Johanna är den första som har denna tjänst hos Sandvik; hennes uppgift har varit att sätta upp privacy som complianceområde. Det har hon gjort genom att implementera The Business Area Global Privacy Program, som har som syfte att tillse att privacylagstiftning och hanteringen av Sandviks kunder och medarbetares personuppgifter respekeras i alla länder där koncernen verkar.

– Lagar som GDPR är ganska tydliga med vad som måste finnas och vilka principer som skall efterlevas. Detta jobbar vi med inom ramen för privacyprogrammet. Tanken är att det skall vara ett kontinuerligt arbete som sker i hela organisationen så att vi är motståndskraftiga och har en hög medvetenhet.

Johanna kommer tidigare från en tjänst som Head of Compliance på Verisure. Även där fick hon uppdraget att bygga upp många processer från grunden. Tjänsten på Sandvik är dock den första där Johanna får jobba med bara privacy av complianceområdena.

– Det var i samband med ett tidigare uppdrag som jag fick upp ögonen för ämnet. Jag satt med mycket avtal då, och under den perioden kom GDPR. Den tidigare svenska motsvarigheten har ju varit personuppgiftslagen, som inte är känd som jättespännande, så jag tror inte att det var någon som då tänkte att GDPR skulle bli så stort och viktigt som det är idag. Man såg det nog mer som någonting som skulle implementeras och sättas på plats, inte ett regelverk som skulle arbetas med kontinuerligt. Jag blev i alla fall glatt överraskad, och insåg att jag tyckte att de här frågorna var riktigt intressanta!

Sandvik är en global koncern, med anställda i många olika länder, hur påverkar det ditt arbete?

– Jag skulle säga att data privacy i sin natur är något som sträcker sig över landsgränser. För det mesta ser vi samma typ av lagstiftning i alla länder, där endast små variabler kan skilja. Internet är trots allt, i de flesta länder, globalt. Samtidigt så handlar privacy mycket om hur man ska hantera personuppgifter i ett specifikt land. Det är alltså ett område som är både nationellt och globalt.

Att bevaka global policy kring personuppgifter är ingen lätt uppgift. Johanna beskriver det som att det flera gånger i veckan dyker upp någon ändring i något regelverk som påverkar koncernen. Eftersom de flesta länder idag har någon typ av lagstiftning gällande hantering av personuppgifter, är det många lagar, domstolsfall och rörelser att bevaka.

Vilka potentiella risker ser du framöver?

– Jag ser till exempel att AI och hela digitaliseringen är en stor risk som vi kanske inte har förstått fullt ut. Bägge är i grunden bra verktyg och innovationer, men jag upplever att vi inte tar hotet som de utgör på tillräckligt stort allvar. Vet vi vilken data de samlar in? Vet vi vart den hamnar? I takt med att fler och fler människor lever en stor del av sitt liv uppkopplade till internet, så tror jag att vi måste börja värna den mänskliga integriteten även där, på riktigt.

Vi ser idag algoritmer som kan samla in data på ett otroligt detaljerat sätt, i bästa fall för annonsprofiler eller förbättrad användarupplevelse, i värsta fall för att användas i till exempel politiska syften. Johanna utvecklar vidare varför detta är ett större hot än vad många utav oss vill låtsas om:

– Där tror jag att företag, precis som privatpersoner, tidigare har haft en lite naiv inställning. Man kanske tänker att “Det är ju ingen som bryr sig om vad jag lägger upp eller googlar på”, men faktum är att det finns de som bryr sig väldigt mycket. På samma gång borde det inte heller vara upp till privatpersoner att behöva tänka till varje gång de går in på en webbplats. Vi borde ha bättre integritetsskydd på plats. Och ur bolagens synvinkel borde den tryggheten vara någonting man själv vill eftersträva, både för sig själv och sina kunder. Man märkte när GDPR kom att många närmade sig det som något man skulle sätta på plats för att det krävdes, men det är ju i grund och botten bara god företagshygien att ha koll på all sin data.

Johanna menar att man borde vilja veta exakt vart all den data man samlar in hamnar och vad den används till. För att kunna erbjuda sina kunder en trygg upplevelse med ens tjänst. På andra sidan av det spektrumet måste man som företag också vara medveten om vilka tjänster man själv använder.

– Automatisering och digitalisering är i största grad nödvändigt idag, men att inte veta var man har all information, vilka servrar, i vilka länder – är oansvarigt. Automatisering innebär en förlust av kontroll, så jag skulle säga att vissa uppgifter fortfarande kräver mänsklig översyn. Vi måste reglera de här programmen ganska ordentligt nu, annars innebär det otroliga risker.

Skulle du säga att svenska storbolag har kommit tillräckligt långt i utvecklingen?

– Internet har funnits ett tag nu, och jag tror att många av oss börjar inse att de stora aktörerna på internet inte kommer göra hela regleringsarbetet själva. De har sin affär att se till, och vi måste ta hand om vår. Jag tycker att man ser en positiv trend av att fler och fler företag tar de här frågorna på allvar idag. Vi börjar inse att vi inte ska ha alla personuppgifter tillgängliga i alla system, till exempel. Man märker också tydligt vilka ledningsgrupper som tycker det här är viktigt, och vilka företag som är mogna i detta.

Dock finns det fortfarande de som halkar efter, eller helt enkelt inte förstår riskerna med ett bristfälligt arbete, berättar Johanna. Många av dem får ett bryskt uppvaknande om de utsätts för till exempel en hackerattack, då det ofta innebär stulna eller kapade personuppgifter.

–Det räcker helt enkelt inte att bara skydda sig mot att bli hackad, du måste även skydda dig och dina medarbetare för när du blir hackad. Cyberbrottslighet, det vill säga brott som begås på internet som att till exempel kapa personuppgifter, ökar exponentiellt idag och har sedan länge gått om narkotikahandel som den vanligast förekommande typen av brottslighet. Det kan vi inte blunda för längre. Det är bättre att vara beredd på det värsta än att hoppas på det bästa. Jag upplever att många i ledningsgrupper på företag kan ha inställningen: “Det här kan vi väl lösa senare?” Men då har man inte förstått vad compliance är, det handlar ju alltid om att lösa saker först.

 

Text: Selma Louf

 

Hämta ditt exemplar av Compliance Nytt, nummer 3-2023, här.