Karakteristisk för det empiriska resultat var att samtliga respondenter uppgav att lagen varit synnerligen svårtolkad. Det framkom att lagtexten lämnats för öppen för tolkning samt att stödet från datainspektionen ansågs varit undermåligt. Det framkom skillnader i organisationernas tolkningar av lagen samt hur omfattande förberedelsearbete som krävdes för att förhålla sig till GDPR. Vid intervjutillfället ställdes frågor angående om organisationerna ansåg sig vara redo inför den 25 maj. Resultatet från dessa frågor kan således ha påverkats av att respektive organisation gjort sin egen tolkning av lagen. Därför finns en oro att trots att respondenterna uppgav att de var redo enligt deras egen tolkning, finns möjligheten att de inte är det enligt den fastställda lagen.
Det finns även en möjlighet att organisationernas egna tolkningar av lagen har påverkat hur angeläget behov av förändring upplevdes. De respondenter som avsatt mer tid och resurser för tolkning upplevdes mest oroliga för att inte kunna efterleva lagen. Det framkom
Proportionerna kring GDPR-projektet och dess tolkning kan även ha påverkats av hur organisationerna rangordnade lagen i förhållande till annan lagstiftning. Detta framkom från en respondent vars organisation var globalt verksam och upplevt att nationell lagstiftning i vissa sammanhang upplevts väga tyngre än GDPR
7.5 Kritik
Till skillnad från tidigare studier inom ämnet har den här studien gjorts närmre den 25 maj. Det kan ha påverkat resultatet där studien fann att åtta av nio organisationer ansåg sig redo, vilket är en motsats i förhållande till vad tidigare undersökningar visat.
Ytterligare en faktor som kan ha påverkat resultatet är att åtta av tio personer var direkt involverade i organisationernas GDPR-projekt. Det kan ha bidragit till en upplevelse av att organisationerna var bättre förberedda än vad de egentligen var. Detta eftersom studien endast intervjuade en person från respektive organisation med undantag från respondent 1, dock var dem involverade i organisationens GDPR-projekt båda två. Vidare behöver inte respondenternas information nödvändigtvis stämma överens med organisationens verklighet då det finns en risk att det är en sak vad respondenterna säger och en annan sak vad som egentligen sker.
Anmärkningsvärt var skillnaderna mellan studiens två respondenter som inte var direkt involverade i ett GDPR-projekt. Eftersom en av respondenterna inte hade någon medvetenhet kring om dennes organisation drev något GDPR-projekt, hade det varit intressant att intervjua ytterligare någon mer person från organisationen. På så sätt hade studien möjligtvis kunnat urskilja ifall organisationen inte alls arbetade med GDPR eller ifall förändringen inte var förankrad hos medarbetarna.
8. SLUTSATS
Studien syftade till att undersöka hur nio svenska organisationer förbereder sig inför GDPR. Med hjälp av följande forskningsfrågor har studiens syfte kunnat besvaras:
• Hur ser förändringsarbetet inför GDPR ut hos nio svenska organisationer?
Den första slutsatsen är att majoriteten av organisationerna upplevt omställningen till GDPR som ett omfattande och tidskrävande projekt. Det går att konstatera att omfattningen varit större än förväntat hos samtliga respondenter vilket inneburit att projekten i deras tycke startat i senaste laget för att vara kompatibel med GDPR.
Den andra slutsatsen bygger på att omfattningen av projektet påverkats av hur respektive organisation tolkat lagtexten. Samtliga respondenter har uppgett att tolkningen av lagen varit en av de svåraste uppgifterna i samband med GDPR och tolkningsarbetet har tagit mycket tid från den praktiska omställningen. Det gick att urskilja skillnader i tolkningsarbetet kopplat till branschtillhörighet. Organisationer som tillhörde branscher vilka i högre utsträckning påverkades av legala förändringar samt verksamheter inom IT-branschen hade lagt mer resurser på att förtydliga tolkningen av lagen. De ansågs dessutom kommit längst i förändringsprocessen sett till Kotter åttasteg. Resultatet visade dock att ett specifikt sätt att hantera förändringsarbetet med GDPR inte gick att härleda till en specifik bransch. Detta påvisades då två av respondenterna var kommuner, och de hade helt olika angreppssätt för att hantera förändringsarbetet som GDPR krävde. Det går således att konstatera att ett förändringsarbete varierar från organisation till organisation eftersom det är människorna inom verksamheten som påverkar förloppet.
Den tredje slutsatsen är att Kotters åttastegsmodell till en lyckad förändring är ett bra ramverk för att undersöka förändringsarbete. Med hjälp av modellen har det gått att konkretisera organisationernas förändringsarbete och urskilja skillnader samt progression.
Det går dock att konstatera att modellen innehåller brister sett till att GDPR är en legal och tvingande förändring vilket innebär att andra kriterier jämfört med en frivillig förändring krävs. Ett omfattande projekt likt GDPR kräver att organisationer avsätter tid och resurser för att lyckas med förändringsprocessen. Organisationer har fördel av att arbeta aktivt med omvärldsbevakning för att möjliggöra ett proaktivt tillvägagångssätt för att möta förändring. När en förändring blivit angelägen är det av yttersta vikt att skapa förståelse kring vad förändringen innebär samt vad som behöver göras av varje unik organisation för att möta den. Vid större projekt likt GDPR har denna studie även påvisat vikten av att sätta delmål, eftersom det har bidragit med bättre överblick samt ökad motivation hos medarbetare.
Slutligen går det att konstatera att åtta av nio organisationer har haft ett förändringsarbete för att anpassa sig till GDPR. Sju av nio organisationer är redo inför den 25 maj och en organisation ansåg sig vara färdig med förändringsarbetet. GDPR har även ökat medvetenhet kring
påverkat anpassningen till lagen och vilket utfall det fick. Det hade även varit intressant att följa upp hur de undersökta organisationernas fortsatta arbete fungerat då det är två av Kotters sista steg i förändringsmodellen.
Åtta av nio organisationer medgav att GDPR innebar ett uppvaknande kring informationssäkerhet och att arbetet skulle fortsätta efter den 25 maj. Det hade således varit intressant att se på vilket sätt och i vilken omfattning som arbetet hos de undersökta organisationerna kommer fortskrida.
REFERENSER
Ahrenfelt B, (2001) Förändring som tillstånd: att leda förändrings- och utvecklingsarbete i
företag och organisationer. 2., [rev.] uppl. Lund: Studentlitteratur
Alvesson M & Sveningsson S, (2014) Förändringsarbete i organisationer: om att utveckla
företagskulturer. 2., [uppdaterade] uppl. Stockholm: Liber
Andersson P & Tuschman L M, (1990) Technological Discontinuities and Dominant Designs: A Cyclical Model of Technological Change. Cornell University, SAGE publications
Auguste, J. (2013) Applying Kotter’s 8-Step Process for Leading Change to the Digital Transformation of an Orthopedic Surgical Practice Group in Toronto,
Canada. J Health Med Informat. Health & Medical Informatics.
Badshah N, (2018) Facebook to contact 87 million users affected by data breach. >https://www.theguardian.com< HTML (2018-04-15).
Bennett N & Lemoine J G, (2014) What VUCA really means for you. Kelley School of Business,
Indiana University.
Bryman A & Bell E, (2017) Företagsekonomiska forskningsmetoder. Upplaga 3 Stockholm: Liber
Datainspektionen, (2017) Allmänna frågor. >http://datainspektionen.se<HTML (2018-03-11) Datainspektionen. (2018) Personuppgiftsincidenter. >https://www.datainspektionen.se <HTML (2018-02-27)
Datainspektionen, (2017) Samtycke. >http://datainspektionen.se<HTML (2018-03-10)
Denscombe M (2016) Forskningshandboken: för småskaliga forskningsprojekt inom
samhällsvetenskaperna. 3., rev. och uppdaterade uppl. Lund: Studentlitteratur
EUGDPR, (2018) GDPR timeline of events. >http://www.eugdpr.org< HTML (2018-03-25) Fahey L & Naragyanan V K. (1989) Linking Changes in Revealed Casual Maps and
Environmental Change: An Empirical Study. Journal of Management Studies, vol. 26, nr 4, s.
361-378
Frankelius P, (2001) Omvärldsanalys. Kristianstad: Liber AB
Jacobsen D I & Thorsvik J, (2014) Hur moderna organisationer fungerar. 4., [uppdaterade] uppl. Lund: Studentlitteratur
Kanter M R, (2003) Challenge of organizational change. The Free Press.
Kezar A & Eckel P (2002) Examining The Institutional Transformation Process: The Importance of Sensemaking, Interrelated Strategies, and Balance. Research in higher
education.
Kotter J P, (1996) Leading change. Boston, Mass.: Harvard Business School Press Kotter J P, (2012) Accelerate! Harvard Business Review.
Lewin K, (1951) Field theory in social science. New York: Harper and Brothers.
Luecke R, (2003) Managing change and transition. Boston, Mass.: Harvard Business School Press.
Mintzberg H, (1994) The fall and rise of strategic planning. Harvard business review.
Oates B J, (2006) Researching information systems and computing. London: SAGE Publications
Personuppgiftslag, 1998:204.
Pettigrew A M, Woodman W R, & Cameron S K, (2001) Studying Organizational Change and Development: Challenges for Future Research. Academy of Management.
Pollack J & Pollack R, (2014) Using Kotter’s Eight Stage Process to Manage an Organisational Change Program: Presentation and Practice. University of Technology, Sydney, Australia Quinn D, Amer Y, Lonie A, Blackmore K, Kane L, Pettigrove M. (2011) Leading change: Applying change management approaches to engage students in blended learning. Ascilite 2011
changing demands, changing directions. Hobart Tasmania Australia.
Reinius F, (2015) Ny dataskyddsförordning från EU (GDPR). >http://www.cygate.se<HTML (2018-02-23)
RSM, (2017) 92% of European businesses are unprepared for GDPR. >https://www.rsm.global<HTML (2018-02-15)
Sirkin L H, Keenan P & Jackson A, (2005) The Hard Side of Change Management. Harvard
Business Review.
Statens offentliga utredningar, 2016:89. För digitaliseringen i tiden
Todnem B R, (2005) Organisational change management: A critical revie., Journal of Change
Van De Ven H A & Poole S M, (1995) Explaining development and change in organization.
Academy of Management Review.
Wahlström B, (2015) Försprång: omvärldsanalys i den nya digitala världen. 1. uppl. Stockholm: Liber
Wendleby M & Wetterberg D, (2018) Dataskyddsförordningen GDPR: förstå och tillämpa i
BILAGOR
Bilaga 1 - Intervjuguide Intervjuguide
Inledning
• Berätta lite kort om din arbetsroll här på X
• Hur länge har du arbetat här? Vad kommer du ifrån tidigare
• Har du haft olika roller på X? Omvärldsbevakning
• Finns det en given strategi för förändringsarbete från universitet?
o Jobbar ni aktivt med omvärldsbevakning? § Lagar, regler, konkurrenter.
Förberedelser inför GDPR
• Hur kom du i kontakt med GDPR?
• Har det funnits incitament från X ledning?
• Har lagförändringen kommunicerats ut till medarbetare, isåfall vilka och hur?
• Innebär GDPR en stor förändring för x som organisation?
o På vilket sätt?
• Har ni arbetat aktivt med skyddandet av personuppgifter/dataskydd tidigare?
o På vilket sätt?
• Arbetar ni aktivt med GDPR?
o Om ja: När påbörjades det?
o Berätta stegvis, hur har processen med förändringen till GDPR sett ut och
kommer att se framöver?
o Vad var det första steget ni tog? Varför började ni där? o Har ni haft delmål?
• Har ni arbetat med inventering av den data ni haft lagrad?
o Vad har det resulterat i?
o Har det uppstått hinder vid implementeringen? • Hur ser förberedelserna ut inför den 25 maj?
• Hur många arbetar med förändringen, projektgrupp?
• Har ni utsett ett dataskyddsombud?
• Hur har ni gått tillväga för att tolka lagen?
o Finns det några svårigheter med att anpassa sig till GDPR?
• Har du upplevt några konsekvenser av arbetet med GDPR inom organisationen?
o Såväl positiva som negativa?
LAGEN
• Hur kommer ni hantera privatpersoner som hör av sig och vill flytta sina uppgifter?
• Hur kommer ni hantera privatperson som hör av sig och vill bli “glömd”?
• Hur kommer ni att rapportera eventuella dataintrång? Känner ni er bekväma med kravet på 72H?
• Har ni några rutiner för ostrukturerad data?
o Personal med egna telefoner, egna lärosätt/plattformar • Vad är era reaktioner och förväntningar på GDPR?
Förändringens drivkrafter
• Om du jämför GDPR-förändringen med andra förändringar, hur tycker du förändring har gått?
o Effektivitet, kostnad, vinster, motstånd, omfattning? o Andra legala förändringar?
• Teorier om förändringsarbete tar ofta upp motstånd till förändring, är det något du har märkt av i GDPR-projektet?
o Finns det en skillnad i motstånd från en frivillig förändring jämfört med en
påtvingad (GDPR)?
o Arbetar ni med att möta eventuellt förändringsmotstånd, hur? o Har ni förankrat förändringen i organisationen, hur?
• Finns det andra faktorer förutom det legala som gör det viktigt att stå redo den 25 Maj?
o Förtroende? Varumärke? • Kommer ni att vara redo?