Många företag och myndigheter är mitt inne i arbetet med anpassning till den nya dataskkyddsförordningen GDPR som ska börja tillämpas i maj. Ett av dem är betaltjänstföretaget Klarna. ”Se arbetet som en möjlighet till varumärkesbyggande och employer branding, inte som ett problem”, säger Caroline Olstedt Carlström, dataskyddsexpert och delägare på advokatbyrån Lindahl.

Caroline Olstedt Carlström arbetade fram tills i våras som ansvarig för dataskyddsfrågor på Klarna. Hon har också suttit med som expert i dataskyddsutredningen. På Klarna ledde hon arbetet med anpassningen inför GDPR, ett arbete som fortfarande pågår och har tagit flera år.

– Klarna är en modern spelare i en digital miljö, företaget vill arbeta framåt och vara ett globalt alternativ. Det betyder att man måste vara duktig på alla delar som är viktiga för kunder och dataskyddet är självklart viktig, säger hon.

Caroline Olstedt Carlström betonar att frågan om dataskydd ytterst handlar om förtroende och relationen till kunderna.

– Den största risken för företag är inte sanktionsbeloppen som kommer att finnas, även om de är höga. Den största risken är att kunder tappar förtroende för hur ett företag hanterar frågan, säger hon.

Arbetet med GDPR-anpassningen kan sammanfattas på ett enkelt sätt: det handlar om ordning.

– Man ska ha ordning på torpet, se till att man har överblick och kontroll över sin datahantering, säger Caroline Olstedt Carlström.

För Klarna började arbetet för flera år sedan.

– Klarna identifierade tidigt att det här var ett område som behövde hanteras, och konstaterade att det inte fanns någon anledning att vänta. Klarna får stort förtroende från sina kunder och det måste förvaltas väl, säger hon.

Den senaste tiden har det varit fem personer som har arbetat heltid med dataskyddsfrågor på Klarna. Några quick fix-lösningar för att göra anpassningen finns inte.

– Man måste göra det på rätt sätt och det tar tid att göra ändringar i system och rutiner, och arbetet måste ske i hela organisationen, säger hon.

När Caroline Olstedt Carlström började arbeta på Klarna år 2012 skapade hon ett nytt nätverk av "data protection champions" – personer som arbetade i olika delar av organisationen.

– Jag insåg att jag inte kunde göra allt själv och skapade ett nätverk med 35 champions. De blev specialisterna på dataskydd på sin avdelning, säger hon.

Nätverket bestod inte av personer med någon speciell roll eller utbildning.

– Ett viktigt skäl till att det blev så bra var att det byggde på lust att göra detta. Vi frågade vilka som var intresserade och ville jobba med det här.

En annan viktig del i arbetet på Klarna var att utgå från organisationens arbetssätt, istället för att börja uppifrån.

– Ett exempel kan vara att man sitter tillsammans med kundtjänsten och ser och går igenom hur arbetet går till. Att arbeta med dataskydd måste vara ett arbete som är bottom-up, man går ut i organisationen och är med och dokumenterar tillsammans, säger hon.

Caroline Olstedt Carlström betonar också vikten av att börja med de delar där det finns störst risker när det gäller personlig integritet, ett exempel kan vara om man har många rehabärenden som rör personal.

– Arbetet med att skapa en ansvarsfull databehandling handlar om många olika delar. Allt ifrån att identifiera system, accesspunkter och databaser.

Ett råd är att organisationen ser till att ha en dataskyddsansvarig.

– Om man inte vet var informationen finns kan det till exempel innebära att det blir möjligt för utomstående att komma åt uppgifter. Det gäller att få ledningen att förstå vilken dignitet det finns i den här frågan också, säger hon.

Text: Susanne Rydell