Sikker nok? Blog om informationssikkerhed

GDPR: Gør det nemt at gøre det rigtigt

[fa icon="calendar"] 20. november 2017 / af Jakob Holm Hansen

Det er ikke i et dokument, men i hverdagens praksis jeres virksomheds sikkerhedspolitik skal stå sin prøve. Fra en af Neuparts specialister i informationssikkerhed kommer her gode råde til at skabe awareness om GDPR og få jeres medarbejdere til at efterleve de nye krav.

I lovteksten til GDPR står der, at man skal uddanne sine medarbejdere i sikring af persondata. Men der står ikke noget om, hvordan man uddanner sine medarbejdere i sikring af persondata.

“Den del er åben for fortolkning, så der må man være kreativ,” siger Lone Forland, som er produktspecialist i Neupart og bl.a. underviser i brugen af awareness-kampagner.

Kampagner om informationssikkerhed – eller awareness-kampagner – er organisationens forsøg på at få virksomhedens sikkerhedspolitikker til at leve i dagligdagen i form af gode råd og tips til efterlevelse. 

Viden og vilje til forandring

Lone Forlands første råd til at skabe awareness omkring et stort og vigtigt tiltag som GDPR er at informere om, hvorfor GDPR overhovedet stiller nye, skrappe krav til håndteringen af persondata.

“Mennesker er sådan indrettet, at hvis vi forstår hvorfor vi skal gøre noget anderledes, så er der også langt større sandsynlighed for, at vi rent faktisk gør det. Det handler om at have både viden og vilje til at skabe en forandring,” siger Lone Forland og understreger, at der faktisk er gode årsager bag stramningerne i GDPR, så det er ikke nødvendigvis en svær opgave at få medarbejderne til at forstå initiativet.

Sikkerhed skal være simpelt

Dernæst er det Lone Forlands personlige kæphest, at man skal gøre det nemmere og mere simpelt for medarbejderne at gøre det rigtige. Det er de færreste mennesker, som bevidst ønsker at kompromittere virksomhedens sikkerhed. Men hvis det er for besværligt at gøre det korrekte, kommer de ofte til at gøre noget, de ikke må.

Der er eksempelvis virksomheder, der har regler om, at papirer med persondata skal makuleres, så snart de ikke længere bliver anvendt. Men mange makulerer ikke disse papirer, fordi der kun findes én makuleringsmaskine i virksomheden, og den befinder sig måske på en anden etage. Det betyder, at dokumenter med persondata ofte ligger og flyder i skuffer, på skriveborde osv.

“I stedet for at blive ved med at løbe panden mod en mur, kunne man måske overveje at stille flere makuleringsmaskiner op? Eksempelvis én ude foran det mest anvendte møderum? Man vinder rigtig meget ved at gøre it-sikkerhed nemmere for medarbejderne,” siger Lone Forland.

Sikkerhed må godt være lidt sjovt

Én af de bedste it-sikkerhedskampagner, Lone Forland har set, kom fra en virksomhed, der kombinerede en række kommunikationstiltag i en koordineret indsats.

Virksomheden indledte kampagnen med at placere en lille hængelås på hver medarbejders skrivebord med et spørgsmålstegn på. Det fik de ansatte til at undre sig og snakke sammen. Dernæst udsendte de e-mails med information om kampagnen, og direktøren for virksomheden samlede alle til et kort møde, hvor han fortalte om baggrunden for kampagnen. Det hele blev afsluttet med en quiz, hvor afdelingerne dystede mod hinanden, og vinderne fik en symbolsk præmie.

“De nåede rigtig mange med den kampagne, fordi den spillede på flere forskellige tangenter. Mennesker er forskellige, og derfor vil det være forskelligt fra person til person, hvad der har størst effekt. Det gode råd er at være kreativ, få involveret ledelsen og gøre det bare en lille smule sjovt, så it-sikkerhed ikke altid bliver forbundet med sur pligt,” slutter Lone Forland.

4 gode råd til at skabe GDPR-awareness

  1. Få ledelsens opbakning. Der sker noget magisk med et budskab, når det kommer fra direktøren og ikke fra it-afdelingen
  2. Brug en kombination af forskellige virkemidler til at skabe awareness – ex små gimmicks, plakater, e-mails, møder og quizzer
  3. Spil på konkurrenceelementet. De fleste mennesker kan godt lide at stå frem som det gode eksempel. Især når de dyster mod deres kolleger
  4. Få professionel kommunikationshjælp. Det betaler sig at kommunikere i et sprog, jeres medarbejdere forstår. Det kan være via tekst, video eller grafik, og det behøver ikke at være dyrt

Yderligere om Awareness-kampagner

Webinar:
Sådan planlægger og kører du en effektiv awareness-kampagne

Bliv klogere på hvordan du kan tilrettelægge din næste awareness-kampagne om informationssikkerhed på Neuparts næste gratis-webinar.

Læs mere og tilmeld dig her

Quiz-værktøj

Neuparts ISMS-værktøj understøtter jeres awareness-arbejde og indeholder bl.a. et quiz-modul, der dokumenterer og forbedrer organisationens sikkerhedsviden. Læs mere her

Emner: awareness, informationssikkerhed, GDPR

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.

Populære indlæg