1
”Vi väntar på praxis” –
Hur en meningsskapandeprocess av GDPR
har gått till
Kandidatuppsats 15 hp
Företagsekonomiska institutionen
Uppsala universitet
VT 2018
Datum för inlämning: 2018-06-01
Elvira Synnelius
Helena Winge
2
Förord
Denna rapport är vårt examensarbete inom Företagsekonomi med inriktning Management vid Uppsala Universitet. Examensarbetet är skrivet av Helena Winge och Elvira Synnelius vårterminen 2018 och omfattar 15 högskolepoäng.
Tack till
Vi vill rikta ett tack till vår handledare Leon Caesarius vid Uppsala Universitet, för det stödet och de nya perspektiven han har gett oss under arbetets gång. Vi vill också rikta ett stort tack till M360som låtit oss genomföra denna fallstudie hos deras företag.
Slutligen vill vi tacka våra opponenter Sara Ellingfors och Ulrika Thorin för deras konstruktiva kritik vid opponeringen på vårt arbete.
Sammanfattning
Den allmänna dataskyddsförordningen (GDPR) som börjar gälla 25 maj 2018 ställer skärpta krav på hur företag hanterar personuppgifter. Dessa krav är dock till stor del otydliga hur de ska uppnås praktiskt. Genom att med kvalitativa intervjuer studera hur ett småföretag har arbetat med att skapa förståelse för GDPR kan några av de strategier företag använder sig av när de står inför legislativa utmaningar kartläggas. Med utgångspunkt i Weicks sensemaking-teori och de sju aspekterna av meningsskapande har företagets narrativ kring GDPR analyserats. Resultatet visar på att svårigheterna med att tolka lagstiftningen bidrar till en konflikt mellan att vilja följa lagen exakt och att praktiskt kunna genomföra detta när det inte finns en definit tolkning att tillgå innan praxis har skapats på området.
Nyckelord
3
Innehållsförteckning
Förord ... 2 Tack till ... 2 Sammanfattning ... 2 Nyckelord ... 2 1.Inledning ... 5 1.1 Bakgrund... 5 1.2 Problemformulering ... 6 1.3 Syfte ... 7 1.4 Avgränsningar ... 7 1.5 Precisering av frågeställning ... 7 1.6 Rapportöversikt ... 7 2. Teoretisk referensram ... 8 2.1 Meningsskapande ... 8 2.2 Aspekter av meningsskapande... 9 2.2 Identitet... 9 2.1 Retrospektion ... 10 2.2 Agerande ... 10 2.2.4 Social aktivitet ... 11 2.2.5 Pågående process ... 11 2.2.6 Signaler... 122.2.7 Rimlighet över precision ... 12
2.3 Narrativ som analysmodell... 13
2.5 Kritik mot meningsskapande ... 14
4 4.2 Implementeringen av GDPR ... 21 5. Analys ... 24 5.1.1 Identitet ... 24 5.1.2 Retrospektion... 25 5.1.3 Agerande ... 25 5.1.4 Social aktivitet ... 26 5.1.5 Pågående process ... 26 5.1.6 Signaler... 28
5.1.7 Rimlighet över precision ... 28
5.1.8 Narrativt meningsskapande utifrån de olika aspekterna ... 29
5
1.Inledning
1.1 Bakgrund
14 april 2016 beslutade Europaparlamentet om att den allmänna dataskyddsförordningen skulle införas (Europaparlamentet 2018). Syftet var att skapa en enhetlig lagstiftning kring dataskydd inom unionen samt stärka skyddet för medborgarnas personuppgifter (Datainspektionen 2017a). Förordningen påverkar alla organisationer som på något sätt behandlar personuppgifter som kan kopplas till en specifik fysisk person, exempelvis genom att ha kund- eller personalregister som innehåller personnummer, e-postadresser, bilder eller liknande information (Datainspektionen 2017b). Även företag utanför EU kan påverkas av de nya reglerna om de behandlar personuppgifter tillhörande en individ som är bosatt i ett EU-land (Artikel 3.2).
Den allmänna dataskyddsförordningen – ofta kallad GDPR (General Data Protection Regulation) – ersätter i Sverige Personuppgiftslagen (PuL) från 1998, samt EU:s dataskyddsdirektiv från 1995 (Jonasson 2018). De största förändringarna för svenska företag är:
Företagen måste göra en konsekvensbedömning innan de behandlar personuppgifter som kan medföra risker för de registrerade;
De registrerade har rätt att begära ut registerinformation för att kunna föra över till en annan organisation ifall personuppgiftsbehandlingen sker med stöd av avtal eller samtycke (Datainspektionen 2017b);
”Missbruksregeln” i PuL, som innebär förenklade regler vid ostrukturerade data, försvinner (Datainspektionen 2018a).
GDPR ställer även högre krav på rapportering och organisationers struktur; om en säkerhetsincident inträffar måste organisationen rapportera detta till Datainspektionen inom 78 timmar (Datainspektionen 2017b). Alla företag behöver ha en dataskyddschef som ansvarar för att företaget hanterar personuppgifter korrekt (SRF 2018), och de som hanterar personuppgifter på uppdrag från andra företag, det vill säga personuppgiftsbiträden, har i och med GDPR fått ett utökat ansvar med skärpta krav på bland annat vad själva personuppgiftsbiträdesavtalet ska innehålla och hur de ska behandla personuppgifterna genom att föra register över vilka personuppgifter de lagrar för varje klient (Datainspektionen 2018a).
6 förordningens regler (Datainspektionen 2017b). Vid grova överträdelser kan denna avgift uppgå till 20 miljoner euro, eller 4 % av den årliga omsättningen (Datainspektionen 2018b).
1.2 Problemformulering
Ett stort problem i arbetet med att förbereda sig för GDPR är att det finns en del tvetydigheter i hur den bör tolkas, även om mycket är klarlagt. Enligt Jan Philipp Albrecht, en av EU-parlamentarikerna som arbetat för att GDPR ska instiftas, kommer GDPR att skapa ”större klarhet för företagen genom att samma regler kommer gälla i hela EU” (Europaparlamentet 2016). Detta är dock en sanning med modifikation; upp till 70 klausuler i förordningen öppnar upp för nationell lagstiftning som till viss mån avviker från förordningen (Holtz 2018). Enligt några klausuler måste länderna stifta nationell lagstiftning (Holtz 2018). Av alla EU-länder var det i januari 2018 enbart Tyskland och Österrike som anpassat sin lagstiftning efter GDPR (Malmqvist 2018). Därmed går det inte att vara helt säker på hur GDPR kommer att tolkas i Sverige innan reglerna väl träder i kraft. Vidare är själva lagtexten otydlig. Vaga begrepp såsom “allmänt intresse”, “berättigade intressen”, och “oproportionell ansträngning” etc. används, vilket gör att det blir närmast omöjligt för organisationer att på förhand veta vad som förväntas av dem (Holtz 2018).
Enligt en undersökning som företaget Citrix gjorde ett halvår innan dataskyddsförordningen börjar gälla var många svenska företag oförberedda på GDPR (Citrix 2017). 9 av 10 av de tillfrågade företagen uppgav att de största svårigheterna var att etablera ett system som efterlever bestämmelserna, och lika många ansåg att den största utmaningen var att identifiera all kunddata som de innehar (Citrix 2017). På Dataskyddsinspektionen har de haft ett särskilt projekt riktat mot just små och medelstora företag för att informera om de förändringar som den allmänna dataskyddsförordningen innebär (Lindsröm 2018). Trots det hade mindre än hälften av småföretagen satt sig in i vad GDPR innebär två månader innan förordningen träder ikraft, och endast var åttonde hade vidtagit några konkreta åtgärder för att följa GDPR (Stier 2018). Småbolag med mindre än tio anställda utgör närmare 97 % av svenska företag (Persson 2018).
7 av denna meningsskapandeprocess – själva förståelsen – tar sig uttryck i det narrativ som skapats kring situationen (Abolafia 2010).
1.3 Syfte
Syftet med denna studie är att undersöka hur ett svenskt småbolag har arbetat med att skapa förståelse för vad den nya dataskyddsförordningen innebär. Målet är att illustrera hur meningsskapandeprocessen kan gå till när företag står inför nya legislativa utmaningar.
1.4 Avgränsningar
Vi har valt att undersöka M360, ett redovisningsföretag med sju anställda inom, eftersom de i sin roll som konsulter hanterar stora mängder persondata för deras kunders räkning, såsom data kring kunder, personal, och ägare. Redovisningsbranschen valdes dels för att det är en bransch som ofta påverkas av nya lagar och regelverk, vilket kan innebära en intressant jämförelse mellan den allmänna dataskyddsförordningen och tidigare lagstiftning. Som konsultbolag är företaget inte bara personuppgiftsansvarig för sin egen personal och de privatpersoner som är kunder, utan även personuppgiftsbiträde till deras kunder. Då ansvaret för personuppgiftsbiträden skärpts anser vi att det vore intressant att även få med det perspektivet. Vi kommer därför att avgränsa oss till detta enskilda företag och inte behandla övriga företag och branscher, även om dessa också kommer att påverkas av införandet av GDPR.
1.5 Precisering av frågeställning
Hur har M360 arbetat med att ta in kunskap och skapa förståelse för vad GDPR innebär?
1.6 Rapportöversikt
8
2. Teoretisk referensram
2.1 Meningsskapande
Meningsskapande (sensemaking) introducerades inom fältet för organisationsstudier av Karl E. Weick under 70-talet med syfte att ge ett annat fokus än de traditionella teorierna inom beslutsfattande (Weick 1993). Enligt Weick (1979) är själva kärnan i organisering att skapa mening åt händelser och handling. Meningsskapande beskriver hur individer skapar mening i en viss situation genom de processer av tolkning samt skapande av mening som sker när individer tolkar och reflekterar över olika fenomen (Weick 1995). Detta kan även beskrivas som att försöka placera stimuli inom ett fast ramverk för att lättare förstå, tolka och förutspå dessa (Weick 1995). Meningsskapande kan också förklaras som en cykel där individen skapar medvetna och omedvetna tolkningar och antaganden vilket bildar en förutsägelse om en framtida situation (Weick 1995). När individen senare upplever denna situation kan denna dock skilja sig från hur individen förutspådde den (Weick 1995).
När situationen inte blir som individen tänkt sig skapas ett behov av förklaring och förståelse (Weick 1995). Meningsskapande processer sker därför ofta i situationer som är förvirrande, osäkra, eller tvetydiga (Weick 1995). För att skapa ordning i detta försöker individer svara på frågan: Hur ser berättelsen för detta ut? (Weick, Sutcliffe & Obstfeld 2005). Flödet av verksamhet rubbas, och för att skapa förståelse för detta försöker folk hitta förklaringar som tillåter dem återgå till tidigare agerande (Weick, Sutcliffe & Obstfeld 2005). Om det är svårt att återuppta tidigare handlande kommer meningsskapandet att riktas antingen mot att hitta ett alternativt agerande, eller mot att vidare diskutera och utreda situationen (Weick, Sutcliffe & Obstfeld 2005). Vilket av dem det blir beror på om det föreligger oklarhet eller osäkerhet. Det vill säga, består svårigheterna i tolkningen på att det finns för många alternativ att tillgå, eller på att det finns bristande information? (Weick 1995)
Meningsskapande sker alltid på individnivå (Thurlow & Helms Mills 2009). Den mening och förståelse som individen skapat kommer till uttryck i ett narrativ – en berättelse om verkligheten utifrån hur individen förstår den (Abolafia 2010). Det organisatoriska meningsskapandet uppstår i samspelet mellan de individer organisationen utgörs av (Fiol 1994). På en organisationsnivå blir meningsskapandet det kollektiva narrativ kring verkligheten som skapas inom organisationen (Abolafia 2010).
9 Verkligheten är för komplex och mångtydig för att det går att ha en total överblick av en situation; i stället skapar människor en praktisk verklighet som går att förhålla sig till (Brown, Colville & Pye 2014). Skapandet av narrativet är en social process där individernas separata bilder av situationen genom diskussion och sammanställs till en gemensam berättelse av verkligheten, vilket sker genom pågående konversationer och involverar kognitiv dissonans, konflikt och förhandling (Abolafia 2010). Det är först när tankarna kring situationen uttrycks som det går att skapa en ordning och förståelse kring vad som försiggår (Weick 1995). När narrativet sammanställs värderar de inblandade personerna de olika aspekter som det är uppbyggd av, och genom detta skapas det en mening i narrativet (Abolafia 2010).
2.2 Aspekter av meningsskapande
Meningsskapande är ett brett begrepp som involverar både individens kognition, social interaktion, och diskurs (Brown, Colville & Pye 2014). För att täcka in den komplexa process som meningsskapande innebär kan det delas in i sju olika aspekter (Weick 1995).
2.2 Identitet
En av meningsskapandets främsta syfte är individens etablerande och upprätthållande av identitet (Thurlow & Helms Mills 2009). Hur individen ser på sin omgivning utgår till stor del från hur denne ser på sig själv (Weick 1995). På en organisatorisk nivå handlar identitet om hur individerna inom en organisation ser på organisationen och dess mening (Salzer 1994). Från ett meningsskapandeperspektiv formas vår världsbild utifrån vår identitet (Weick, Sutcliffe & Obstfeld 2005). Samtidigt formas identiteten av att den speglas i omgivningens syn på en (Hatch & Schultz 2002). Detta identitetsskapande är en cyklisk process – identiteten påverkar världsbilden, vilket påverkar agerande, vilket i sin tur påverkar hur omgivningen ser på organisationen, vilket speglas tillbaka och antingen stärker eller rubbar identiteten (Weick, Sutcliffe & Obstfeld 2005; Hatch & Schultz 2002). Skapandet av en organisationsidentitet är därmed något som sker genom interaktion med andra aktörer och påverkas även av grupper som inte ingår i samma formella organisation (Sevón 1996).
10 i omvärlden uppstår (Gioia, Schultz & Corley 2000). Medan det individuella identitetssökandet är inriktat på stabilitet är organisationens identitet präglat av instabilitet och anpassningsförmåga (Gioia, Schultz & Corley 2000). Detta är något som exempelvis kan ses vid positioneringsarbete (Davies & Harré 1990).
2.1 Retrospektion
Meningsskapandets kanske mest särskiljande karaktärsdrag är fokuset på retrospektion (Weick 1995). Det går inte att tolka situationen i nuet, utan endast genom att se tillbaka till hur situationen var tidigare går det att skapa mening (Weick, Sutcliffe & Obstfeld 2005). De tidigare händelser som har skapats som betydelsefulla för individen kommer att bidra till att forma förståelsen för framtida händelser (Thurlow & Helms Mills 2009). Genom att dra paralleller till tidigare fenomen och tidigare agerande kan mening skapas av den situation individen befinner sig i, vilket kommer att influera hur denne hanterar den nya situationen (Weick 1995).
När det går att beskriva en situation – exempelvis som ett misstag, ett misslyckande, eller en möjlighet – befinner sig processen av meningsskapande i ett moget stadium; det är först när en händelse har skett som det går att sätta en etikett på den (Weick, Sutcliffe & Obstfeld 2005). En del av retrospektionen kan ses som ett uttryck för att det är lätt att vara efterklok; det som pågår i nuet och den kunskap individen har fått sedan händelsen kommer att påverka hur hen minns det som skedde tidigare, och då även påverka hur hen skapar mening kopplat till minnena (Weick, Sutcliffe & Obstfeld 2005; Weick 1995). Genom retrospektion skapas kontrast mellan då och nu, och det är först när uppmärksamheten riktas åt denna kontrast som de förändrade förhållandena uppstår och förståelse av den kan skapas (Weick, Sutcliffe & Obstfeld 2005).
2.2 Agerande
11 Meningsskapande agerande är ofta i form av konversationer, skrivande, och berättande (Weick, Sutcliffe & Obstfeld 2005). Genom att i ord uttrycka abstrakta tankar och idéer skapas en mer konkret bild av situationen (Thurlow & Helms Mills 2009). Skapandet av narrativet hjälper individen att organisera sina erfarenheter, samt förenklar och gör verkligheten mindre komplex (Abolafia 2010).
2.2.4 Social aktivitet
Genom interaktion kan människor reda ut mångtydigheterna i en given situation och gemensamt forma en mening (Weick 1995). Både mer intensiv interaktion, som möten och långa diskussioner, och flyktig interaktion, som korta kommentarer i förbigående, kan influera den blid som individen skapar (Weick, Sutcliffe & Obstfeld 2005). Individer som har en regelbunden och upprepad social interaktion kommer att skapa en gemensam bild av situationen genom att interaktionerna bekräftas upprepade gånger inom gruppen (Andersson 2010). Fiol (1994) menar att människor kan dela ett gemensamt ramverk av mening, men ofta har skilda meningsbilder om innehållet av ramverket. Detta gör det möjligt för en grupp att i sitt meningsskapande vara ense och oense på samma gång (Fiol 1994). Meningar kan också ändras genom att det alltid finns individer som ifrågasätter organisationens nuvarande synsätt (Gray, Donnellon & Bougon 1985). Detta ökar inom organisationer där olika professioner möts och arbetar tillsammans, då de olika yrkesgrupperna ofta skiljer sig från varandra i kultur och meningsbild (Gray, Donnellon & Bougon 1985).
2.2.5 Pågående process
Meningsskapande har ingen början på samma sätt som det inte har något slut (Weick 1995). Istället är det en pågående process (Weick 1995). Genom en spiral av agerande och återkoppling skapar individen en förståelse för sin omgivning (Weick 1995). Under processens gång utvecklas nya, bättre, berättelser om sanningen, men som aldrig kan vara en objektiv sanning (Weick, Sutcliffe & Obstfeld 2005). Människor befinner sig i ett konstant flöde av situationer, som bara kan förstås i efterhand (Weick 1995). I detta flöde snappar individen upp olika signaler som influerar den bild som skapas och utvecklar den tidigare förståelsen av omgivningen (Chia 2000 se Weick, Sutcliffe & Obstfeld 2005). Om flödet rubbas är det en stark signal på att en viktig förändring har skett i omgivningen (Weick 1995).
12 Positiva känslor uppkommer vanligast genom ett oväntat borttagande av ett negativt eller störande stimuli, som att exempelvis en dålig chef förflyttas, eller genom att en negativ bild av framtiden ändras och situationen får bättre utgång än förväntat (Weick 1995). Dessa ändrade känslor kan då påverka hur individen ser tillbaka på situationen (Weick, Sutcliffe & Obstfeld 2005).
2.2.6 Signaler
Individer skapar mening i en situation genom att observera små signaler i sin omgivning vilka sedan länkas ihop till en större helhet (Weick 1995). Dessa signaler kan vara både helt externa, och en respons på de signaler individen har skickat ut (Weick, Sutcliffe & Obstfeld 2005). Det är inte alla signaler som individer reagerar på, utan de väljer ut specifika signaler som de sedan reagerar på (Weick 1995; Thurlow & Helms Mills 2009). Både vilka signaler som väljs ut och hur de signalerna tolkas är beroende av kontexten (Weick 1995). Om dessa signaler är samstämmiga med organisationens agerande kan dessa stärka förändringsprocessen (Weick 1995). På samma sätt kan förändringsprocessen tappa stöd om det saknas samstämmighet med signalerna, eller om någon viktig signal saknas i omgivningen (Thurlow & Helms Mills 2009). De signaler som väljs ut är dock ofta de som stärker individens världsbild; omgivningen tolkas utifrån en förutfattad bild, snarare än att förståelse skapas genom att analysera omgivningen (Weick 1995).
2.2.7 Rimlighet över precision
Världen kan aldrig uppfattas med precision eftersom den ständigt förändras och bygger på människors olika uppfattningar; därav drivs meningsskapande snarare av sannolikhet, sammanhängande och rimlighet än av precision (Weick 1995). Meningsskapande handlar inte om en objektiv sanning, utan är snarare ett kontinuerligt omskrivande av en berättelse som innefattar mer fakta, blir mer sammanhängande, om mer motståndskraftig mot kritik (Weick, Sutcliffe & Obstfeld 2005). För att handskas med tvetydigheter försöker individer att förstå situationen, men nöjer sig med en rimlig tolkning och går vidare i stället för att stanna upp och söka efter en exakthet som är ouppnåelig (Weick, Sutcliffe & Obstfeld 2005). Denna rimlighet innebär i princip att en specifik mening utav flera möjliga är mer betydande än andra för individen (Thurlow & Helms Mills 2009). Vad som är rimligt för en grupp, som ledningsgruppen, kan vara orimligt för en annan grupp, exempelvis de underordnade, vilket kan leda till en splittrad bild av situationen inom en organisation (Weick, Sutcliffe & Obstfeld 2005).
13 fördelaktiga om dessa uppmanar ledaren att bryta mönster för att arbeta snabbare samt nå mål som kan verka onåbara från en objektiv synvinkel (Weick 1995). Eftersom ledaren då inte ser omgivningen korrekt kan detta leda till att hen leder organisationen mot nya utmaningar med den entusiasm, självförtroende och prestation som krävs för att faktiskt lyckas (Weick 1995). Detta är ett exempel på varför en exakt bild av verkligheten kan vara mindre viktig, då en mer felaktig bild kan leda till att bringa mer ordning och skapa handling (Weick, Sutcliffe & Obsfeld 2005).
Det är inte fullt klarlagt vad som gör en specifik tolkning rimlig (Thurlow & Helms Mills 2009). Möjliga anledningar är: det finns inget bättre alternativ, andra föredrar denna tolkning, andra individer eller organisationer har gjort samma tolkning, eller att denna tolkningen bäst stämmer överens med tidigare uppfattningar (Weick 1995). En studie om förändring av organisationskultur fann även att narrativ tenderar att ses som rimliga när de kongruerar med en pågående uppfattning av det samtida klimatet, är samstämmiga med annan data, underlättar pågående projekt, minskar tvetydigheten, eller att de bidrar med en aura av korrekthet, exempelvis genom att komma från en auktoritär källa (Mills 2003, se Weick, Sutcliffe & Obstfeld 2005 s 415).
2.3 Narrativ som analysmodell
Narrativ kan ses som en analytisk konstruktion där olika händelser sammanfogas till en sammanhängande berättelse (Thurlow & Helms Mills 2009), vilket också är den synvinkel vi utgår ifrån i denna uppsats. Genom att studera narrativet går det att komma åt de underliggande meningsskapande processerna (Abolafia 2010). Narrativet är nyckeln till den förståelse som organisationen och de individer den utgörs av har, då det är först då individer berättar hur den ser på en situation som meningen skapas (Weick, Sutcliffe & Obstfeld 2005).
14 Figur 2.1 Aspekterna av meningsskapande i förhållande till narrativ
De sju aspekterna av meningsskapande påverkar inte enbart narrativet utan även varandra och i samspelet mellan dem växer en klarare bild av förståelse fram (Thurlow & Helms Mills 2009). Narrativet är inte bara en struktur för verklighetsuppfattningen utan även ett agerande (Abolafia 2010). I dessa fall blir narrativet berättelsen om situationen, och genom skapandet av berättelsen bestäms det vilken av möjliga tolkningar som ska ses som sanning (Abolafia 2010; Brown 2005). Denna uppfattade sanning kommer således att influera hur organisationen förhåller sig till situationen och påverka deras agerande (Thurlow & Helms Mills 2009).
2.5 Kritik mot meningsskapande
15 reda på hur denne ska hantera framtiden, medan exempelvis Stein (2004) menar att detta även kan ses som ett sätt för individer att hantera känslor präglade utav rädsla och ångest.
16
3. Metod
3.1 Design
Då vårt fokus ligger på att se hur en subjektiv uppfattning om ett nytt fenomen – det nya dataskyddsdirektivet – har skapats, har vi valt en kvalitativ forskningsmetod. Kvalitativ studie lämpar sig väl när syftet är utforskande, och då lite tidigare forskning finns på området (Bryman & Bell 2015).
För att ta reda på hur en organisation har skapat förståelse för GDPR har vi genomfört en fallstudie på ett utvalt företag. En fallstudie innebär att studien görs inom ett smalt och avgränsat område, i detta fall inom en organisation, och möjliggör att studera den interna miljön inom valt område (Bryman 2011). Medan kvantitativ forskning ofta fokuserar på ett slumpmässigt urval för att göra studierna så pass generaliserbara som möjligt, lägger fallstudier stor vikt vid att skapa stark reliabilitet till det studerade fallet (Bryman 2011).
Som insamlingsmetod valde vi att genomföra semistrukturerade intervjuer. Ofta används ostrukturerade intervjuer vid fallstudier, för att kunna göra en detaljerad och intensiv granskning av ett fall (Bryman 2011). I ostrukturerade intervjuer formuleras inga färdiga frågor, utan forskaren utgår ifrån ett antal teman som respondenten får associera fritt kring (Bryman 2011). Vi valde dock att inte använda ostrukturerade intervjuer, då vi ville få fram mer specifikt om hur respondenten upplevde fenomenet vid olika tidpunkter, och för att säkerställa att svaren har relevans till teorin. Semistrukturerade intervjuer utgår ifrån en lista av mer specifika frågor kring vilka ämnen som ska beröras, men som ändå låter respondenten svara fritt (Bryman & Bell 2015). Detta format möjliggör fortfarande att oplanerade följdfrågor ställs när respondenten säger något intressant att utforska närmre, men säkerställer att alla de olika respondenterna över lag får samma frågor att svara på (Bryman & Bell 2015).
3.2 Operationalisering
17 format studien, och vi har varit noggranna med att företaget vi undersöker är av relevans för vår studie.
För att undersöka hur M360 har skapat förståelse för vad dataskyddsförordningen innebär intervjuade vi fyra av de sju som arbetar på företaget (se tabell 3.1). Totalt hölls tre intervjuer – två individuella och en gruppintervju. Dessa personer valdes ut för intervju då de är de på företaget som är mest insatta i arbetet med anpassning av företaget till att följa GDPR. Det var planerat att hålla individuella intervjuer med alla dessa fyra respondenter, men på grund av logistiska skäl intervjuades GDPR-ansvarige och policyansvarige samtidigt. En gruppintervju kan innebära att de intervjuade inte uttrycker sina egna åsikter, utan mest bekräftar de andras (Bryman & Bell 2015). Eftersom vårt syfte och frågeställning utgår från hur ett kollektiv har skapat förståelse för GDPR anser vi dock att detta inte nämnvärt kommer påverka studien negativt.
Tabell 3.1 – översikt över intervjupersoner
Respondent Yrkesroll Intervjutid
Moffe Lundbeg Ägare & chef 57 min Daniel Dannfors Senior redovisningskonsult 22 min
Isak Gerson, Policyansvarig. 1 h 11 min (gemensam med GDPR-ansvarig) Jobjörn Folkesson GDPR-ansvarig 1 h 11 min (gemensam med policyansvarig)
Intervjuerna transkriberades sedan, och i de utdrag som presenteras i denna uppsats kommer respondenternas titlar att användas för referens. De olika yttrandena kodades utifrån de sju aspekterna av meningsskapande (se avsnitt 2.2) samt efter om yttrandet härrör sig till början, mitten, eller slutet av processen av meningsskapande. Exempelvis har ett yttrande om hur de tillsammans med ett annat företag kommit fram till en rimlig lösning på ett problem kodats som både social process och som rimlighet över precision, samt mitten av processen. Utifrån detta har vi analyserat hur narrativet har förändrats, och vilka aspekter som varit mest framträdande i olika faser av processens gång.
18 för att de så förutsättningslöst som möjligt skulle kunna berätta om hur meningsskapandeprocessen går till och på så sätt presentera en opåverkad bild av deras narrativ.
För att komma åt hur förståelsen av GDPR har utvecklats i företaget krävs dock ett longitudinellt perspektiv. Då det utvalda företaget har lite dokumenterat kring hur GDPR-arbetet har fortskridit har vi istället fokuserat på retrospektivt intervjuande (Bryman & Bell 2015). Genom frågor kring hur och när de fick höra talas om den nya dataskyddsförordningen och vilken information och vilka känslor de hade kring den då, etableras en startpunkt i förståelseprocessen. För att komma åt hur förståelsen utvecklats över tid bad vi dem berätta fritt kring processen av att ta in information och omvandla den till en handlingsplan.
3.3 Metodkritik
Kvalitativ forskning brukar kritiseras för att tyngden i resultatet av undersökningen ligger i en förståelse av en social verklighet och hur individerna i den valda miljön tolkar denna verklighet (Bryman 2011). Den kvalitativa forskningen formas också till stor utsträckning av forskarens osystematiska uppfattning, vilket gör att den ofta kritiseras för att vara alltför impressionistisk och subjektiv (Bryman 2011). Forskaren skapar också en närmare relation till respondenterna vid kvalitativ forskning än vid kvantitativ, vilket kan påverka undersökningen och resultatet (Bryman 2011). Att forskningen till stor del styrs av forskarens intresse kan skapa problem då det en person anser vara av betydelse att studera inte behöver anses betydelsefullt för någon annan (Bryman 2011). De kvalitativa undersökningarna kan också lättare påverkas av forskarens egna egenskaper såsom personlighet, ålder och kön i större utsträckning än den kvantitativa forskningen (Bryman 2011). De är också mer beroende av forskarens uppfinningsrikedom då de är mer ostrukturerade än kvantitativa undersökningar (Bryman 2011). Detta gör det även svårt arr replikera en undersökning (Bryman 2011). Eftersom den kvalitativa forskningen också riktar in sig på ett mindre antal respondenter inom ett begränsat område är det också svårt att generalisera resultatet utöver den miljön där undersökningen utfördes (Bryman 2011). Respondenterna som studeras i en kvalitativ undersökning kan alltså inte ses som representativ inför hela dess population (Bryman 2011). Det kan också vara svårt att utifrån en kvalitativ undersökning få ett konkret svar på vad forskaren har kommit fram till i sina slutsatser (Bryman 2011). Det kan även vara oklart varför en grupp respondenter har valts ut eller observerats (Bryman 2011). Det framgår även sällan hur forskaren fått fram sina slutsatser vid analysen av data. (Bryman 2011)
19 undersökningarna jämfört med kvantitativa (Bryman 2011), vilket är av stor vikt då syftet med denna studie är explorativt. Vi anser även att kvalitativ metod är mer tillförlitlig än kvantitativ i detta fall, då dessa lätt kan missa att formulera det svarsalternativ respondenten egentligen skulle ha valt vilket kan göra resultaten mindre tillförlitliga (Bryman 2011), speciellt då detta område till stor det är outforskat vilket gör det svårt att formulera kvantitativa frågor. I en kvantitativ undersökning finns det också en risk att respondenterna tolkar frågorna på olika sätt, medan det vid kvalitativ studie finns möjlighet att fråga intervjuaren vid osäkerhet (Bryman 2011). Alla respondenter kommer inte heller ha samma kunskap eller uppfattning om ämnet för att kunna svara på enkätfrågor på ett tillförlitligt sätt (Bryman 2011). Kvalitativa studier brukar även bli mer flexibla och följsamma än kvantitativa studier (Bryman 2011).
3.4 Forskningsetiska aspekter
20
4. Empiri
4.1 M360 redovisningsbyrå
M360 är en redovisningsbyrå situerad i södra Stockholm och erbjuder sina kunder tjänster allt från att bistå vid deklaration till att sköta hela ekonomifunktionen med löner, ut- och inbetalningar, fakturering, löpande bokföring, och bokslut och årsredovisning. Företaget har sju anställda, varav de flesta har valt att arbeta deltid. Alla anställda arbetar med löpande bokföring och avstämning, men vissa har utökade arbetsuppgifter så som kontorsansvarig, IT-ansvarig och policyansvarig. Arbetsbördan i företagen varierar kraftigt under året, med våren som den mest intensiva perioden. Drygt 75 % av företagets kunder har kalenderår som bokföringsår, vilket gör att arbeten under våren utöver den löpande bokföringen och lönehantering till stor del upptas av bokslut och inkomstdeklarationer. Detta innebär att arbetsbördan blir som högst parallellt med att den nya GDPR-lagen träder i kraft. (chef).
Företaget lagrar mycket personuppgifter, främst som ombud för dess kunders räkning, men även som ansvariga för data kring dess egen personal samt de kunder som bedriver enskilda firmor. För kundernas räkning är det löneuppgifter till kring tusen personer, samt uppgifter om kundernas kunder vilket omfattar minst några tusen privatpersoner. För de enskilda firmorna är det även all information till deras privata deklarationer, och för bolagen finns det personuppgifter i alla registreringsbevis. Även olika typer av bokföringsunderlag innehåller personuppgifter, allt från vilka som deltagit i representationsmiddag till mer känsliga uppgifter som information kring rehabiliterande sjukvård. (chef).
Dessa personuppgifter lagras främst strukturerat i olika IT-system, men företaget har även en stor mängd ostrukturerade personuppgifter. Majoriteten av det ostrukturerade materialet finns i de anställdas mailkorgar, men det finns även mycket data som ligger på en dropbox där kunderna kan ladda upp bokföringsunderlag och där digital information kring dem sparas. Företaget lagrar även stora mängder fysiskt material. (chef).
21
4.2 Implementeringen av GDPR
De olika anställda på M360 som intervjuades berättar att de fick höra talas om den allmänna dataskyddsförordningen vid olika tidpunkter. GDPR-ansvarig och policyansvarig fick båda information om den nya lagstiftningen straxt efter den röstades igenom i EU-parlamentet 2016, från vänner som är intresserade av dataskyddspolitik. Deras initiala reaktion var som privatpersoner entusiasm, framför allt för reglerna kring dataportabilitet (GDPR-ansvarig & Policy-ansvarig).
Från början uppfattade jag GDPR som ett senare problem. Och det här är en uppfattning som jag inser att jag har delat med väldigt många som inte borde ha gjort det utan som har tagit i frågan nu för typ två månader sen.” (GDPR-ansvarig).
GDPR-ansvarig tolkade detta som en stor förändringsprocess, men att den låg längre framåt i tiden. Policyansvarige på M360 la till en början inte särskilt stor vikt vid nyheten, utan trodde att den nya lagstiftningen skulle vara ungefär som PuL, fast för hela EU och inte bara Sverige.
Chefen och den seniora redovisningskonsulten hörde talas om GDPR för första gången under hösten 2017, då det började komma upp i diverse nyhetsbrev och i samtal med kunder. Informationsflödet kring GDPR fortsatte och ökade i intensitet under hösten 2017, och framåt våren 2018 insåg personalen på M260 att de var tvungna att börja se över detta. (Senior redovisningskonsult; Chef; GDPR-ansvarig; & Policyansvarig)
Under våren 2018 satte processen igång för att implementera nya rutiner som skulle göra det möjligt att följa den allmänna dataskyddsförordningen (Chef). Det första som gjordes var att utse en GDPR-ansvarig (Chef). Hans uppgift blev då att inhämta kunskap om förordningen, samt utreda vilka åtgärder företaget skulle behöva vidta (Senior redovisningskonsult). Han skickades på ett antal olika kurser i ämnet som anordnades av branchorganisationen FAR (Föreningen Auktoriserade Revisorer) (Chef). De olika kurserna har haft något varierande uppfattning om vad GDPR innebär (Senior redovisningskonsult).
Det känns som att det är väldigt mycket gissande och teorier om hur saker ska funka och det är inte många som vet hur det faktiskt ska funka. Det är lite symptomatiskt när [GDPR-ansvarig] kan gå på en utbildning och juristerna är jättestressade, och sen gå på en annan utbildning och juristerna är rätt chill och att man typ kan göra som tidigare. (Senior redovisningskonsult)
22 (GDPR-ansvarig). Skriftliga avtal är även något de anser att de borde använt sig utav tidigare, men inte gjort, och ser detta som ett positivt resultat som de fått ut av processen (GDPR-ansvarig). GDPR-ansvarig har också påbörjat arbetet med att upprätta en registerförteckning och tagit fram en handlingsplan för hur diverse IT-lösningar ska hanteras (GDPR-ansvarig).
Även de andra på företaget har läst in sig på GDPR (Senior redovisningskonsult). De har inhämtat information genom bland annat nyhetsbrev, vänner som är insatta i frågorna, men framför allt genom att prata med andra företag (Senior redovisningskonsult). De har även tagit del av en hel del rykten som florerar, men dessa har de till stor del valt att bortse ifrån, då de till stor del tycks komma från företag som försöker sälja tjänster (GDPR-ansvarig).
Även internt har frågor om GDPR diskuterats mycket, både vid möten och vid kaffemaskinen (Senior redovisningskonsult). Genom diskussion har nya frågor vuxit fram som de vill ha svar på (Senior redovisningskonsult). Allt eftersom processen fortskrider får de mer information, men det är också mer som blir oklart (Policy ansvarig & GDPR-ansvarig). Bilden är inte att arbetet med GDPR har blivit svårare under denna process, men att det har blivit mer massivt (GDPR-ansvarig).
De oklarheter som finns kvar vid tiden för den här undersökningen, är hur de ska hantera ostrukturerade data (GDPR-ansvarig). Alla i företaget är överens om att det är orimligt att ostrukturerade data ingår i lagstiftningen, och de har inte hittat någon bra förklaring till varför det är så (Chef; GDPR-ansvarig; Policy-ansvarig; & Senior redovisningskonsult). Chefen för M360 uttryckte problemet med orden: ”Själva definitionen av ostrukturerade data är ju att det är osökbart.” De anställda identifierar ostrukturerade data som det stora problemet, och att dessa ingår i förordningen förstärker de negativa känslor om den som finns på företaget (Chef; GDPR-ansvarig; PolicyGDPR-ansvarig; & Senior redovisningskonsult).
23 I förebyggande syfte kommer vi behöva rensa en hel del gammalt material. Dels är
den städningsprocessen krävande i sig, men det kan också potentiellt innebära att vi, om vi nu vill lista ut något som var aktuellt 2010, då kommer det bli mycket svårare. Ett alternativ är så klart att rensa gammalt material och specifikt rensa ut personuppgifter, men det är ju liksom en orimlig börda, så det vi kommer att behöva göra är att massrensa gammalt material och helt enkelt lämna historien bakom oss. (GDPR-ansvarig)
För att försöka handskas med dessa osäkerheter har företaget valt att främst följa branschorganisationens råd (GDPR-ansvarig). De är inte säkra på att de heller har exakt koll på hur lagstiftningen bör tolkas, men menar att om de följer dessa så gör de åtminstone inte mer fel än någon annan i branschen (GDPR-ansvarig). De menar också att det kommer att vara svårt att tolka lagstiftningen med exakthet förrän det kommer rättsfall som ger större klarhet (Chef, GDPR-ansvarig & Policy-ansvarig). För att vara på den säkra sidan till dess försöker de tolka lagen ur dess striktaste mening, något som inte är helt problemfritt (GDPR-ansvarig & Policy-ansvarig). Dels kostar hela denna process oerhört mycket; företaget har behövt anställa en till person för att hinna med att utreda och genomföra förändringar under våren (Senior redovisningskonsult). Vidare uppfattar de GDPR som en lagstiftning som syftar till att försvåra för företag att hantera data, vilket de anser är orimligt (Chef; GDPR-ansvarig & Policy-ansvarig).
Sammantaget har den information företaget fått om GDPR snarast gjort inställningen till lagstiftningen mer negativ (GDPR-ansvarig & Policy-ansvarig). De ställer sig frågande till en lagstiftning som gör e-posthanteringen så pass krånglig, eftersom det är svårt att driva den här typen av verksamhet utan e-postkommunikation (Chef; GDPR-ansvarig; Policy-ansvarig & Senior-redovisningskonsult).
Både chefen och den seniora redovisningskonsulten känner igen processen från tidigare tillfällen då nya lagar och regler har trätt i kraft.
"Jag har gått omkring med den här läskiga känslan i magen, jag känner igen den, och häromdagen så förstod jag varför. Det här har ju hänt massor med gånger." (Chefen)
De är alltså vana vid att ständigt behöva uppdatera sina rutiner för sina kunders räkning på grund av nya lagar (Chef). Framför allt chefen jämför processen runt GDPR med tidigare ändringar av skattelagstiftningen, samt till när K2- och K3-regelverken skulle börja gälla (Chef). Den stora skillnaden från det tillfället, anser hon, var att de då hade revisorer som kunde hjälpa företaget genom förändringsprocessen (Chef). Hon poängterar även att GDPR innebär en mer massiv förändring i företagets arbete (Chef).
24
5. Analys
Meningsskapande uppstår oftast enligt Weick (1995) genom förändringar i omvärlden som är svåra att hantera samt präglas av oklarhet eller osäkerhet. Oklarhet innebär att det finns tillgång till för många alternativ till tolkning medan osäkerhet innebär svårighet till tolkning på grund av bristande information (Weick 1995). I detta fall är meningsskapandet kopplat till oklarhet då företaget har haft svårt att veta hur lagen bör tolkas då det funnits en rad olika tolkningar av vad lagen egentligen innebär (se 4.2 Implementeringen av GDPR).
5.1.1 Identitet
Företaget tycks ha en stark identitet som inte markant har förändrats under arbetet med att implementera GDPR (se 4.2 Implementeringen av GDPR). Som redovisningskonsulter har de datahantering som affärsmodell, och de ser sig som väldigt strukturerade (se 4.2 Implementeringen av GDPR). Många av deras kunder har anlitat dem för att själva slippa tänka på det administrativa (chef), vilket spegelvänt blir att en central del i företagets identitet är att de har koll på saker åt deras kunders räkning (Hatch & Schultz 2002). Som redovisningsbyrå har företaget många övriga lagstiftningar och regelverk som de måste vara noga uppdaterade om (se 4.2 Implementeringen av GDPR). Somliga av dessa, exempelvis skattelagstiftningen, ändras ofta, vilket gör att åtminstone de seniora medarbetarna har erfarenhet av förändringsprocesser på grund av legislativa utmaningar (se 4.2 Implementeringen av GDPR). Eftersom alla på företaget arbetar med redovisning blir det en mindre grad av splittring i hur de ser på organisationen (Gioia 1998).
En organisations identitet påverkar hur de anställda ser på sin omgivning, och hur de skapar förståelse för vad som där sker (Weick 1995). Således betraktar de anställda GDPR genom en lins av att de är strukturerade och vana vid legislativa förändringar. Denna vana bidrar till att minska oron hos de seniora medarbetarna, då de båda uttrycker att denna typ av process egentligen inte är så ovan, och tidigare processer har gått väl.
25 identiteten bakåt. ”Det vi kommer att behöva göra är att massrensa gammalt material och helt enkelt lämna historien bakom oss” (GDPR-ansvarig). Hur detta på sikt kommer att påverka organisationsidentiteten går dock inte att säga i förväg.
5.1.2 Retrospektion
Retrospektion är en central aspekt utav meningsskapande, eftersom det bara går att skapa förståelse för en händelse genom att se tillbaka på den i efterhand (Weick, Sutcliffe & Obstfeld 2005). Detta blir svårare i detta fall, då de befinner sig mitt inne i processen; händelsen pågår fortfarande. Retrospektion, likt allt meningsskapande, sker förvisso cykliskt, vilket gör att de kan blicka tillbaka till tidigare stadier i processen av meningsskapande och jämföra bilden då med bilden nu (Weick 1995). Det är dock först när en händelse har skett som det går att sätta en etikett på den (Weick, Sutcliffe & Obstfeld 2005), och trots att GDPR snart träder i kraft har processen inte nått denna punkt av mognad ännu.
Dock åsyftar det meningsskapande tillbakablickandet inte enbart tidigare stadier i en specifik process, utan innebär även att dra paralleller till tidigare händelser och låta dessa påverka hur den nuvarande situationen tolkas (Weick 1995). För M360 är dessa tidigare händelser främst hur de har handskats med andra ändringar av lagstiftningen (se 4.2 Implementeringen av GDPR). Genom att se tillbaka på hur deras känslor var vid dessa tidigare händelser och hur deras farhågor inte bekräftades i slutändan kan de utnyttja denna kunskap till att minska oron inför GDPR. (Thurlow & Helms Mills 2009). Men vid de tidigare lagändringarna hade de i flesta fall revisorer som kontrollerade deras arbete (se 4.2 Implementeringen av GDPR). Även om tillbakablickandet till dessa tidigare situationer kan ge ett visst stöd skapas det således även en uppmärksamhet till alla de aspekter som inte är jämförbara.
5.1.3 Agerande
Individer ser sig ofta som ett offer för en omgivning de inte kan kontrollera (Weick 1995). Detta är en passande beskrivning på hur organisationen i början såg på GDPR (se 4.2 Implementeringen av GDPR). Även om individerna på ett privat plan såg fram emot den nya dataskyddsförordningen, var reaktionen från ett företagsperspektiv att försöka ignorera det så länge som möjligt istället för att konfrontera det nya främmande som de inte förstår (se 4.2 Implementeringen av GDPR). I sådana situationer har individen två val: antingen fortsätta se sig som ett offer eller försöka bemästra sin omgivning (Weick 1995).
26 har förstått den nya dataskyddsförordningen. Många av dessa åtgärder har varit aktiva; exempelvis har de utsett en GDPR-ansvarig som gått kurser, tagit fram en handlingsplan för hur IT-systemen ska lösas, beslutat om att ersätta muntliga avtal med skriftliga et cetera (se 4.2 Implementeringen av GDPR). Agerandet skapar den miljö de befinner sig i, då nya möjligheter växer fram beroende på hur de hanterat tidigare situationer (Weick 1995). Genom att en anställd har gått kurser har de fått mer information, vilket lett till att de kan ställa nya frågor och komma närmre att kunna bemästra situationen. Dock har deras agerande i stort varit reaktivt snarare än proaktivt. De främsta åtgärderna är fattade utefter deras branschorganisations råd, men utöver det avvaktar de till stor del på praxis. På så sätt ser företaget sig fortfarande delvis som offer för GDPR-omständigheterna (Weick 1995).
5.1.4 Social aktivitet
Företaget har löpande under vårens gång haft möten där de diskuterar igenom GDPR och vad de bör göra (se 4.2 Implementeringen av GDPR), vilket har bidragit till att skapa en gemensam bild av vad dataskyddsförordningen innebär (Andersson 2010). Även om de till viss utsträckning har olika bild av detaljerna (se 4.2 Implementeringen av GDPR), delar de ett gemensamt ramverk (Fiol 1994). Utöver de strukturerade mötena har de internt diskuterat GDPR löpande vid kaffemaskinen och ämnet har ofta kommit på tal i andra sammanhang (se 4.2 Implementeringen av GDPR). Genom detta influerar de varandras uppfattningar om vad förordningen innebär (Weick, Sutcliffe & Obstfeld 2005).
Meningsskapandet genom social aktivitet har inte enbart pågått företagsinternt. Alla fyra intervjuade berättade att de haft konversationer om GDPR med personer utanför företaget (se 4.2 Implementeringen av GDPR). Genom att diskutera med andra hur de har valt att tolka förordningen och vilka experter de har valt att ta in har individerna breddat sin kunskapsbas och lett fram till lösningar på vissa problem. Ett tydligt exempel på detta är hur företaget tillsammans med ett annat bolag kommit fram till att det enligt GDPR borde vara okej att spara diverse mailkorrespondens i minst tio år (se 4.2 Implementeringen av GDPR).
5.1.5 Pågående process
27 befinner sig i en del av intensivt meningsskapande där stora delar av fenomenet fortfarande inte är fullt klarlagt.
Ett stort problem som individerna i företaget har när det kommer till att skapa förståelse för den allmänna dataskyddsförordningen är att det saknas enhetlig återkoppling på deras agerande. Det är genom en spiral av agerande och återkoppling som mening skapas (Weick 1995). Eftersom lagtexten är diffus på flera plan och olika experter inte har samma åsikter blir det omöjligt för dem att veta vilket agerande som är mest lämpligt. I stället avvaktar de på rättsfall som kommer att ge besked om hur GDPR ska tolkas (se 4.2 Implementeringen av GDPR).
Processen har dock inte varit helt fruktlös. Det finns aspekter av den allmänna dataskyddsförordningen som är mer klarlagda än andra. I denna studie har det framkommit hur en initial bild av GDPR, har utvecklats till en större förståelse. Genom att läsa på och ställa frågor kring hur de bör agera i olika scenarion har de fått en större kunskap kring vad förordningen innebär, vilket gör att nya, mer komplexa frågor har kristalliserats. (se 4.2 Implementeringen av GDPR) Genom att ställa dessa djupare frågor identifierar individerna de områden där de inte har kunskap, där de måste ta in experter eller mer noggrant bevaka vilken praxis som utformas.
28
5.1.6 Signaler
För företaget skapades insikt om att de var tvungna att inleda ett förändringsarbete genom subtila signaler från omgivningen (Weick 1995). Även om GDPR röstades igenom i april 2016, skapade detta inte tillräckligt stor uppmärksamhet för att någon av de anställda på företaget skulle ändra sitt beteende och påbörja en förändringsprocess (se 4.2 Implementeringen av GDPR). Av de två som fick reda på om den nya dataskyddsförordningen straxt efter genomröstandet riktades ingen fokus på hur lagen var från ett företagsperspektiv (se 4.2 Implementeringen av GDPR). Svagheten i dessa tidiga signaler gjorde att företaget, istället för att ha två år till att arbeta med implementering av nya rutiner, hade ett halvår. Först när intensiteten i dessa signaler blev starkare framåt våren lyckades de rubba flödet av vardaglighet tillräckligt starkt för att de inte längre skulle kunna rationalisera bort dem och återgå till tidigare agerande (Weick, Sutcliffe & Obstfeld 2005).
Senare under processens gång har det kommit signaler om hur GDPR ska tolkas (se 4.2 Implementeringen av GDPR). En del av dessa signaler har företaget valt att bortse ifrån, då inga av de anställda anser att de kommer från pålitliga källor – det tydligaste exemplet på detta är hur de konsekvent har valt att bortse från information om problem som kan uppstå från systemleverantörer som samtidigt försöker sälja nya system som ska lösa problemen (se 4.2 Implementeringen av GDPR). I stället för att utan förutfattade meningar försöka tolka de signaler som kommer från omvärlden har denna information från leverantörerna filtrerats genom en förutfattad mening att de uppfinner problem för att tjäna pengar (Weick, Sutcliffe & Obstfeld 2005).
Eftersom det är en svårtydbar lagstiftning finns det motstridiga bilder av vad som är tillåtet eller inte enligt den nya dataskyddsförordningen (se 4.2 Implementeringen av GDPR). Företagets GDPR-ansvarig har varit på några olika kurser om den nya dataskyddsförordningen; vid den ena var juristerna som höll i kursen väldigt stressade över de nya kraven, men vid den andra ansåg juristerna att det inte innebar någon större förändring mot tidigare (se 4.2 Implementeringen av GDPR). I ett sådant fall blir det lätt att de bilder som väljs ut är de som samstämmer mest med organisationens agerande (Thurlow & Helms Mills 2009), vilken i sin tur är baserad på de signaler som stärker den redan existerande världsbilden (Weick 1995).
5.1.7 Rimlighet över precision
29 kan vara till godo då det kan leda till att ett till synes olösbart problem tacklas med entusiasm (Weick 1995). I detta fall saknas dock en sådan entusiasm. Om bilden som individen formar är mer komplicerad än situationen kräver kan det försvåra meningsskapandet.
GDPR är en förordning som för med sig dyra konsekvenser om den inte efterföljs. För att försäkra sig om att de följer förordningen måste de tolka GDPR ur dess striktaste mening (se 4.2 Implementeringen av GDPR). För kunskapsinhämtandet kan detta vara en fördel då mer resurser allokeras till processen. Samtidigt är det kostsamt för företaget, och troligtvis kommer mycket arbete att ha genomförts i onödan även om de ser vissa positiva effekter så som att de sporras till att ersätta muntliga avtal med skriftliga (se 4.2 Implementeringen av GDPR).
Att tolka dataskyddsförordningen utifrån den striktaste meningen leder dock till konflikter mellan precision och rimlighet. Många aspekter anser de anställda på M360 vara orimliga, så som att ostrukturerade data regleras (se 4.2 Implementeringen av GDPR). Konsekvenserna som de ser är att i en strikt tolkning blir det stora förhinder när det kommer till vad som får skickas per e-post (se 4.2 Implementeringen av GDPR). Den bild företaget har är att grundinställningen är att företag inte ska ha några personuppgifter, vilket blir svårt då inget företag kan klara sig utan någon form av personuppgifter (se 4.2 Implementeringen av GDPR). Största orsaken till svårigheterna kring meningsskapande av detta är att ingen på företaget verkat ha hittat en begriplig anledning till varför lagen säger som den gör. Till sin hjälp i de flesta frågor har de förlitat sig på de råd som deras branschorganisation ger (se 4.2 Implementeringen av GDPR), då de kommer från en auktoritär källa (Mills 2003 se Weick, Sutcliffe & Obstfeld 2005 s 415). Trots de råden kvarstår dock frågor kring hur vissa situationer ska lösas, där de inte ser någon rimlig lösning som är förenlig med en strikt tolkning av den allmänna dataskyddsförordningen (se 4.2 Implementeringen av GDPR).
5.1.8 Narrativt meningsskapande utifrån de olika aspekterna
30 påverkar synen på nya, liknande händelser Weick, Sutcliffe & Obstfeld 2005). Genom de signaler de fått ifrån omgivningen samt genom sociala interaktioner, har de skapat sig en bild av att införandet GDPR var något som bör tas på stort allvar, vilket inte var den bilden företaget hade från början (Weick 1995). Genom att utgå ifrån rimlighet har de även försökt skapa en sammanhängande bild av hur lagen bör tolkas (Weick 1995). Företaget har också valt att agera på sin omgivning genom att försöka få kontroll över den genom att gå kurser och på olika sätt samla in kunskap för att ta kontroll över den (Weick 1995). Detta agerande har också präglats av ständig återkoppling, om än inte fullt ut enhetlig, vilket har bidragit till en ständigt pågående meningsskapandeprocess (Weick 1995). Detta visar på att alla aspekter varit med och bidragit till att skapa en gemensam berättelse som skildrar företagets verklighetsbild, och därmed också det narrativa meningsskapandet.
31
6. Diskussion
Syftet med studien var att undersöka hur småföretag i Sverige har arbetat för att skapa förståelse av GDPR. Även om meningsskapandet avseende GDPR fortfarande inte nått ett moget stadium för M360 går det att se hur processen utvecklats under arbetets gång. Utgångspunkter alla de intervjuade hade var från ett företagsperspektiv att den allmänna dataskyddsförordningen skulle vara ett stort och svårtydligt problem, vilket gjorde att de sköt upp igångsättandet av processen längre än vad de i efterhand anser att de borde gjort (se 4.2 Implementeringen av GDPR). Själva problemet presenterades av signaler från omgivningen om att detta var en situation fylld med osäkerhet; det var först när dessa signaler nådde en kritisk massa som företaget började agera (Weick 1995).
Genom agerande skapar företag förståelse (Weick 1995). Då situationen har präglats av osäkerhet har agerandet till stor utsträckning riktats mot att utreda frågan vidare (Weick, Sutcliffe & Obstfeld 2005). Detta har tagits uttryck i tillsättandet av en GDPR-ansvarig, samt det aktiva inhämtandet av information (se 4.2 Implementeringen av GDPR). En stor del av detta meningsskapande har dock skett via konversationer (se 4.2 Implementeringen av GDPR). När företaget har haft interna möten där de diskuterat den allmänna dataskyddsförordningen har de inblandade individerna varit tvungna att formulera tankar, och genom detta agerande har en mer konkret bild formats (Thurlow & Helms Mills 2009). Även genom att konversera med andra företag kring GDPR har M360 agerat för att inhämta information. Genom att se till hur andra företag har agerat på samma problem får de signaler för vilken tolkning som är rimlig, och i diskussion med andra har en gemensam bild och ett gemensamt förhållningssätt skapats (Weick 1995).
32 Det största problemet som har framkommit är de situationer där företaget har stött på svårigheter i hur föreslagna tolkningar av lagtexten ska kunna genomföras praktiskt (se 4.2 Implementeringen av GDPR). En central del i meningsskapande är att rimliga tolkningar går före mer precisa tolkningar, då det ändå är omöjligt att skapa en exakt bild av omvärlden (Weick 1995). I detta fall kompliceras bilden av att det gäller lagstiftning, där det hos lagstiftaren troligtvis finns en korrekt tolkning som ännu inte blivit klarlagd. Då konsekvenserna av att inte följa lagen kan bli mycket kostsamma skapas ett incitament till att tolka lagen utifrån dess striktaste mening. Allt eftersom processen har fortskridit har detta visat sig mer och mer praktiskt omöjligt (se 4.2 Implementeringen av GDPR). I stället har företaget förlitat sig på information från sin branschorganisation, med motivering att de då åtminstone inte kommer att göra mer fel än branschen i stort (se 4.2 Implementeringen av GDPR). Dock har även detta visat sig innehålla stora problem. Många av de tolkningar som företaget får signaler om är sådana de och andra företag de pratat med finner orimliga (se 4.2 Implementeringen av GDPR). Det bildas en konflikt mellan vad som yttre signaler säger är sanning och vad som faktiskt går att genomföra. Den enda lösningen de hittills har är att göra så gott de kan och vänta på praxis.
Eftersom vi ville undersöka ur narrativet var uppbyggt utan att påverka det allt för mycket försökte vi ställa så öppna frågor som möjligt till respondenterna, istället för att ställa mer specifika frågor kring de olika aspekterna av meningsskapande. Då meningsskapande som teori baseras på att individer skapar sin egen verklighet skulle riktade frågor kunna påverka den processen. Samtidigt ville vi komma åt hur processen utvecklats över tid. Då vår insamlingsmetod av data bestod av kvalitativa intervjuer vid ett tillfälle i processen valde vi att göra retrospektivt intervjuande för att komma åt hur processen såg ut i början och hur den utvecklats över tiden. Dock sammanfaller detta med den retrospektiva aspekten av meningsskapande. Det går inte att bortse från att valet av metod kan ha påverkat hur respondenterna ser tillbaka på GDPR; det är mycket möjligt att våra frågor fick dem att reflektera över saker de annars aldrig hade övervägt.
33
meningsskapandeprocessen medvetet lägger märke till dem. Lösningen på dessa problem, likt problemet med den potentiella eliciteringen av svar avseende den retrospektiva aspekten, hade kunnat vara att genomföra en mer longitudinell fallstudie, möjligen genom en deltagande observation, som skulle sträcka sig från processens början till dess slut. Den typ av studie var dock av logistiska skäl omöjlig att genomföra i detta fall. Eftersom denna studie gjordes mitt under införandet av GDPR anser vi att det också skulle vara intressant att göra en retrospektiv studie i ett senare stadie. Då retrospektion ses som en central aspekt utav meningsskapande anser vi det intressant att jämföra ifall bilden av GDPR ser annorlunda ut om meningsskapandet sker genom ett senare retroperspektiv.
7. Slutsatser
Syftet med studien var att undersöka hur små redovisningsföretag i Sverige har arbetat för att skapa förståelse av GDPR. Studien visade att företaget använt sig utav alla de sju aspekterna av meningsskapande; identitet, retrospektion, agerande, social aktivitet, pågående process, signaler, och rimlighet för att skapa en gemensam berättelse av hur GDPR bör tolkas, samt hur företaget skapat mening till den nya lagstiftningen. Detta leder till slutsatsen att förståelse av GDPR har skapats genom narrativt meningsskapande, och att alla dessa sju aspekter har bidragit till att forma narrativet. Studien visade också att behovet av meningsskapande väcktes genom att företagen ansett att lagen om GDPR är tvetydlig och kan tolkas på flera sätt. Detta har skapat ett behov av förståelse och förklaring, vilket bidragit till att denna meningsskapandeprocess satt igång. Denna studie har även visat på att det kan vara svårt, om inte omöjligt, att avsluta en process av meningsskapande kring ny och komplicerad lagtext innan lagen träder i kraft.
8. Bidrag
34
Referenser
Abolafia, M.Y. (2010). Narrative Construction as Sensemaking: How a Central Bank Thinks. Organization Studies. 31(03): 349–367.
Andersson, A. (2010). När strävan efter samsyn blir en kamp Meningsskapande och meningsgivande i mångtydiga sammanhang. Diss., Linköpings Universitet. 1-244.
Brown, A.D. (2005). Making sense of the collapse of Barings bank. Human Relations. 58(12): 1579–1604.
Brown, A.D., Colville, I. & Pye, A. (2014). Making sense of sensemaking in Organization Studies. Organization Studies. 36(2): 265–277.
Bryman, A. (2011). Samhällsvetenskapliga metoder. Liber AB. Malmö.
Bryman, A. & Bell, E. (2015). Business research methods. 4. ed. Oxford: Oxford Univ. Press.
Citrix (2017). Stor oro bland svenska företag inför GDPR. https://www.citrix.se/news/announcements/dec-2017/Stor-oro-bland-svenska-foretag-infor-GDPR-se.html [Hämtad 2018-04-21].
Colville, I.D., Waterman, R.H. & Weick, K.E. (1999). “Organizing and the search for excellence: making sense of the times in theory and practice”, Organization, Vol. 6 No. 1, 129-48.
Datainspektionen (2017a). Dataskyddsförordningens syfte.
https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/introdukti on-till-dataskyddsforordningen/dataskyddsforordningens-syfte/ [Hämtad 2018-04-21].
Datainspektionen (2017b). Introduktion till dataskyddsförordningen. https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/introdukti on-till-dataskyddsforordningen/ [Hämtad 2018-04-21].
Datainspektionen (2018a). Samma regler för alla uppgifter. https://www.datainspektionen.se/dsf-sammaregler [Hämtad 2018-04-21].
Datainspektionen (2018b). Administrativa sanktionsavgifter.
35 Davies, B. & Harré, R. (1990). Positioning: The Discursive Production of Selves, Journal for the
Theory of Social Behaviour 20(1): 43–63.
Europaparlamentet (2018). Legislative train schedule – General Data Protection Regulation. http://www.europarl.europa.eu/legislative-train/theme-area-of-justice-and-fundamental-rights/file-general-data-protection-regulation [Hämtad 2018-04-21].
Europaparlamentet (2016). EU:s dataskyddslagar ändras – parlamentet antar regler i fas med digitala eran.
http://www.europarl.europa.eu/news/sv/press-room/20160407IPR21776/eu-s-dataskyddslagar-andras-parlamentet-antar-regler-i-fas-med-digitala-eran [Hämtad 2018-04-21].
Fiol, M. (1994). Consensus, Diversity, and Learning in Organizations, Organization Science 5(3): 403–420.
Gioia, D. A., Schultz, M. & Corley, K. G. (2000). Organizational Identity, Image and Adaptive Instability, Academy of Management Review 25(1): 63–81.
Gioia, D. A. (1998). From Individual to Organizational Identity: Building Theory Through Conversations, i D. A. Whetten & P. C. Godfrey (Red.) Identity in Organizations. SAGE, Thousand Oaks, Calif.
Gray, B., Donnellon, A. & Bougon, M.G. (1985). Organizations as Constructions and Deconstructions of Meaning. Journal of Management. 11(2): 83–98.
Hatch, M. J. & Schultz, M. (2002). The dynamics of organizational identity, Human Relations 55(8): 989–1018.
Helms Mills, J., Thurlow, A. & Mills, A.J. (2010). "Making sense of sensemaking: the critical sensemaking approach", Qualitative Research in Organizations and Management: An International Journal, Vol. 5 Issue: 2, pp.182-195
Holtz, H.M. (2018). Den nya allmänna dataskyddsförordningen – några anmärkningar. Svensk Juristtidning. 2018(3): 240–264.
Jonasson, F. (2018). GDPR, en dagsslända eller nyckeln till en långsiktig förändring? https://gdpr.se/gdpr-en-dagsslanda-eller-nyckeln-till-en-langsiktig-forandring [Hämtad 2018-04-10].
36 Lindström, A. (2018). Småföretagare hotas av miljonböter: ”Skrämmande”.
https://www.svd.se/miljonboter-hotar-smaforetagare-skrammande [Hämtad 2018-05-28]
Malmqvist, M. (2018). Alla ligger efter med GDPR-jobbet – nu skärper EU tonen. https://computersweden.idg.se/2.2683/1.696721/eu-snabba-pa-gdpr [Hämtad 2018-04-21].
Persson, J. (2018). Basfakta om företag. https://tillvaxtverket.se/statistik/foretagande/basfakta-om-foretag.html [hämtad 2018-05-29]
Salzer, M. (1994). Identity Across Borders: A Study in the "IKEA-World". Diss., Linköpings
universitet.
http://liu.diva-portal.org/smash/record.jsf?pid=diva2%3A603282&dswid=3025 [Hämtad 2018-05-03]
Sevón, G. (1996). Organizational Imitation in Identity Transformation, i B. Czarniawska & G. Sevón (Red.) Translating Organizational Change. de Gruyter, Berlin.
SRF (2018). GDPR – den nya dataskyddsförordningen. https://www.srfkonsult.se/gdpr-general-data-protection-regulation/ [Hämtad 2018-05-28].
Stein, M. (2004). “The critical period of disasters: insights from sense-making and psychoanalytic theory”, Human Relations, Vol. 57 No. 10, pp. 1243-61.
Stier, J. (2018). Företagare – därför ska du ha koll på GDPR. https://vismaspcs.se/ditt-foretagande/sakerhet/har-du-koll-pa-gdpr [Hämtad 2018-05-28].
Thurlow, A. & Helms Mills, J. (2009). Change, talk and sensemaking. Journal of Organizational Change Management, 22(5): 459-479.
Utbildning.se (2018). Företagen inte redo för GDPR – rusar efter utbildning. https://www.utbildning.se/om-oss/nyheter/rusning-utbildning-gdpr-13784 [Hämtad 2018-05-28]
Weick, K.E. (1979). The Social Psychology of Organizing. McGraw-Hill, New York.
Weick, K.E. (1993). The collapse of sensemaking in organizations: The Mann Gulch disaster. Administrative Science Quarterly, 3: 628–652.
Weick, K.E. (1995). Sensemaking in Organizations. Sage, Thousand Oaks, Calif.
37
Bilagor
Bilaga I – Intervjuguide
Hur uppfattar du GDPR?
Kan du berätta hur företaget har tolkat GDPR, hur du förstår GDPR? Hur har ni arbetat med GDPR?
Vilka förändringar har gjort på företaget, på grund av GDPR, och finns det något ni planerat att göra men ännu inte gjort?
Hur har ni hämtat in information om vad GDPR är? Hur tror du GDPR kommer att påverka er?
När och hur fick du först höra talas om GDPR?
Vad trodde du GDPR var när du fick höra talas om det? Kan du beskriva hur din bild av GDPR har förändrats?
Hur känner du för GDPR? Har den känslan förändrats? Vad tror du det beror på? Är det något mer du vill tillägga?
