Der var mening med Galskaben!
Persondataforordningen – og god projektledelse – har skabt uventet værdi i mange danske virksomheder
Introduktion
Det er sjældent, at tvungne initiativer skaber begejstring. Når jeg husker tilbage til foråret 2018, så var den generelle stemning omkring den nye persondataforordning da også mildest taget lunken. I mange af de organisationer, jeg kom i, var der oplevelse af, at det der med persondata, vist primært var noget, der vedrørte Facebook og Google, og nu havde bureaukraterne nede i Bruxelles igen fundet på nye administrative byrder, de kunne pålægge virksomhederne.
Jeg havde selv fornøjelsen af at blive projektleder for et projekt, hvis formål var at implementere den nye persondataforordning og sikre compliance med de nye regler. Min værtsorganisation var en stor europæisk forbrugerorganisation og et af succeskriterierne for vores projekt var at sikre, at vi undgik en shitstorm som følge af, vi ikke selv overholdt de fælleseuropæiske regler. Dette succeskriterie var et meget godt eksempel på den lidt afventende og reaktive position, vi – og mange andre virksomheder – havde til den nye persondataforordning.
Historik
Da vi i sommeren 2018 havde afsluttet og evalueret vores projekt, kunne vi med stor tilfredshed konstatere, at vores projekt var kommet i mål til tiden. Vi var lykkedes med at blive compliant med de nye regler, vi havde overholdt vores budget, og succeskriteriet omkring at undgå shitstorm var blevet indfriet. Faktisk var det lykkedes os at få positiv PR på vores projekt, så vores vigtigste interessenter udtrykte generel stor tilfredshed med projektet. I vores slutevaluering af projektet blev det endvidere tydeligt, at projektet havde haft en række positive sidegevinster fx i form af væsentlig bedre styr på vores data, fjernelse af ikke-værdiskabende dobbelt-registreringer og unødig omfangsrig arkivering samt oprydning og strømlining af nogle bøvlede arbejdsgange. Alt i alt fik vi ganske meget ros for vores resultater.
Når jeg talte med projektleder-kolleger i andre virksomheder, fik jeg opfattelsen af, at vores resultater ikke var ekstraordinære. Den helt store frygt for ”bål og brand” i forbindelse med manglende overholdelse af de nye regler var drevet over, og GDPR-skandalerne fyldte stort set ingenting i dagspressen.
Disse observationer førte til nysgerrighed efter at se lidt nærmere på, hvordan GDPR-projekterne egentlig forløb. På den baggrund udarbejdede jeg i efteråret en kort survey omkring GDPR-projekterne, for at samle lidt data på tingenes tilstand. Mit survey blev bl.a. sendt rundt til medlemmer i Dansk Projektledelse.
Dataindsamling
I alt har jeg samlet data fra 36 danske virksomheder, og det overordnede resultat flugter helt med mine egne oplevelser. GDPR-projekterne opleves generelt som relativ succesfulde. Stort set alle projekter melder, at de er lykkedes med at blive helt eller delvis compliant med den nye lovgivning. Og den rigtig gode historie er, at i tillæg til dette har langt over halvdelen af projekterne opnået klare gevinster for virksomhederne udover blot at overholde lovgivningen.
Sidegevinsterne
Som eksempler på sidegevinster der er opnået i GDPR-projekterne nævnes i de åbne kommentarer til undersøgelsen:
- Øget awareness om data generelt
- Styr på processer, procedurer og sikkerhed
- Oprydning i data samt i vores procedurer
- Større og bredere forretningskendskab
- User Autorisation og User Autentification kom der styr på. Ældre ikke sikrede IT-applikationer blev udskiftet til helt nye sikrede applikationer.
- Har skabt noget læring, som vi kan bruge i vores virke som advokater
- Styrket løsningssalg
- Vi er bedre beskyttet end tidligere mod databrud
- Sikkerhedsmæssige issues, som var gældende i forvejen, men uden særligt fokus, kommer frem og bliver synlige i organisationen
- Bevidsthed om GDPR, oprydning i gammelt materiale (digitalt og fysisk), optimering af forretningsgange, introduktion af e-læring (gamification) som redskab, revision af compliancefunktioner
- Projektet skabte større fokus på forvaltningsret generelt
- Det har haft positiv indvirkning på andre områder som f.eks. effektive sagsgange, journaliseringspligt og kendskab til lovgrundlag
Dette kan så sammenholdes med, at det i næsten ingen af projekterne har været defineret som et formål fra start af. Jeg synes at det giver stof til eftertanke. Næste gang et stort tværgående lovgivningsinitiativ skal lanceres, så er vi mange, der måske lige skal synke spyttet, inden vi lader galden flyde og huske, at sidste gang var der faktisk en rigtig god mening med galskaben.
Om undersøgelsen
36 virksomheder har deltaget i undersøgelsen. Over 60% af de deltagende virksomheder har over 200 ansatte. Ca. en femtedel har under 50 ansatte. Ca. tre fjerdedele af de deltagende virksomheder er private og resten er offentlige.