kezar och Eckel (2002) som menar att en vision fungerar som en kompass för organisationens medarbetare.
6.3 Engagera hela organisationen
För att kommunicera ut den framtagna målsättningen med GDPR-projektet har organisationerna arbetat på lite olika sätt. De organisationer som använde intranät som plattform för att engagera medarbetarna går emot vad Kotter (1996) menar är ett bra sätt att kommunicera en vision eller målsättning på. En vision som kommuniceras via intranät säkerställer inte att mottagarna tar del av informationen samt att dem tar den på allvar. Vidare beskrevs att organisation 1 och 6 endast använt intranät som ett komplement för att ta del av information, deras huvudsakliga kommunikationskanal var genom kontaktpersoner. Kotter (1996) menar att visionen ska förmedlas av personer som är positiva till förändring, vilket i resultatet utmärkte sig genom att organisation 8 använt sig av en kommunikatör och förändringsledare som enbart arbetat med att skapa innehåll och motivera förändringen. Något som även Luecke (2003) påpekar är att en synlig ledare är viktigt för att motivera förändringen och engagera alla medarbetare till att anpassa sig till nya direktiv.
Anmärkningsvärt var att representanten för organisation 4 inte blivit informerad om ifall att dennes organisation arbetar med något GDPR-projekt eller ifall representanten själv skulle påverkas av lagförändringen.
GDPR har för samtliga organisationer, förutom 4, inneburit ett omfattande arbete med inventering av system som behandlar personuppgifter. Det har inneburit att organisationerna har behövt se över de strukturer som tidigare använts för att möjliggöra en struktur som tillgodoser förändringens behov. Vilket enligt Kotter (1996) är ett av dem hinder som behövs rensas bort för att lyckas med en förändring. Bland organisationerna har det varit varierande svar angående hur omfattande inventeringsarbetet har varit. Wendleby och Wetterberg (2018) beskriver i en inventeringsmodell att organisationer först behöver se över vilket ändamål, vilken laglig grund för behandling som finns och om det är nödvändigt att behandla en personuppgift. Samtliga organisationer förutom organisation 4 nämner att de har gjort detta. Organisation 1, 2, 6 och 7 vilka är myndigheter beskrev att de behandlar personuppgifter i enlighet med den lagliga grund som finns för myndighetsutövning. Detta innebar att de inte behövde se över behandling av personuppgifter i lika stor utsträckning som privat sektor. De sista stegen i Wendleby och Wetterberg (2018) inventeringsmodell handlar om att göra personuppgifter anonyma. Den enda organisationen som uppgav att detta var uppmärksammat var organisation 9, som menade på att de skulle anonymisera personuppgifter i så stor utsträckning som möjligt. Resultatet visade på att det skiljer sig i hur långt organisationerna kommit i gallringsprocessen. Sju av nio organisationer uppgav att gallringsprocessen inte var påbörjad utan det fanns enbart
en medvetenhet kring vad som behövdes göras. Representanten för organisation 7 beskrev uttryckligen att inventering var färdig men att gallringsprocessen inte var påbörjad.
De förändringar som GDPR medför innebär att organisationer behöver ha bättre koll på hur de hanterar personuppgifter, något som påverkar samtliga medarbetare i varierande utsträckning. Kotter (1996) menar att brist på kompetens kan leda till att en förändring inte går att genomföra. I fallet med GDPR som är en lagförändring som kräver en viss kunskapsnivå hos den enskilde medarbetaren blir utbildningen en viktig faktor för framgång. Alla organisationer, förutom 4, hade en plan för hur utbildning på respektive organisation skulle genomföras. Anmärkningsvärt var att organisation 2, 5, 6 och 7 uppgav att de inte var färdiga med utbildningarna vid intervjutillfället och trodde inte heller att det skulle vara färdigt till den 25 maj.
Resultatet visade även på att organisationerna upplevde att det inte fanns teknik på plats för att tillgodose de krav som GDPR ställer. Exempelvis nämnde representanten för organisation 6 att tekniken inte är i samspel med juridiken, med det avsågs att organisationen till en början kommer att få utföra en del manuellt arbete eftersom att det inte finns någon befintlig teknisk lösning för att exempelvis söka igenom ostrukturerad data. Detta kan likställas med ett hinder som Kotter (1996) nämner är viktigt att tillgodose för att lyckas med ett förändringsprojekt. Organisation 1, 2 och 7 arbetade med att utveckla och anpassa tekniska lösningar för att rensa bort tekniska hinder för att tillgodose incidentrapportering inom 72 timmar. Risken med att inte lösa dessa tekniska hinder i tid menar Kotter (1996) kan hämma medarbetarna att följa nya rutiner och riktlinjer på ett korrekt sätt. Om det inte sker ett aktivt arbete med att förbättra de tekniska delarna av förändringen kan den från medarbetarnas sida upplevas som oviktig att förhålla sig till.
Alla organisationer var eniga i sina svar om att GDPR har inneburit ett omfattande förändringsprojekt som krävt mycket tid samt resurser. Enligt Kotter (1996) är det viktigt att planera för kortfristiga segrar för att bibehålla motivation, något som får stor betydelse i ett omfattande projekt likt GDPR. Bland organisationerna har arbetet med delmål varierat. Resultatet visar på att sex av nio organisationer har arbetat med delmål eller milstolpar för att säkerställa att arbetet fortskred framåt med bibehållen eller ökad motivation. Undantag fanns bland organisation 2 och 1 som beskrev att projektet inte innefattat några delmål. Representanten för organisation 1 beskrev uttryckligen att verksamheten ville “Äta hela kakan på en gång”. Något som Sirkin m.fl. (2005) menar på är en fara för att lyckas med en förändring eftersom projektet inte återkopplar till några delmål och kan kännas överväldigande.