GDPR – PLÖTSLIGT HÄNDER DET
EN KOMPARATIV STUDIE OM NIO
ORGANISATIONERS FÖRBEREDELSER INFÖR
GDPR
GDPR – SUDDENLY IT HAPPENS
A COMPARATIVE STUDY OF NINE ORGANIZATIONS
PREPARATIONS FOR GDPR
OSCAR REHN
SIMON PETERSSON
ABSTRACT
Arbetets art: Kandidatuppsats, 13 HP
Sidantal: 36
Titel: GDPR – Plötsligt händer det
En komparativ studie om nio organisationers förberedelser inför GDPR
Författare: Oscar Rehn, Simon Petersson Handledare: Helgi-Valur Fridriksson
Datum: 2018-05-25
Abstract: This essay is a comparative study of nine Swedish organizations. The purpose was to examine how nine Swedish organizations has prepared for the forthcoming General Data Protection Regulation (GDPR) which will replace the national PUL directive from 1998, on the 25th of May 2018. The new regulation implies higher demands on how organizations within EU handle personal data. Earlier studies has discovered that there is general a lack of awareness and preparations among organizations. With that in mind this study was created to examine if the organizations were more aware and prepared now that GDPR soon will go live. This study uses John P Kotters eight step model to describe the organizations different ways to approach GDPR as an organizational change project.
The study was conducted by semi-structured interviews with nine different organizations. The result of the interviews were used to create themes based on Kotters model, that were used to analyze the empirical result.
As a summary the study concluded that eight of nine examined organizations suggested that they were prepared for GDPR. The main differences in the organizations preparations for GDPR was due to difficulties in interpreting the law, which lead up to variations in terms of the scope of the GDPR-project.
Nyckelord: GDPR, Organizational change, Kotter, Change management,
SAMMANFATTNING
Detta är en komparativ studie av nio svenska organisationer. Syftet med studien var att beskriva hur nio svenska organisationer förbereder sig inför den nya dataskyddsförordningen, GDPR vilken den 25 Maj 2018 kommer att ersätta den nationella tolkningen PUL. Den nya förordningen ställer högre krav på hur organisationer inom EU behandlar personuppgifter. Tidigare studier har visat på att det funnits en generellt låg medvetenhet och förberedelse grad bland organisationer. Med detta i åtanke skapades denna studie för att utröna om organisationer är mer medvetna samt förbereda nu när lagen inom kort träder i kraft. Studien använder sig av John P kotters åtta steg till lyckad förändring för att beskriva hur organisationerna har valt att arbeta med GDPR i form av ett förändringsprojekt. Studien utgjordes av nio semistrukturerade intervjuer med nio olika organisationer. Resultatet av intervjuerna användes för att skapa teman baserade på Kotters modell, som sedan användes för att analysera det empiriska resultatet. Sammanfattningsvis kunde studien kunde konstatera att åtta av nio undersökta organisationer påstår sig vara redo inför GDPR. De stora skillnaderna i hur organisationerna förberedde sig inför GDPR baserades på svårigheterna i att tolka lagen, vilket bidrog till en varierande omfattning av GDPR-projekten.
FÖRORD
Vi vill rikta ett stort tack till samtliga respondenter som gjort studien möjlig. Vi vill även tacka vår handledare, handledargrupp och opponenter för den hjälp som bidragit till att färdigställa uppsatsen.
Innehållsförteckning
1.0 BAKGRUND 1 1.1 Problemdiskussion 1 1.2 Problemformulering 2 1.3 Mål och syfte 2 1.4 Frågeställning 2 2.0 METOD 3 2.1 Forskningsdesign 3 2.2 Intervjustudier 3 2.3 Intervjusituation 3 2.4 Urval 4 2.5 Kodning av data 52.6 Reliabilitet och validitet 6
2.7 Etik 6 2.8 Metodkritik 7 3.0 TEORETISK REFERENSRAM 8 3.1 Omvärld 8 3.2 Förändringsarbete 8 3.3 Kotters åttastegsmodell 9
3.3.1 Befäst en känsla av angelägenhet 10
3.3.2 Skapa en koalition 10
3.3.3 Utveckla en tydlig vision 11
3.3.4 Kommunicera visionen 11
3.3.5 Rensa bort hinder 11
3.3.6 Säkra kortfristiga segrar 12
3.3.7 Konsolidera och fortsätt framåt 12
3.3.8 Förankra förändringen 12
3.4 Utveckling av Kotters modell 12
3.5 Förhållningssätt till förändring 13
3.6 Analysmodell 13
4.0 DATASKYDDSFÖRORDNINGEN 15
4.1 General Data Protection Regulation 15
4.2 Dataportabilitet 15
4.3 Rätten att bli glömd 16
4.4 Samtycke 16 4.5 Personuppgiftsincident 17 4.6 Inventering 17 4.7 Dataskyddsombud 18 5. EMPIRI 20 5.1 Skapa förändringsklimat 20
5.2 Engagera hela organisationen 21
5.3 Implementera och bibehåll förändring 23
6. ANALYS 25
6.1 Omvärld 25
7.3 Implementera och bibehåll förändringen 31 7.4 Tolkning av dataskyddsförordningen 31 7.5 Kritik 32 8. SLUTSATS 33 8.1 Vidare forskning 33 REFERENSER 35 BILAGOR 38 Bilaga 1 - Intervjuguide 38
1.0 BAKGRUND
Insamling och lagring av data har haft en markant ökning de senaste årtiondena. Idag hanteras mer personlig information än tidigare och information är mer tillgänglig än någonsin. Frågan om personlig integritet på internet är högaktuell i dagsläget. Särskilt med tanke på dem pågående rättegångarna i fallet med Facebook, där analysbolaget Cambridge Analytica fått tillgång till flera miljoner människors personliga data, utan deras vetskap (Badshah 2018). I takt med den snabba tekniska utvecklingen i dagens samhälle har EU bestämt sig för att ersätta EU:s datalagringsdirektiv och dess nationella tolkningar med en ny gemensamma lag (EU 2016:679).
Sveriges tolkning av EU:s datalagringsdirektiv från 1995 har varit i form av personuppgiftslagen (PUL) och trädde i kraft 1998 (Hallgren 2016). Syftet med PUL har varit att skydda människor mot att deras personliga integritet kränks genom användandet av personuppgifter. 2012 lades det första reformförslaget fram beträffande en ny förordningen för hantering av personuppgifter (EU 2012:72). Efter bearbetning av reformen antogs förordningen i April 2016 och träder i kraft den 25 maj 2018 (EU 2016:679). Förordningen innefattar samtliga av EU:s medlemsländer och även länder som bedriver verksamhet som sträcker sig inom EU (Datainspektionen 2018). Tillskillnad mot PUL är GDPR en förordning istället för ett direktiv, vilket innebär att lagen är direkt implementerbar i samtliga länder som behandlar personuppgifter och är verksamma inom EU. Förordningen ersätter dessutom de nationella tolkningarna av EU:s dataskyddsdirektiv från 1995.
Dataskyddsförordningen, även kallad GDPR (General data protection regulation), har för avsikt att stärka skyddet för den personliga integriteten och den enskildes grundläggande rättigheter genom samtyckesprincipen. Samtycke för personuppgiftsbehandling enligt GDPR ska vara frivilligt. Organisationer är således skyldiga att explicit redogöra behandlingen av personuppgifter och varje enskild person ska ge sitt samtycke för behandling (EU 2016:679). Dataskyddsförordningens har sitt ursprung i framträdandet av internet, sociala nätverk, Internet of Things och Big Data. I takt med den snabba utvecklingen har medborgarna i EU mist kontrollen över sina personuppgifter (Cygate, 2015).
Fram till maj 2018 har företag haft möjligheten att fritt samla in och lagra data (SOU 2016:89). Vilket även inkluderat data som företagen nödvändigtvis inte behöver i verksamheten i dagsläget men som kan vara av värde i framtiden.
1.1 Problemdiskussion
Införandet av GDPR innebär stora förändringar för organisationers sätt att arbeta och hantera personuppgifter. Datainspektionen (2017) påpekar att den nya lagen kan kräva förändringar i processer och rutiner kring hur personuppgifter hanteras för att bemöta GDPR-lagens utökade krav på öppenhet och personers rättigheter. Arbetet med förberedelser inför omställningen till GDPR är omfattande och kräver att organisationer avsätter resurser till ändamålet.
Ahrenfelt (2011) påpekar att förutsättningarna för förändring kan sammanfattas som verkställandet av en förebyggande handling innan de kontextuella trycket sätter organisationen i en svår situation. GDPR innebär en påtvingad förändring som sätter press på organisationer att förbereda sig för att undvika en potentiell kris och omfattande bötesbelopp.
För att hantera förändring krävs ett aktivt förändringsarbete inom organisationen. Kotter (1996) har skapat en modell för hur ett lyckat förändringsarbete ska genomföras. Modellen innefattar en detaljerad åttastegsprocess för hur en förändring ska hanteras för att den ska engagera och få fäste i organisationen. Auguste (2013) har i en studie tillämpat Kotters åttastegsmodell i syfte att implementera ett elektroniskt journalsystem. Studien visade på att modellen var en effektiv metod för att skapa och lyckas med förändring. Vidare har även Quinn, Amer, Lonie, Blackmore, Kane, Pettigrove (2011) använt sig av Kotters åttastegsmodell för att förändra en lärandesituation inom högre utbildning. Resultatet av studien visade på att modellen bidrog till en lyckad förändring i att ändra tillvägagångssättet för lärande.
Kotter (2012) har sedermera reviderat sin åttastegsmodell för att bättre anpassas till dagens mer föränderliga klimat. Idag sker förändringar i ett allt högre tempo och den första upplagan av åttastegsmodellen har haft svårt att leverera bra resultat i enlighet med detta. Tidigare har organisationer kunnat implementera de åtta stegen och sedan lagt processen åt sidan men dagens tempo ställer krav på att organisationer arbetar kontinuerligt med förändring.
För att organisationer ska vara kompatibla med GDPR krävs förändring. Eriksson (2017) redogör för en undersökning som Citrix har genomfört där de beskriver svenska storbolags förberedelser inför GDPR. Resultatet visar på att endast ett av tio företag i Sverige är väl förberedda för lagförändringen. RSM (2017) stärker denna problematik då deras undersökning visar att 92% av företagen är oförberedda och detta enbart 12 månader innan lagen träder i kraft. De beskriver även att var fjärde företagsledare inte är medveten om de lagförändringar som de måste förhålla sig till.
1.2 Problemformulering
Alla organisationer inom EU påverkas av den nya dataskyddsförordningen som i Sverige kommer ersätta den nationella PUL-lagstiftningen. Samtidigt visar undersökningar att majoriteten av svenska företag idag inte är tillräckligt förberedda inför den förändring som GDPR innebär (Eriksson 2017; RSM 2017). Tidigare forskning har inte gjorts beträffande förändringsarbetet i olika branscher kopplat till GDPR, vilken denna studien syftar till. Med hjälp av en huvudteori om förändringsarbete avser uppsatsen att beskriva hur förberedelserna inför GDPR ser ut i nio svenska organisationer från olika branscher. Kotters (1996) teori om åtta steg för ett lyckat förändringsarbete kommer vara utgångspunkt för både förståelse och analys gällande förändringsprocesser.
För hur medvetna är svenska företag om den förändring som GDPR innebär egentligen? 1.3 Mål och syfte
Syftet med uppsatsen är att beskriva hur nio svenska organisationer har förberett sig för införandet av GDPR, som träder i kraft 25 maj 2018.
1.4 Frågeställning
2.0 METOD
I följande kapitel beskrivs och motiveras de metoder som valts för genomförandet av studien. Kapitlet diskuterar för- och nackdelar med de val som gjorts och avslutas med hur val av metod har påverkat studiens resultat.
2.1 Forskningsdesign
Studien undersöker hur nio svenska organisationer som verkar i olika branscher förbereder sig inför GDPR, på så sätt skapas flera dimensioner av hur förberedelsearbetet har sett ut.
För att kunna besvara syftet används en kvalitativ ansats med en komparativ forskningsdesign. Detta för att möjliggöra en jämförelse mellan olika fall. Bryman och Bell (2017) anför att en komparativ design innefattar en jämförelselogik, vilket innebär att det går att skapa en bättre förståelse av en viss social företeelse om den jämförs utifrån flera fall.
Den kvalitativa forskningen är ord och tolkningsinriktad, vilket enligt Bryman och Bell (2017) handlar om att skapa en förståelse av den sociala verkligheten. För att besvara forskningsfrågan krävs det en förståelse för de studerade organisationerna. Genom förståelse och tolkning möjliggörs analys och beskrivning av eventuella skillnader med hjälp av de valda teoretiska ramverken.
2.2 Intervjustudier
För insamling av primärdata gällande hur olika organisationer arbetar med förberedelser inför GDPR har semistrukturerade intervjuer genomförts. Semistrukturerade intervjuer använder sig av en intervjuguide som innehåller specifika teman som ska beröras. Strukturen ger respondenten frihet att utforma svaren på sitt eget sätt och tillåter även en större variation i svaren (Bryman & Bell 2017). Studien valde att använda sig av intervjuer eftersom forskningsfrågan krävde ett visst djup för att kunna besvaras. Studiens intervjuguide utformades efter tre huvudteman kopplat till de valda teoretiska områdena, GDPR, förändringsarbete och omvärldsbevakning. Vid genomförandet av intervjuerna anpassades intervjufrågorna och dess följd efter respondentens svar. Bryman och Bell (2017) menar att det är önskvärt att låta intervjun röra sig i olika riktningar, eftersom detta ger kunskap om vad respondenten anser vara relevant och viktigt. Vidare menar Oates (2006) att en semistrukturerad intervju ger respondenten möjlighet att utveckla sina svar kring egna tankar och idéer.
Intervjuerna spelades in i syfte att dokumentera vad intervjun behandlade samt vilken information som delades. Oates (2006) menar att inspelning av intervjuer underlättar för forskaren då denne endast behöver fokusera på vad som sker under intervjun.
2.3 Intervjusituation
Studien har strävat mot att i en så hög grad som möjligt genomföra fysiska intervjuer. Bryman och Bell (2017) menar att kvalitativa intervjuer helst ska ske ansikte mot ansikte för att kunna
att genomföra. Detta skedde troligtvis på grund av att det fysiska mötet gav större utrymme för diskussion eftersom tolkning av minspel och gester vägdes in, vilket inte möjliggjordes vid de andra intervjusituationerna.
2.4 Urval
Bryman och Bell (2017) menar att det är svår att veta hur många intervjuer som behövs för att uppnå en teoretisk mättnad. I studien genomfördes tio intervjuer med representanter från nio olika organisationer från skilda branscher, vilket upplevdes som ett tillräckligt underlag för en teoretisk analys. Efter tionde intervjun upplevdes att liknande svar var återkommande och ingen ny kunskap tillfördes.
För att välja ut respondenter till studien har främst ett subjektivt urval används, detta för att studien kräver respondenter med kompetens inom GDPR. Denscombe (2016) menar att det som utmärker ett subjektivt urval är att respondenterna handplockas till undersökningen på grund av deras relevans för ämnet eller de teorier som studien ämnar att behandla. Respondenterna till studien har valts ut eftersom de ansågs kunna ge värdefull data med hänsyn till deras nuvarande arbetssituationer. Eftersom det var svårt att hitta respondenter som hade möjlighet att ställa upp på en intervju valdes de tio personer som svarade snabbaste och hade relevant koppling till ämnet. Denscombe (2016) beskriver fenomenet som bekvämlighetsurval, de första respondenterna som finns till hands väljs. Vidare menar Denscombe (2016) att eftersom forskare har begränsat med resurser, särskilt tid i det här fallet, är det rimligt att välja de mest fördelaktiga alternativet.
De personer tillika respondenter som intervjuades agerade som representanter för den organisation de var anställda hos och blev således talesperson för organisationens GDPR-arbete. Respondenterna valdes ut efter deras insyn samt delaktighet i respektives organisations GDPR-arbete, detta till trots finns det ett rimligt tvivel om endast en person kan anses vara representant för en hel organisation. Utvecklingspotentialen i det insamlade empiriska materialet ligger i att nå ut till fler inom samma organisation för att bekräfta vad de valda representanterna har sagt angående GDPR-projektet och dess bedrift.
För studien har två olika typer av intervjuer genomförts, en med perspektiv från medarbetare som inte varit involverade i ett GDPR-projektet samt en med personer som aktivt arbetat med GDPR. Det har genomförts två intervjuer med medarbetare som inte aktivt arbetat i ett GDPR-projekt samt sju intervjuer med personer som varit aktiva i GDPR-arbetet. Syftet är att skapa en förståelse kring hur organisationen arbetat med GDPR på ledningsnivå samt hur den förankrats ner till medarbetarna.
Urvalet har vidare ställt krav på att organisationerna ska vara verksamma i olika branscher, för att se hur förberedelserna skiljer sig. Studien valde att anonymisera representanterna eftersom inte alla ville bli nämnda. Detta kan ha inneburit att representanterna för organisationerna vågade uttala sig ärligt om hur GDPR-projekt hade gått.
Bransch Befattning ID Tidsåtgång Datum
Intervju-situation
Landsting Verksamhetschef 1 64 min
2018-04-13
Fysisk
Landsting IT-projektledare 1 64 min
2018-04-13
Utbildning Informationssäkerhetsansvarig 2 36 min 2018-04-09 Fysisk Bank & försäkring Företagsrådgivare 3 60 min 2018-04-06 Fysisk IT Utvecklare 4 25 min 2018-04-19 Videosamtal Pappers-industri CIO 5 59 min 2018-04-17 Fysisk
Kommun GDPR-DPO 6 38 min
2018-04-27
Fysisk
Kommun Tjänsteägare 7 45 min
2018-04-17
Fysisk
Transport Projektledare GDPR 8 42 min
2018-04-19
Telefon
IT Director of technology 9 40 min
2018-04-25
Fysisk
Figur 1. Urvalsmatris
2.5 Kodning av data
För att koda insamlad data från intervjuerna har avkodningsmetoden innehållsanalys använts. Det som kännetecknar en innehållsanalys är att det ska finnas en klar föreställning om vilka typer av kategorier, frågor och idéer som är intressant för studien (Denscombe 2016). Genom att avkoda alla intervjuer i sammanhängande kategorier eller teman är det möjligt att kunna tolka och analysera det insamlade materialet efter samma förutsättningar.
Kodningen av de nio genomföra intervjuerna gjordes på det transkriberade materialet för att säkerställa att all data presenteras och undvika missar i den insamlade data. Avkodningen skedde med hjälp att kategorier som ansågs vara relevanta för att besvara forskningsfrågan. De nio genomförda intervjuerna är grundade på Kotters åttastegsmodell med koppling till den förändring som GDPR innebär för olika organisationer.
För att förenkla sammanställningen av det empiriskt insamlade materialet skapades tre teman utifrån Kotters åttastegsmodell.
Det tre första stegen, befäst en känsla av angelägenhet, skapa en koalition och utveckla en
tydlig vision är alla steg som avser att skapa ett förändringsklimat.
Medan steg fyra till sex, kommunicera visionen, rensa bort hinder och säkra kortfristiga segrar handlar om att engagera organisationen i förändringen.
Det sista två stegen, konsolidera och fortsätt framåt samt förankra förändringen är sätt att implementera och bibehålla förändringen.
Figur 2. Kotters åttastegsmodell med egenutvecklade teman
2.6 Reliabilitet och validitet
Denscombe (2016) menar att det emellertid kan vara svårt att bekräfta tillförlitligheten och validiteten i kvalitativ forskning, dels eftersom det är svårt att återskapa studien med dess exakta förutsättningar. Kvalitativ forskning bygger på detaljerade djupstudier av ett begränsat antal enheter och de kan därmed vara svårt att fastställa i vilken grad forskningsfynden i en studie är generaliserbara.
Den genomförda studien beskriver situationen inom nio olika organisationer, där endast två är inom samma bransch. Studiens syfte är att beskriva hur nio svenska organisationer förbereder sig inför GDPR och undersöka om det finns eventuella skillnader mellan olika branscher. Det är omöjligt att resultatet av en organisation skulle återspegla en hel bransch. Orsakssambandet för att en organisation anses vara väl förberedda inför GDPR behöver inte vara sammankopplat med branschtillhörighet.
2.7 Etik
Då en komparativ intervjustudie kan innehålla känslig information om organisationerna och respondenterna är det viktigt att agera etiskt korrekt. Bryman och Bell (2017) beskriver fyra etiska principer som är väsentliga att ta hänsyn till vid utformandet av en studie. Dessa fyra principer är:
• Skada för deltagarens del • Brist på samtycke • Inkräkta på privatliv • Falska förespeglingar
För att garantera att studien följer dessa principer har en del åtgärder vidtagits. För att säkerställa att ingen skada för deltagaren och organisationen den representerar sker har intervjuerna anonymiserats. I samband med intervjutillfällen säkerställdes det att det funnits samtycke både på att intervjun genomförs samt till inspelning. Genom att beskriva studiens syfte och ändamål säkerställdes det att respondenterna hade förståelse kring studien de deltog i.
2.8 Metodkritik
Intentionen med forskningsprojektet var att få ett ledningsperspektiv samt medarbetarperspektiv för att kunna svara på samtliga kategorier av frågor. De intervjuer som skett med medarbetare har inte i något fall arbetat på samma organisation som någon av intervjuerna med ansvariga för GDPR-projekt. I ett drömscenario hade det varit intressant att få intervjua en medarbetare och ledare inom samma organisation för att analysera skillnader i hur förberedelserna inför GDPR upplevs. Eftersom det var svårt att få kontakt med respondenter skedde ett bekvämlighetsurval till viss grad, främst med hänsyn till den begränsade tiden, som inte möjliggjorde den typen av intervjusituationen.
3.0 TEORETISK REFERENSRAM
I följande kapitel presenteras de teorier som studien använder för att analysera förberedelsearbetet i de undersökta organisationerna gällande GDPR. Kapitlet inleds med att beskriva omvärldsbevakning för att ge en förståelse kring hur organisationer upptäcker förändringar. Vidare ges en överblick av förändringsarbete och tar utgångspunkt i Kotters åttastegsmodell för lyckad förändring.
3.1 Omvärld
I Januari 2012 delgavs det första förslaget till ett förstärkt personligt skydd på internet. Vilket fyra år senare resulterade i GDPR (EUGDPR, 2018). Lagförslaget har varit offentligt publicerat vilket inneburit att organisationer har haft möjlighet att uppmärksamma och ta del av de förändringar som GDPR innebär under en längre tid. För att detta ska vara möjligt krävs att organisationer avsätter resurser för att bevaka omvärlden.
Organisationer behöver studera omvärlden eftersom de är beroende av den. PEST-modellen syftar till att analysera politiska, ekonomiska, sociala och tekniska faktorer i omvärlden och är en av de främst använda modellerna inom omvärldsanalys (Frankelius 2001). Modellens ursprung är inte identifierat men den initierades av McCarthy (1960) som i sin bok beskriver en liknande modell. Fahey och Narayanan (1989) pratar om makrofaktorers påverkan på organisationer och delar in omvärlden i enlighet med PEST. Vidare delar Fahey och Narayanan in den politiska omvärlden i två delar, politisk- och regleringsmiljö.
Wahlström (2015) beskriver begreppet omvärldsbevakning som insamling och hantering av sökordsbaserat material kring omvärlden. Omvärldsbevakningen kan genomföras med hjälp av flera teoretiska modeller. Corporate foresight är en metod som möjliggör att organisationer kan upptäcka oregelbundna och oväntade förväntningar i omvärlden (Wahlström 2015). Metoden syftar till att organisationer kan tolka potentiella konsekvenser som en förändring kan innebära samt möjliggöra en formulering kring hur organisationen ska hantera förändringen för att överleva.
Insamlad information fyller inget syfte om inget görs med den, därför anför Wahlström (2015) att nästa steg i omvärldsbevakningen är omvärldsanalys. Omvärldsanalysen syftar således till att identifiera de viktigaste trenderna, händelserna och aktörerna som påverkar organisationen. Det är först när detta är gjort som den insamlade informationen skapar värde i form av underlag för beslutsfattande och förändringsarbete.
3.2 Förändringsarbete
En av de första teorierna kring förändringsarbete initierades av Lewin (1951) som skapade en förändringsmodell i tre steg: upptining, förändring och nedfrysning. Van de Ven (1995) definierar förändring som en empirisk observation av skillnader i form, kvalitet eller tillstånd hos en organisation under en längre tid. Detta beskriver Jacobsen (2013) som en förändring i en organisations tillstånd mellan två olika tidpunkter.
Organisationsförändringar är ett omfattande område som rymmer flera olika typer av förändringar. Gemensamt för förändringar är att de vanligen är knutna till begreppet, tid. Huy (2001) menar att tidsaspekten är en av de viktigaste dimensionerna i en förändringsprocess. Genom att betrakta förändring som en process blir tid en central punkt menar Jacobsen (2013). Mer specifikt kan organisationsförändring uppdagas genom förändringsbenägna aspekter som
teknik och mål, organisationsstruktur, organisationskultur, demografiska förhållande och processer.
Genomförandet av en organisationsförändring kräver i de flesta fall en betydande tid- och resursåtgång. De resurser som krävs för förändring tas vanligtvis ifrån den ordinarie verksamheten. Alvesson och Sveningsson (2014) påpekar att förändringar kan orsaka störningar inom en organisation.
Pettigrew, Woodman och Cameron (2001) beskriver att behovet av förändring uppstår från yttre eller inre kontexter. Behovet kan komma inifrån organisationen likväl som en anpassning mot rådande yttre klimat. Jacobsen (2013) tolkar och sammanfattar teorin genom att kalla de för förändringstryck, som uppdagas genom olika typer av utvecklingsdrag.
Politisk styrning och åtgärder är utvecklingsdrag som påverkar organisationers ramvillkor och konkurrenssituation. Vidare stärker Alvesson (2014) påståendet då han anför att flertalet organisationsförändringar är direkta resultat av yttre politiska, tekniska, demografiska, ekonomiska och marknadskrafternas påverkan.
3.3 Kotters åttastegsmodell
Kotter introducerade åttastegsmodell för första gången 1996. Modellen har sedan dess ansetts vara en av de mest igenkända modeller inom förändringsledning (Pollack & Pollack 2014). Genom att ha empiriskt studerat hundratals företag som har genomgått någon form av förändring har Kotter (1996) tagit fram en modell för att lyckas med förändringsarbete. De åtta stegen kan kategorisera i tre underkategorier för att beskriva syftet med varje del. Där de tre första stegen avser att skapa ett klimat som är förändringsbenäget. Steg fyra till sex syftar till att engagera och skapa förutsättningar för att genomföra förändringen inom organisationen. De två sista stegen, sju och åtta, handlar om att implementera förändringen och upprätthålla den.
Figur 3: Kotters åttastegsmodell (Återskapad) 3.3.1 Befäst en känsla av angelägenhet
Kotter (1996) beskriver att befästa en känsla av angelägenhet är avgörande för att skapa det samarbetet som är nödvändigt. Detta syftar till att skapa medvetenhet och förståelse kring varför en förändring är nödvändig. Enligt Kotter (1996) kan detta förstärkas genom att skapa en upplevelse av att organisationen befinner sig i en krissituation. Med en känsla av kris finns risk för en tilltagande rädsla hos organisationens medlemmar.
I senare utförda studier har Todnem (2005) jämfört olika metoder för förändring och påvisar att Kotters teori gällande vikten av att skapa en känsla av angelägenhet återspeglas även i nyare teorier. Bland annat beskriver Luecke (2003) sju steg för förändring där det första steget innebär att organisationen gemensamt behöver identifiera nuvarande affärsproblem. Först därefter går det att utveckla ett engagemang samt en förändringsbenägenhet.
3.3.2 Skapa en koalition
I ett tidigt skede av en förändring är det viktigt att sätta ihop ett förändringsteam. I detta team ska valda representanter från samtliga avdelningar med ett brett spektrum av kompetens ingå (Kotter 1996). Alla i förändringsteamet agerar på samma nivå, oavsett position inom organisationen. Kotter anför att koalitionen bör bestå av tillräckligt många personer med hög trovärdighet inom organisationen, detta för att uttalanden om förändringen ska tas på allvar.
Personerna bör även se förändring som en möjlighet för att ett positivt tankesätt ska kunna återspeglas i organisationen.
Vidare menar Kanter (2003) att lyckade försök till förändring behöver stöd från inflytelserika organisatoriska beslutsfattare och intressenter med makt. Det är av stor vikt är att koalitionen har tillräckligt mycket makt och inflytande för att leda förändringen. Kanter (2003) anför även att en viktigt uppgift är att uppmuntra och tillgodose berörda parter med de resurser som behövs för att arbeta med förändringen
3.3.3 Utveckla en tydlig vision
För att skapa en förståelse för den kommande förändringen menar Kotter (1996) att det är viktigt att kommunicera organisationens vision beträffande förändringen. Visionen beskriver var organisationen vill vara i framtiden och skapar en förståelse för vad medarbetarna arbetar emot. Kezar och Eckel (2002) påstår att en motiverad vision kan blir en kompass för organisationens medarbetare. Även Luecke (2003) menar att det är betydelsefullt att utveckla en gemensam och tydlig vision av en förbättrad framtid. Visionen ska kommuniceras till medarbetare för att de ska förstå fördelen och angelägenheten med förändringen.
Kotter (1996) förtydligar genom att påstå att en vision tjänar tre viktiga syften. 1. Förtydliga den generella riktning för förändringen
2. Motivera medarbetare att agera för att föra arbetet i rätt riktning 3. Koordinera handlingarna mellan olika personer inom organisationen
Utöver dessa steg nämner Kotter att en tydlig vision även har förmågan att bryta motstånd
3.3.4 Kommunicera visionen
En bra vision blir kraftfull först när en stor andel människor i organisationen har en gemensam förståelse av förändringens mål och riktning (Kotter 1996). När visionen kommuniceras ut är det viktigt på vilket sätt den kommuniceras samt vem som kommunicerar ut den. Visionen ska förmedlas från personer inom organisationen som anses positiva till förändring och har ett högt anseende. Visionen ska även kommuniceras på ett rakt och tydligt sätt för att säkerställa att den når fram till samtliga inom organisationen. Vidare menar Kotter (1996) att ett av de mest effektiva sätten att kommunicera är genom beteende, så som att koalitionen som arbetar med förändringen lever som de lär. Det kommer så småningom bidra till att resterande personer inom organisationen följer.
3.3.5 Rensa bort hinder
För att lyckas med förändringen som organisationen kommunicerat ut menar Kotter (1996) att eventuella hinder måste elimineras. Genom att ta bort hinder fortgår förändring smidigare och medarbetarna ges möjlighet att arbeta enligt ledningens direktiv. Dessa hinder som behövs tas bort består av:
• Formella strukturer kan göra det svårt att arbeta efter den eftersträvade förändringen.
• Brist på kompetens som leder till att uppgifter ej går att lösa
3.3.6 Säkra kortfristiga segrar
Kotter (1996) beskriver att det är viktigt att planera för kortfristiga och synbara segrar för att bibehålla motivation samt för att motivera att arbetet är mödan värd. Framförallt är det viktigt att ge tillbaka till de som är involverade i och leder förändringsarbetet eftersom detta bygger moral och ökar motivationen.
Sirkin, Keenan och Jackson (2005) ser fyra kritiska faktorer för förändringsledarskap och menar på att flertalet förändringar som inte lyckas beror på att de brister på någon av dessa fyra punkter. Det första som påpekas är att förändringsprojekt ofta tar lång tid att genomföra men projekt som ofta återkopplar till delmål har större chans att lyckas. Idén bygger på liknande tankar som Kotters (1996) förändringsmodell tar upp, där delmål underlättar för att överblicka projektåtgång och även att avklarade delmål motiverar medarbetare till fortsatt förändringsarbete.
3.3.7 Konsolidera och fortsätt framåt
Vidare beskriver Kotter (1996) att det är viktigt att fira framgång men att inte släppa ned garden för tidigt, risken finns att förändringen inte får fäste och organisationen faller tillbaka i gamla vanor. Förändringsarbetet är inte nödvändigtvis färdigt i samband med att ett delmål uppnås, dessa bör istället användas för att accelerera förändringen. Kotter påstår att i detta steg är det viktigt att utvärdera och följa upp förändringsarbetet för att möjliggöra en fortsatt riktning framåt.
3.3.8 Förankra förändringen
Den förändring som organisationen har arbetat med behöver förankras och bli en del av organisationskulturen. Kotter (1996) menar att det är först då som förändringen kan bli verklighet och nya arbetssätt kan utvecklas utefter den. För att förändringen ska bli en del av organisationens kultur är det avgörande att det nya tillvägagångssättet är överlägset det tidigare. Med detta avses att det nya tillvägagångssättet är markant bättre än vad organisationen tidigare har gjort. Lewin (1951) beskriver i sin trestegsmodell till förändring ett liknande sista steg vilket han benämner som nedfrysning. Steget syftar till att implementera nya arbetssätt och processer för att bibehålla förändringen och att den blir en del av organisationens kultur. Både Kotter och Lewin menar att om detta steg inte efterföljs ökar risken att organisationen faller tillbaka till tidigare arbetssätt och att den nya förändringen inte får fäste.
3.4 Utveckling av Kotters modell
Dagens samhälle ställer andra krav än tidigare och med det har även organisationsklimatet förändrats. Kotter (2012) avser att dagens samhälle förändras i en allt snabbare takt. Därför har Kotter anpassat sin åttastegsmodell till rådande klimat med hjälp av en ny upplaga av åttastegsmodellen. De tre huvudsakliga skillnaderna mellan modellerna är:
• Tidigare har åttastegsmodellen används sekventiellt medan i moderna organisationer idag sker fler saker parallellt. Den ursprungliga åttastegsmodellen är svår att applicera på moderna organisationer vilket medfört en utveckling till en mer flexibel modell.
• Hierarkierna i dagens organisationer tenderar att bli allt mer platta vilket har krävt en förändring av modellen. I modellens ursprung bestod steg två av skapa en mindre grupp med stort inflytande inom organisationen i syfte att leda förändring. I dagens platta organisationer är klimatet annorlunda och kräver fler personer som ska bilda en
• Kotter (2012) menar att de nya stegen förhåller sig mer agilt för att fungera i en mer föränderlig värld, där förändring sker fortare. Tidigare har stegen varit anpassade till en traditionell hierarki vilket varit svårt att implementera i dagens moderna organisationer. Studiens analys åsyftar till att använda Kotters ursprungliga åttastegsmodell men tar även hänsyn till de nya tilläggen. Detta eftersom det empiriska resultatet visade på att organisationerna arbetade på ett sätt som inte stämde överens med samtliga steg i den ursprungliga åttastegsmodellen. Kotters utvecklade modell var bättre anpassad till dagens organisationer i specifika fall och inkluderades därför för att möjliggöra en mer omfattande analys.
3.5 Förhållningssätt till förändring
Med ingången att förändring är en process som tar en organisation från ett tillstånd till ett annat krävs ett planerat tillvägagångssätt för att resultatet ska bli framgångsrikt (Van de Ven 1995). Organisationer kan således använda sig av olika ansatser i syfte att bemöta planerad förändring på ett sätt som främjar förändringsprocessen.
Reaktiv
I en studie framförd av Andersson och Tushman (1990) presenteras begrepp för teknologiska cyklar. En disruptiv förändring tar tid att bygga upp och har möjlighet att få stort genomslag. När en sådan förändring väl har skett menar Andersson och Tuschman (1990) att området för den givna förändringen har en tendens att utvecklas brett och fort då flera andra aktörer väljer att hänga på. Jacobsen (2013) väljer att tolka Andersson och Tuschmans (1990) studie som en reaktiv förändringsprocess. Den bygger på att en händelse vid en specifik tidpunkt är orsaken till att en organisation förändras. Med detta avses att en organisation agerar först när de blir tvungna att förändras efter en händelse som redan inträffat.
Proaktiv
I motsats till en reaktiv ansats beskriver Jacobsen (2013) en tolkning av Mintzberg (1994) artikel där han redogör för strategisk planering. Mintzberg (1994) anför att en strategisk planering av förändring ska genomföras genom kreativitet och intuition av vad som kommer att ske. Vidare tolkar Jacbosen (2013) detta som en proaktiv förändringsstrategi vilket innebär att organisationer anpassar sig till en händelse som förväntas inträffa i framtiden. Detta förhållningssätt föranleder att organisationer förändrar sig redan innan en händelse utlöst ett behov till förändring. Det proaktiva tillvägagångssättet bygger på idén av att kunna se in i framtiden med en viss säkerhet kring vad som kommer att inträffa. Jacobsen (2013) menar att denna idé baseras på trendanalyser, scenarier eller andra tekniker. Organisationer som på ett framgångsrikt sätt förändras proaktivt kan skapa sig en fördel genom att vara först i det fält som är i behov av förändring.
3.6 Analysmodell
För att beskriva nio organisationers förberedelser inför GDPR tar studien sin start i att undersöka hur omvärldens makrofaktorer hanteras. Detta görs med avsikt att förstå hur
4.0 DATASKYDDSFÖRORDNINGEN
I följande kapitel presenteras en generell beskrivning av Dataskyddsförordningen GDPR med utgångspunkt i de områden studien valt att undersöka.
4.1 General Data Protection Regulation
Wetterberg och Wendleby (2018) beskriver att det behandlas enorma mängder personuppgifter elektroniskt, det är därför nödvändigt med regleringar för att organisationer ska kunna genomföra uppdrag på ett effektivt och rättssäkert sätt. För att undvika att personuppgifter missbrukas och hamnar i fel händer har det därför uppstått ett behov för att skydda enskilda personers integritet. Syftet med att införa GDPR är att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU (EU 2016:679). Detta möjliggörs genom att förordningen är direkt applicerbar i de olika medlemsstaterna samt att reglerna gäller samtliga verksamma aktörer inom unionen. Uppkomsten av GDPR hänvisar till att modernisera dataskyddsdirektivet från 1995 och att anpassa den till dagens digitala samhälle.
Tidigare har samtliga medlemsländer haft egna nationella tolkningar av EU:s direktiv från 1995, vilken i Sverige varit personuppgiftslagen som förkortas PUL. PUL trädde i kraft 1998 och har syftat till att reglera hur juridiska och fysiska personer får hantera personuppgifter (SFS 1998: 204).
Dataskyddsförordningen kommer att bli direkt tillämpad i hela Europa men kommer även att kompletteras med nationella regleringar. De nationella kompletteringarna är nödvändiga för att anpassa den nya förordning på bästa sätt för varje enskilt land inom EU. Den svenska kompletterande regleringen kommer att få namnet dataskyddslagen och fastställdes av Dataskyddsutredningen (Wetterberg & Wendleby 2018).
GDPR innebär en förstärkning av individens rätt till information och tillgång till personuppgifter samt tillgång till personuppgifter i jämfört med personuppgiftslagen (EU 2016:679). Personuppgiftsansvariga bör känna till att denna del av förordningen är knuten till de strängaste sanktionsavgifterna. En överträdelse kan innebära att den personuppgiftsansvarige påförs bötesbelopp på upp till 20 miljoner euro eller upp till fyra procent av den totala årsomsättningen under föregående budgetår, beroende på vad vilket värde som är störst.
4.2 Dataportabilitet
En av nyheterna som dataskyddsförordningen tar upp är rätten till dataportabilitet. Dataportabilitet innebär att en person som lämnat sina personuppgifter har rätt att få ut dem och använda i ett annat sammanhang (EU 2016:679). Exempelvis att en person vill flytta sina personuppgifter från en tjänst till en annan. Rätten till dataportabilitet innebär att en organisation som tagit emot personuppgifter är skyldig till att försöka underlätta en flytt av personuppgifter till en tredjeparts datamiljö.
4.3 Rätten att bli glömd
Rätten att bli glömd, även kallad rätten till radering innebär att varje person har rätt att vända sig till organisationer som behandlar personuppgifter och be om att få uppgifterna som avser personen raderade (EU 2016:679). Rättigheten innebär att en beredskap krävs hos organisationer för att löpande kunna radera och rensa ut kunduppgifter
Uppgifter som samlats in kan enligt Wendleby och Wetterberg (2018) krävas att raderas i följande fall:
• Ifall uppgifterna inte längre behövs för de ändamål som de samlats in för.
• Om uppgifterna baseras på individens samtycke och individen väljer att dra tillbaka sitt samtycke.
• Om uppgifterna används för direktmarknadsföring och individen motsätter sig att uppgifterna behandlas.
• Om det inte finns ett berättigande intresse som väger tyngre än individens önskan dennes personuppgifter ska bli raderade.
• Ifall personuppgifterna behandlats olagligt.
Ifall personuppgifter raderas på begäran av individen ska organisationen i fråga även informera dem som de lämnat ut uppgifter till om raderingen (Wendleby & Wetterberg, 2018). Det gäller dock inte om de anses omöjligt eller vara en alltför betungande insats för organisationen. Det är inte alltid tillräckligt att radera uppgifterna från organisationens databas om personuppgifterna offentliggjorts. Vid en sådan situation ska den ansvarige vidta åtgärder för att informerar andra aktörer som behandlar uppgifterna om den registrerades begäran, för att möjliggöra radering av kopior (EU 2016:679).
4.4 Samtycke
I förordningen (EU 2016:679) tolkas samtycke som: fritt angiven, specifik, informerad och entydig indikation på den registrerades önskemål, vilken han eller hon genom ett uttalande eller tydlig bekräftande handling påvisar enighet om behandling av dennes personuppgifter. Personuppgifter får i enlighet med GDPR enbart behandlas om ett samtycke godkänts från den som personuppgifterna avser. Datainspektionen (2017) förklarar hur GDPR ställer särskilda krav för att ett samtycke ska vara giltigt:
• Det ska vara frivilligt: vilket innebär att den som ger sitt samtycke ska ha en möjlighet
att säga nej till behandling av personuppgifter. Hänsyn ska tas till hurvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av avtalet.
• Det ska vara informerat: vilket innebär att om den registrerades samtycke lämnas i en
skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lättillgänglig form.
• Återkallande av samtycke: Det ska vara lika lätt att återkalla som att ge sitt samtycke.
Återkallandet av samtycke ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas.
• Det ska vara otvetydigt: vilket innebär att den registrerade aktören med en handling
Wendleby och Wetterberg (2018) menar att samtyckeskravet är fortsatt svårtolkat eftersom att lagen ännu inte trätt i kraft. Exakt vad som krävs kommer antagligen prövas rättsligt inom en snar framtid.
4.5 Personuppgiftsincident
Ytterligare en nyhet som organisationer behöver anpassa sig till när GDPR träder i kraft är personuppgiftsincidenter samt rapportering av dessa. Personuppgiftsincidenter måste anmälas till datainspektionen senast 72 timmar efter att en överträdelse har upptäckts (EU 2016:679). Möjliga orsaker för en personuppgiftsincident är dataintrång där känsliga personuppgifter, kontouppgifter eller annan privat information hamnar i orätta händer. Wendleby och Wetterberg (2018) menar att en personuppgiftsincident även kan ske genom att den personuppgiftsansvarige förlorar vital information om den registrerade.
Definitionen av en personuppgiftsincident är enligt Datainspektionen (2018) en säkerhetsincident som kan innebära risker för människors friheter samt rättigheter. Riskerna kan innebära att en individ förlorar kontrollen över sina uppgifter eller att rättigheter inskränks. Wendleby och Wetterberg (2018) delar upp säkerhetsincidenter i tre undergrupper:
• Sekretessbrytande incidenter - Incidenter där obehöriga genom uppsåt eller på grund av misstag från organisationen får tillgång till personuppgifter.
• Tillgänglighetsincidenter - Omfattas av olyckor eller annan ej auktoriserad tillgång och förstörelse av personuppgifter.
• Integritetsincidenter - Omfattas av olyckor och annan ej auktoriserad ändring av personuppgifter.
4.6 Inventering
GDPR kräver att organisationer arbetar med att förbereda sig inför den 25 maj för att säkerställa att verksamheten klarar att efterfölja de nya regleringarna som lagen medför. Att samlas och reflektera inom organisationen vad personuppgifter används till idag samt att inventera vilka uppgifter som är nödvändiga att behålla, är en bra strategi enligt Wendleby och Wetterberg (2018). Vidare är det bra att se över hur organisationen kan få bättre ordning och reda i olika affärssystem men även se över användningen av ostrukturerad data, exempelvis word-filer och e-post.
Som ett verktyg för att inventera den information som är godkänd att behandla när GDPR träder i kraft har Wendleby och Wetterberg (2018) skapat en modell. Den logiska trappan kan organisationer använda sig av vid inventering av personlig information.
Figur 5. Wendleby och Wetterberg (2018), S.194.
Främst behöver organisationen se över för vilket ändamål det behandlar särskilda personuppgifter. Vidare behövs ett lagligt stöd att behandla dessa uppgifter, vilket kan föreligga genom samtycke, avtal, rättslig förpliktelse, myndighetsutövning eller berättigade intresse. Det ska vara nödvändigt att behandla personuppgifter till de ändamål som åsyftas. En uppgift måste inte vara beroende av personuppgifter för att de ska anses nödvändigt, det kan även anses tillåtet om behandlingen av dessa uppgifter leder till en bättre effektivitet i verksamheten. Behandlingen ska dessutom vara korrekt och öppen i dess förhållande till den enskilde individen. Personuppgifter ska behandlas adekvat och relevant för ändamålet, GDPR lämnar inget utrymme för organisationer att spara personlig information utan att ett särskilt ändamål uppges. Går det att skydda den personliga integriteten och rättfärdiga samtliga tidigare trappsteg är den personliga uppgiften godkänd att behandla.
4.7 Dataskyddsombud
Ett dataskyddsombud ska utses utifrån sina yrkesmässiga kvalifikationer och framförallt sin kunskap i lagstiftning och praxis kring dataskydd (EU 2016:679). Personens uppgifter är att informera och ge råd till organisationen om vilka skyldigheter som gäller angående GDPR. Dataskyddsombudet ska involveras av personuppgiftsansvarige i ett tidigt skede, för att kunna tilldelas de nödvändiga resurser som arbetet med personuppgifter kräver och för att kunna besvara frågor kring personuppgifter.
Att utse ett dataskyddsombud är inte ett krav för alla organisationer. Datainspektionen (2018) listar tre situationer där organisationer ska utse ett dataskyddsombud
• Ifall organisationen i sin kärnverksamhet regelbundet, systematiskt och i stor omfattning övervakar enskilda personer.
• Om organisationens kärnverksamhet består i att behandla känsliga personuppgifter eller uppgifter som handlar om brott.
5. EMPIRI
I nedanstående kapitel presenteras en sammanställning av det resultat som framkommit genom nio semistrukturerade intervjuer. Resultaten presenteras med hjälp av tre övergripande teman.
5.1 Skapa förändringsklimat
Samtliga respondenter uppger att GDPR-projektet är ett “compliance” projekt som berör hela organisationen. Respondent 2, 5 och 9 är personer som antingen arbetat med omvärldsbevakning eller sitter i ledningsgrupper och har genom det kommit i kontakt med GDPR. Gemensamt för dessa är att de i tidigt stadie upptäckt och börjat samla information om GDPR och vad det kan komma att innebära för organisationen. Respondenterna nämnde ett tidsintervall mellan ett och ett halvt- till två år från det att första kontakten med GDPR initierades från det datum intervjun genomfördes.
Respondent 1, 3, 6, 7 och 8 nämner att de fått information beträffande GDPR från ledningen inom den organisation de är verksamma i. Skillnaden gentemot respondent 2, 5 och 9 är att dessa respondenter inte innehar positioner på ledningsnivå eller arbetsuppgifter som berör omvärldsbevakning inom organisationen. Tidsintervallet gällande när respondent 1, 3, 6, 7 och 8 fick reda på GDPR-projektet skilde sig från fem månader upp till två år. Respondent 4 avvek från resterande respondenter då personen uppgav att den inte tagit del av information kring ett GDPR-projekt inom organisationen.
Alla respondenter, förutom 4 medgav att de upplevt svårigheter med att förstå och tolka vad GDPR innebär för dem. Det beskrevs som att lagen var för öppen för tolkning och att det saknades stöd från datainspektionen.
Respondenterna beskrev att med hjälp av sin tolkning hade de tagit fram en plan för vad som behövs göras och var organisationen vill vara till den 25 maj. Målsättningen för hur långt respondenterna uppgav att deras organisationer skulle ha varit komna skiljde sig beroende på hur lagen hade tolkats. Respondent 3, 5, 6, 8 och 9 beskrev att de lagt mycket resurser på att tolka lagen och gemensamt för dem är att deras vision var mer detaljerad för vad de ville vara den 25 maj. Resterande respondenter talade om att de inväntade en praxis för GDPR och var inte lika detaljerade i sin vision till den 25 maj. Exempelvis nämnde respondent 1 att “man
börjar ju inte med att dela ut böter” och syftade på att datainspektionen kommer ha överseende
till en början innan lagen fått en praxis.
Samtliga respondenter förutom 2 och 4 beskrev att de arbetat med GDPR i projektform. Respondent 2 uppgav att personen arbetade med GDPR på egen hand i organisationens regi, där stöd från andra enheter fanns att tillgå men inte i en uttalad projektform. Respondent 4 berättade att personen inte var medveten om det fanns någon projektgrupp för GDPR.
Projektgrupperna för arbetet med GDPR utformades med representanter från olika delar av verksamheten. Gemensamt för organisationerna som arbetade i projektform var att grupperna bestod av någon person med inflytande och beslutsmandat. Det fanns dock variationer i det empiriska materialet för hur projektgrupperna organiserades.
Unikt för respondent 8 var att organisationen hade utsett en förändringsledare samt tagit in en kommunikatör i GDPR-projektet. Där kommunikatören enbart arbetade med att ta fram formen på det som skulle kommuniceras till medarbetarna. Medan den utsedde förändringsledaren tittade på vilket innehåll och budskap organisationen kommunicerade ut. Respondent 8 medgav
att detta var två roller som vanligtvis inte fanns med i deras projekt och att kombinationen bidrog med en bra effekt då det blev ett extra stöd för både chefer samt projektgruppen. Respondent 1 uppgav i motsats till respondent 8 att ”Rollen som förändringsledare verkar lysa
med sin frånvaro”.
Respondent 6 beskrev att de arbetat med en central styrgrupp till projektet som bestått av representanter från samtliga av kommunens förvaltningar, där dessa ansvarat för att driva egna projekt i den egna förvaltningen. Respondenten beskrev att projektet påbörjades med att styrgruppen samlades för en gemensam utbildning inom GDPR och efter det diskuterades förutsättningarna för kommunen i förhållande till projektet.
Gemensamt för alla respondenter var att media haft en stor inverkan på medvetenheten kring GDPR. Respondent 5 och 8 nämner specifikt att medarbetare uppmärksammat GDPR genom media och ifrågasatt om organisationen arbetar aktivt med förändringen. Övriga respondenter påstod att de personligen kommit i kontakt med GDPR bland annat genom media.
5.2 Engagera hela organisationen
Samtliga respondenter förutom respondent 4 har varit engagerade eller märkt av ett aktivt arbete med att kommunicera ut information angående GDPR till sina medarbetare. Sättet som detta har gjorts på har dock skiljt sig åt. Respondent 2, 5, 6 och 7 nämnde att respektives intranät används som plattform för att tillhandahålla information och organisationens plan för GDPR. Respondent 1 och 6 har även använt sig av flera kontaktpersoner som har haft ansvar för kommunikationen till deras medarbetare. Ett liknande tillvägagångssätt beskrev respondent 3 som nämnde att de använde sig av informationsträffar för samtliga medarbetare som intensifieras ju närmare 25 maj organisationen kommit.
Respondent 8 som hade avsatt en förändringsledare och kommunikatör för projektet nämnde även att organisationen kunnat motverka motstånd till förändringen genom att ledningen arbetat energiskt med att kommunicera ut sitt budskap om varför projektet var viktigt. I tillägg nämnde även respondent 8 att förändringsledaren tillsammans med kommunikatören och projektgruppen var noga med att ta fram samt kommunicera specifik information som den enskilde medarbetaren berördes av. Respondent 9 talade om att organisationen delvis gick ut med en vision för GDPR-projektet för att engagera samtliga medarbetare. Vidare påpekade respondent 9 att organisationen hade en fördel av sin branschtillhörighet eftersom att frågor gällande personuppgifter tillhörde de vardagliga arbetet.
Alla respondenter, förutom respondent 4, berättade att organisationerna arbetat med utbildning av medarbetarna men på en del olika sätt. Respondent 5 uppgav att projektet höll på att ta fram en e-learning utbildning, vilken inte var färdig vid intervjutillfället. Målsättningen var att öka medvetenheten för samtliga anställda. E-learning utbildning var ett genomgående tema för majoriteten av organisationerna. Respondent 2, 3, 5, 6, och 7 sade alla att de tagit fram e-learning utbildningar för att säkerställa att önskad kompetens uppnås. Fördelen med en digital lösning var att deltagandet gick att följa upp. Respondent 8 nämnde att vid sista Mars hade 95 % av medarbetarna genomfört deras digitala GDPR-utbildning, vilket respondenten ansåg som
Genomgående för samtliga respondenter, förutom 4, var att utbildningarna varit obligatoriska att genomföra, oavsett dess utbildningsplattform.
En naturlig del av GDPR-projektet handlar om att genomföra en inventering över organisationernas hantering av personuppgifter. Alla respondenter förutom respondent 4 beskrev att de arbetat med inventering. Det varierade i hur långt de olika organisationerna kommit i deras inventeringsarbete. Samtliga respondenter förutom respondent 4 beskrev att inventeringsarbete påbörjats med att se över vilka personuppgifter det är som organisationen behandlar och till vilket ändamål de används. Respondent 2 och 9 uppgav att skillnaden från tidigare lagstiftning är att organisationerna nu lånar personuppgifter istället för att äga dem. Detta ställde högre krav på att se över om det är nödvändigt att lagra en personuppgift eller inte. Respondent 9 menade att GDPR bidrog till att organisationen skulle anonymisera personuppgifter i så stor utsträckning som möjligt.
Respondent 2, 3, 6, 8 och 9 nämnde att de är färdiga med att inventera och se över system samt register där organisationerna lagrar personuppgifter. Dessa respondenter påvisar de sett över vart de lagrar och behandlar personuppgifter. Vidare beskrev respondent 2, 3, 6, 8, och 9 att det återstod arbete med att gallra personuppgifter. De organisationer som är myndigheter har en annan rättslig grund till hantering av personuppgifter vilket även respondent 1, 2, 6 och 7 nämner. Därför har deras inventeringsarbete skiljt sig eftersom de inte behöver rensa ut data i lika stor utsträckning.
Organisationerna medgav även att det behövde få bättre kontroll över sin ostrukturerade data i form av bland annat mailkonversationer, anteckningar eller andra textdokument. Respondent 5 berättade att deras projektgrupp försökt kartlägga den ostrukturerade data så långt det går inom organisationen, men bekymrade sig även över att den personliga integriteten kunde bli påverkad om organisationen tolkade inventeringen av ostrukturerad data till punkt och pricka. Respondenten menade att det organisationen skulle behöva göra en avvägning av vad som vägde tyngst, den personliga integriteten eller att efterfölja GDPR. Övriga respondenter, förutom respondent 4, menade att det kunde uppfylla kraven för ostrukturerad data genom att sätta upp nya riktlinjer för hur dess respektive medarbetare får använda sin mail eller var det får spara känslig information. Respondent 8 nämnde dock att åtgärderna för ostrukturerad data inte skulle adresseras innan den 25 maj utan istället inväntades en praxis. Respondenten menade på att det viktiga var att de hade en plan för att visa på att det arbetades aktivt med diverse åtgärder även om allt inte är färdigt.
Utöver arbetet med att inventera persondata har ett antal av de tillfrågade respondenterna även arbetat med att rensa bort andra hinder för att möjliggöra att organisationerna är redo för GDPR, när lagen väl börjar gälla. Respondent 1 nämner exempelvis att de tänkt byta ärendehanteringssystem för att underlätta rapporteringen av dataintrång, som lagen kräver ska ske inom 72 timmar. Även respondent 2 och 7 beskrev att organisationerna sedan tidigare hade ett system som hanterat incidentrapportering, detta höll de på att anpassa för att hantera dataintrång i linje med GDPR. Vidare förklarar respondent 6 problematiken med kraven på ostrukturerad data. Med det syftade personen på att lagen inte är skriven av tekniker och att juridiken inte är i samspel med tekniken. Vilket innebar att det kommer krävas manuell handpåläggning eftersom det vid intervjutillfället inte fanns något tekniskt verktyg för att möta kraven på ostrukturerad data.
Respondent 2 nämnde att de tidigare haft problem med att medarbetare använder verktyg, i form av informationssystem, som inte är godkända från organisationens sida. För att motverka detta har det tagits fram policys och riktlinjer för vilka system och verktyg som är godkända att använda.
Respondent 3, 5, 6, 7, 8 och 9 beskrev samtliga att de arbetat med tydliga delmål i projekten. Delmål kopplade till inventeringsprocessen visade sig utmärkande då dessa respondenter menade att det var ett omfattande arbete. Respondent 6 nämnde specifikt att de arbetade med delmål i form av att de konkretiserade vad som skulle åstadkommas mellan återkommande projektmöten var femte till sjätte vecka. Respondent 2 och andra sidan pratade inte om några delmål alls. Respondent 1 beskrev att organisationen ville “ Äta hela kakan på en gång”, vilket innebar att det inte fanns några uttalade delmål inom projektet.
Samtliga tillfrågade respondenter nämner att det funnits varierande reaktioner på arbetet med GDPR. Inom alla organisationer har det funnits personer som ansett GDPR skapar oro och ovisshet om hur det kommer påverka deras vardagliga arbete. Det har även funnits reaktioner där medarbetare ansett att de varit jobbigt att behöva anpassa sitt arbete till lagen eftersom det inneburit merarbete. Respondent 6 nämner uttryckligen att de arbetat med att skapa en förståelse kring att förändringen är nödvändig för att bibehålla förtroende och agera tryggt gentemot kommuninvånarna. En del respondenter nämner även att de mött positiva reaktioner inom respektive organisation. Respondent 2 berättade om en intern enhet som var positivt inställda till GDPR eftersom de underlättade deras arbete när organisationen fick bättre kontroll över sina gallringsrutiner.
5.3 Implementera och bibehåll förändring
Hur de olika organisationerna valt att fortsätta med den eventuella projektgruppen som skapats i samband med GDPR skiljer sig något. Endast respondent 5 har bestämt hur arbetet med GDPR ska fortlöpa, där respondenten nämnde att en organisering med ansvar för GDPR-relaterade arbetsuppgifter ska tillsättas. Dessutom diskuterade respondent 7 och 8 kring behovet av en organisering för att fortsätta GDPR-arbete, men det var inget som var bestämt vid intervjutillfällena. Respondent 6 vision var att arbetet med kontaktpersoner inom varje förvaltning skulle fortsätta, där de hade en önskan om att kontaktpersonerna skulle döpas om till GDPR-samordnare. Deras funktion skulle vara att hantera personuppgiftsincidenter som sker inom den egna förvaltningen för att sedan förmedla dessa till dataskyddsombudet, DPO. Respondent 1, 2 och 9 beskrev hur de valt att splittra den tillsatta projektgruppen efter den 25 maj. Istället har dessa organisationer fördelat ut ansvaret för GDPR-frågor till befintlig verksamhet. Gemensamt var att samtliga respondenter, förutom 4, var eniga om att det krävdes ett fortsatt arbete efter den 25 maj för att säkerställa att organisationen levde upp till de krav som GDPR ställer.
Respondent 7 påpekade att organisationen inte skulle vara klara med projektet till den 25 maj och var tvungna att fortsätta arbetet. Respondenten beskrev att det saknades uppmärksamhet från ledningen till en början vilket ledde till en dålig planering och att GDPR-projektet startade
systemlösningar för att klara av vardagen, vilket respondent 1 anförde inte kommer vara möjligt med dem krav som GDPR-ställer på hantering av ostrukturerad data.
För samtliga respondenter som berättat att de tänkt genomföra någon form av utbildning kopplat till GDPR krävs att organisationen kan säkerställa att medarbetare medverkan. Respondent 2 påpekade uttryckligen att det fanns en utmaning med att få samtliga medarbetare till att genomföra utbildningen, på grund av ovilja samt tidsbrist.
Respondent 3 som ansågs arbeta i enlighet med GDPR sedan nio månader tillbaka hade redan genomfört ett antal uppföljningsmöten som syftade till utvärdera projektet och dess fortskridande. Ett liknande tankesätt beskrev respondent 5 som skulle genomföra utvärdering samt uppföljning av projektet efter den 25 maj.
6. ANALYS
I nedanstående kapitel analyseras resultatet från de empiriska undersökningarna med hjälp av presenterade analysmodellen bestående av den valda teoretiska referensramen.
6.1 Omvärld
Pettigrew m.fl. (2001) nämner att förändring kan initieras från yttre eller inre kontext, i grunden handlar GDPR om en anpassning till ett politiskt beslut som organisation 2, 5 och 9 upptäckt genom omvärldsbevakning av lagstiftning och politiska beslut. Å andra sidan beskrev representanter från organisation 1, 3, 6, 7, 8 att de fått reda på förändringen internt, vilket kan ses som en inre kontext. Det empiriska materialet visade även på skillnader i när organisationerna hade uppmärksammat GDPR, framstående var att respondent 3 påbörjat sitt GDPR-arbete redan 2012 då förslaget togs upp för första gången. En möjlig orsak till att den tidiga starten kan vara organisationens branschtillhörighet, bank och finans i privat sektor. Detta eftersom branschen påverkas av politiska beslut i stor utsträckning. Det häranleds således att organisationen som respondent 3 tillhör är van vid att studera makrofaktorer vilket Fahey och Narayanan (1989) benämner som komponenter i PEST-analys. Organisation 3 skiljer sig mot de andra organisationerna gällande vad Wahlström (2015) beskriver som Corporate foresight. Detta eftersom de innehar en central arbetsgrupp som arbetar med att studera omvärldsfaktorer och dess påverkan på organisationen.
6.2 Skapa förändringsklimat
Resultatet påvisar att samtliga organisationer förutom organisation 4 är medvetna om GDPR och att det finns ett behov av förändring för att anpassa sig till den nya lagen. Vilket stämmer överens med Van de Ven (1995) och Jacobsen (2013) som nämner att det krävs förändringsarbete för att ta sig från det nuvarande tillståndet till ett önskat framtida tillstånd. Det första steget i Kotters (1996) åttastegsmodell innebär att organisationer behöver göra en förändring angelägen, vilket samtliga organisationer förutom organisation 4 gjort genom att ett GDPR-projekt har initierats från ledningsnivå, då det upptäckts ett gap inom organisationerna där kraven som GDPR ställer inte uppfylls. Luecke (2003) menar att det första steget i en förändringsprocess är att identifiera ett affärsproblem, något som alla organisationer förutom 4, menade att GDPR kunde bli om organisationen inte efterföljde lagen. Särskilt med tanke på de hårda sanktionsavgifterna som kan uppstå ifall en organisation brister i arbetet med GDPR. Vidare beskrev representanten för organisation 6 att organisationen har ett stort ansvar gentemot sina kommuninvånare och har på så sätt kunnat använda GDPR för att trycka på diverse förändringar som behövs utföras för att GDPR inte ska bli ett affärsproblem.
Sju av nio organisationer arbetade i projektform där projektmedlemmarna haft positioner med inflytande på organisationen, detta menar Kanter (2003) är en avgörande faktor för ett lyckat förändringsprojekt. Kotter (1996) anför även att medlemmarna ska inneha en bred kompetensprofil och komma från olika avdelningar, vilket inte stämmer överens med resultatet från samtliga organisationer. Detta uppmärksammades framförallt hos organisation 2 där representanten bedrev GDPR-projektet på egen hand vilket inte möjliggjorde en bred
