Sjekklister kan være ekstremt virkningsfulle verktøy. Men da må de lages riktig.
Denne sommeren leste jeg – igjen – «The Checklist Manifesto» av Atul Gawande. Boken gir et innblikk i hvor effektive sjekklister kan være innenfor mange områder, som flysikkerhet, medisin og operasjoner, og til og med investeringer.
Foruten å være meget godt skrevet og interessant med overbevisende eksempler på hvor bra og viktige gode sjekklister kan være, gir boken også noe veiledning i hvordan man skal skrive sjekkpunkter og sjekklister.
Jeg laget og brukt mange sjekklister gjennom årene, og ofte gir de lite hjelp siden de er for lange, for generelle punkter osv. Sjekkpunkter som «Følger dere X lov?», «Er behandlingen i overensstemmelse med GDPR?» osv. er så godt som ubrukelige da de er upraktiske siden de er vage, upresise, for generelle, for lange og dekker for mange krav mv. Å lage en sjekkliste er krevende om det skal være et godt verktøy, og ikke være laget av «desk jockeys» uten praktisk erfaring, som Gawande skriver.
Her er et sammendrag av de viktigste punktene om sjekklister (sammendrag av meg, og ikke av forfatteren, og med noen punkter lagt til av meg. Dette er også noe tilpasset behandling av personopplysninger, som jeg jobber mye med):
✅ Det må være klart når en sjekkliste skal benyttes, f.eks. «Det skal startes en ny aktivitet som innebærer behandling av personopplysninger, som innføring av et nytt it-system». Dette vil være en trigger for når sjekklisten skal hentes frem.
✅ Sjekklisten kan være «HANDLE-SJEKKE» (man gjør handlingen og så sjekker om alt er gjort, som en pakke-liste til en tur) eller «LESE-HANDLE» (som en oppskrift for lage en kake, for å bruke veldig praktiske eksempler).
✅ Punktene i sjekklisten kan være handlinger eller kommunikasjonspunkter. Sistnevnte er man skal stoppe og ta en samtale med eller konferere med de involverte før man går videre.
✅ Sjekklisten skal ikke være lang. Mellom fem og ni punkter er ideelt, men må sees an på situasjonen og mot risiko for at det gjøres feil. Listen kan deles opp i deler om den blir lenger, men ideelt skal listen ikke gå over en side. Det kan også lages forklaringspunkter som tillegg til listen, men ikke i listen – den skal være kort og oversiktlig.
✅ Ta høyde for at det kan oppstå forhold som er uventet og ikke dekket av sjekklisten. Det vil skje. Sjekklister kan dekke normale situasjoner (hva gjør man når ny behandling skal starte), og hva man skal gjøre dersom det skjer noe unormalt (det har skjedd et personvernbrudd).
✅ Gode sjekkpunkter er tilpasset den praktiske situasjonen, presise og konkrete, korte (skal ikke dekke alle punkter, men være påminnelse om kritiske punkter og få brukeren til å tenke), enkle å bruke i den konkrete situasjonen og tilpasset målgruppen (kortere og mer konkrete for profesjonelle brukere).
✅ Språket i sjekklister skal være enkelt og klart. Se an brukerne. Fagtermer kan kun brukes i sjekklister overfor profesjonelle.
✅ Husk at sjekklister vil ikke være fullstendige og forhindre feil, men skal være til hjelp. Man kan derfor ikke stole blindt på sjekklister heller.
✅ Det er vanskelig å tvinge folk til å følge sjekklister, så de må «selges inn».
✅ Test sjekklisten på det den er laget for. Helst flere ganger, og til sjekklisten virker. En sjekkliste vil alltid feile ved første test (!), og du vil bli overrasket over hvor mange endringer som gjøres i en sjekkliste ved testing.
✅ Oppdater og revider sjekklisten jevnlig. Helst gjennom praktisk bruk. En sjekkliste er kunnskap som er systematisert i praktisk form, hvor viktige erfaringer kondenseres og vi lærer best gjennom praktisk bruk.
Ovennevnte liste er trolig ikke egnet til en sjekkliste, siden den er for lang, men de understreker kanskje poenget 😊
Her et forsøk på en sjekkliste for ny behandling av personopplysninger (laget for personer som har kjennskap til GDPR og personvern):
🔲 Vurdere om behandling skjer innenfor formålet opplysningene ble samlet inn for
🔲 Vurdere grunnlag for behandling
🔲 Skjer det overføring eller behandling i land utenfor EØS, vurdere om dette kan gjøres.
🔲 Er databehandleravtale inngått og dekkende for behandlingen om det brukes databehandler?
🔲 Oppdater behandlingsprotokoll.
🔲 Hvordan skal rettighetene til registrerte skal oppfylles ved behandlingen, spesielt informasjon, innsyn og sletting. Lage eller endre rutiner?
🔲 Eventuelt oppdatere personvernerklæring.
🔲 Er tilstrekkelige tiltak på plass for sikre personopplysningene (konferere med IT/sikkerhet mv.)
🔲 Vurdere om det skal gjennomføres risikovurdering/DPIA for behandlingen.