GDPR må enligt många vara ett av våra mest grå, byråkratiska och oglamorösa begrepp. Ändå har det aldrig varit mer på tapeten. När över en miljon personuppgifter i höstas läckte ut på darknet efter ett riktat cyberangrepp mot ett HR-system som används av hundratals offentliga verksamheter, blev informationshantering plötsligt smärtsamt konkret.
Detta var inte en isolerad incident. Det var en väckarklocka.
Och när NIS2 trädde i kraft i mitten av januari med ökade krav på säkerhetsskydd, och med större ansvar på organisationer och på individer i ledande ställning. Ja, då blev många stressade över att se över sina säkerhetsrutiner och sin informationshantering. För även om regelverken (GDPR, NIS2) reglerar olika områden överlappar de i praktiken, inte minst inom informationssäkerhet, riskhantering och incidentrapportering.
Ostrukturerad data – den dolda risken i offentlig sektor
Mängden data i offentlig sektor ökar explosionsartat, inte bara genom nya digitala system utan även via sensorer, IoT och den växande mängden dokument och mejl som sparas i vardagen. Offentlig sektor hanterar inte bara omfattande datamängder, utan också ostrukturerad data, som blir allt svårare att överblicka.
Integritetsskyddsmyndigheten (IMY) och flera statliga utredningar (SOU) har varnat för att datainsamlingen nu “tar nya dimensioner” när allt fler delar av vår fysiska värld kopplas upp och genererar personuppgifter. Samtidigt ligger gammal information kvar sedan årtionden, och fortsätter utgöra en risk. Det är en verklighet som helt enkelt inte längre går att hantera manuellt.
Parallellt befinner vi oss under en pågående AI-revolution, där artificiell intelligens blir en naturlig del av allt fler offentliga verksamheters verktygslåda. För digitaliseringschefer och verksamhetsutvecklare öppnar AI stora möjligheter till effektivisering, bättre beslutsstöd och nya arbetssätt, särskilt i administrativt tunga processer där manuell handpåläggning i dag krävs för att registrera, kategorisera, sortera, sammanfatta och söka information samt på olika sätt stödja ärendehandläggare i sitt arbete.
Men tekniken är bara så bra som den information den bygger på. Om datan är ostrukturerad eller av låg kvalitet riskerar investeringar i AI att inte ge önskad effekt eller vara möjliga att skala. Och är datan känslig ökar komplexiteten. Vi stöter på dessa fall ofta. Pilotcase som inte resulterade i mer än en dyr testkampanj.
AI-lösningar som inte skapar tydligt värde för användarna blir sällan en naturlig del av arbetsflödena och används inte i praktiken.
Det går helt enkelt inte att accelerera digital utveckling med AI på en bristfällig datagrund.
Sverige – föregångare i strategi, eftersläpande i vardagsrutiner
Sverige ses ofta som ett föregångsland inom digitalisering och cybersäkerhet. Vi får höga betyg i globala index som exempelvis FN-organet ITUs Global Cybersecurity Index, där vi klassas som ett “tier 1 country”, d.v.s. topprankning, tack vare stark lagstiftning, god infrastruktur och tydliga nationella strategier. Integritetsskyddsmyndigheten (IMY) bekräftar också att svensk offentlig sektor lägger mycket pengar på att införa policys och riktlinjer. På den övergripande systemnivån står vi starka och har goda förutsättningar.
Men dessa studier och indexmätningar mäter inte hur bra vi är på att arbeta aktivt med dataskydd och att efterleva GDPR i det dagliga arbetet; i systemen, i processerna, i varje beslut som tas. Hur snabbt fel upptäcks och åtgärdas, exempelvis. Enligt en annan undersökning från IMY så har en fjärdedel av dataskyddsombuden i svensk offentlig sektor inte någon avsatt tid alls till dataskyddsarbete. Det här säger något viktigt. För om inte förutsättningarna finns i praktiken så blir det mycket svårt att efterleva GDPR på riktigt.
Det finns alltså en tydlig klyfta mellan strategi och verklighet.
Lider svensk offentlig sektor av struts-syndromet?
Har vi stoppat huvudet i sanden? Vi vill inte tro det. Men faktum är att många offentliga verksamheter helt enkelt inte vet vilken känslig information som finns lagrad i deras mejl, dokument och filytor, och än mindre hur de ska hantera den. Och det är just den här osäkerheten som vi ofta möter, i egenskap av partner och systemleverantör, när vi träffar verksamheterna och lyssnar till deras utmaningar.
Många organisationer sitter fast i strukturer som aldrig var byggda för dagens datamängder, och idag saknas verktyg för att systematiskt identifiera, hantera och rensa data. Det handlar inte om ovilja. Utan för att det är övermäktigt. Rutiner, ledning och det operativa vardagsarbetet inte hänger med.
Organisationer som lyckas ta sig ur detta läge har en sak gemensamt: de har gjort dataskydd och informationshantering till en operativ fråga i vardagen.
Inte en punktinsats inför revisioner. Det handlar inte om fler policies, utan om stöd som gör det möjligt för medarbetare att göra rätt i det dagliga arbetet. Och för att det ska hända krävs dels en förståelse från ledning och verksamhetsutvecklare kring behoven, dels systemstöd. Systemstöd som hjälper organisationer att förstå vilken data de faktiskt har, var den finns, hur känslig den är, och vad som bör rensas, skyddas eller behållas.
Vi ser alltför ofta att ansvaret hamnar hos ett fåtal individer; dataskyddsombudet, IT-chefen eller informationssäkerhetsansvarig, som förväntas bära hela bördan. Det är inte rimligt. Och det är inte säkert.
Nej, vi måste sluta prata om informationshantering och GDPR-efterlevnad som något isolerat för jurister och IT-avdelningar. I stället behöver vi hitta sätt att göra dataskydd till en naturlig del av vardagen. För varje medarbetare, på varje arbetsplats. Säkerhetsarbetet måste bli hela organisationens ansvar. Inte bara några få eldsjälars.
Att vilja göra rätt räcker inte längre. Vi måste göra det möjligt.
Kan GDPR-efterlevnad till och med bli… kul?
Det kanske låter som en utopi, men vi tror faktiskt det.
När människor får rätt verktyg, tydlig vägledning och känner att deras arbete gör skillnad, då väcks engagemang. Vi har sett det hända. När datakvalitet och GDPR-efterlevnad inte längre blir ett hot och en stor osäkerhet, utan en integrerad, meningsfull del av vardagen. Då skapas inte bara trygghet kring regelefterlevnad, utan då öppnas även dörrar till nya möjligheter att effektivisera verksamheten med hjälp av AI, som i sin tur kan skapa stort värde och effektivitet för verksamheten.
Att rensa, strukturera och förstå sin information är inte ett tekniskt sidospår, utan en strategisk förutsättning för att kunna använda AI på ett tryggt, ansvarsfullt och långsiktigt hållbart sätt. Och det finns stöd för detta.
Med Adoxa är det lätt att göra rätt
Närmare hälften av Danmarks kommuner använder Adoxa för att få kontoll över sin data.
Med Adoxa skannar du kontinuerligt dina system för att identifiera problem och åtgärda dem direkt på individnivå. Våra dashboards ger dig överblicken, så att hela organisationen kan arbeta tillsammans mot full data compliance. Dina medarbetare får en egen GDPR-assistent vid sin sida, som gör det lätt att göra rätt.
Nu finns Adoxa tillgänglig i ny version även för våra befintliga kunder i Sverige! Boka en kostnadsfri demo, så visar vi hur enkelt det funkar i praktiken.
Sara Blanck
VP Sales & Marketing på Formpipe
.webp?width=1024&height=1024&name=Rebeccas%20-%20marketing%20(1).webp)
