GDPR og forandringsledelse

27. aug 2017
GDPR stiller nye krav til jeres systemer såvel som jeres medarbejdere. Derfor er implementeringen af GDPR først og fremmest en forandringsledelsesproces.
Thomas Palsbjørn Pedersen
Principal Business Consultant
Devices Light Bulb

EUs kommende persondataforordning General Data Protection Regulation (GDPR), som træder i kraft 25. maj 2018, bør medføre store ændringer i vores behandling af data. Vi skal fx have alle brugerne af systemer til at forstå, at persondata selvfølgelig ikke længere ”bare” er noget man sender på en CD-rom til den kinesiske ambassade ved en fejl, men også hvad man internt må gøre med persondata.

Sikkerhed skal ikke længere bare være noget, der er implementeret i et system, men en måde at tænke på i organisationen, og som selvfølgelig er understøttet af systemerne. Det drejer sig om alt fra en fælles taksonomimodel, som skal forstås og accepteres af alle i organisationen til en forståelse af, at anvendelsen af systemerne ikke er frivillig og at organisationen stilles i en seriøs risikosituation hver gang et dokument ikke gemmes rigtigt i systemet eller måske helt udenfor systemet. Man skal derfor ikke se forandringsledelse som et frivilligt tilvalg til implementeringen, man skal se det som grundlaget for implementeringen, og at forandringsledelsen er lige så vigtig som selve systemet.

Forsimplet set er forandringsledelse øvelsen, der handler om at få implementeret ændringer i organisationer og få medarbejderne til at være medspillere i denne proces.

I ProActive arbejder vi efter ADKAR-modellen (Awareness, Desire, Knowledge, Ability, Reinforcement) til forandringsledelse. Den baserer sig på den simple tanke, at hvis man fx vil have brugerne til at anvende systemer eller processer på den måde, som de er designet til, så:

ADKAR modellen

Det er i princippet en meget simpel model men også en model, som stiller store krav til, at man meget tidligt i processen med implementering af et nyt system eller et nyt regelsæt kommunikerer klart og tydeligt derom, og får opbakning gennem ledelseslagene. Det er hér kæden ofte hopper af for mange (se bare på Sundhedsplatformen i Region Sjælland og Hovedstaden, som har fejlet på indtil flere af områderne), og specielt i forbindelse med EUs nye persondataforordning, der kommer til at have nogle betydelige implikationer for den måde, hvorpå vi alle arbejder med data og tænker sikkerhed.

Hos mange er arbejdet med GDPR pt. gemt væk i ”hemmelige” arbejdsgrupper, og resten af organisationen har måske hørt rygter eller skræmmebilleder om hvad GDPR dækker over. Det er vigtigt at denne tilgang ophører og at alle i organisationerne bliver informeret om processen og de forventede implikationer – GDPR skal betragtes som en forandringsledelsesopgave, ikke som et skjult projekt med ændring af nogle få systemer.

På det mere generelle plan er Erhvervsstyrelsens PrivacyKompas et rigtig godt sted at starte for at vurdere jeres parathed, men hvis I mener at I har styr på det tekniske/juridiske er nedenstående liste af spørgsmål et rigtigt godt supplement til PrivacyKompasset.

ADKAR processen