Prøv NorthGRC
Blog om informationssikkerhed, GDPR og compliance

GDPR awareness: Gør det nemt at gøre det rigtigt

[fa icon="calendar"] 5. december 2023 / af Jakob Holm Hansen

Det er ikke i et dokument, men i hverdagens praksis jeres virksomheds databeskyttelsespolitik skal stå sin prøve. Fra en af NorthGRC's specialister i informationssikkerhed kommer her gode råde til at skabe awareness om GDPR og få jeres medarbejdere til at efterleve kravene.

I lovteksten til GDPR står der, at man skal uddanne sine medarbejdere i sikring af persondata og databeskyttelse. Men der står ikke noget om, hvordan man uddanner sine medarbejdere i sikring af persondata.

“Den del er åben for fortolkning, så der må man være kreativ,” siger Lone Forland, som er produktspecialist hos NorthGRC og bl.a. underviser i brugen af awareness-kampagner og databeskyttelse.

Kampagner om informationssikkerhed – eller awareness-kampagner – er organisationens forsøg på at få virksomhedens sikkerhedspolitikker til at leve i dagligdagen i form af gode råd og tips til efterlevelse. 

Viden og vilje til forandring

Lone Forlands første råd til at skabe awareness omkring et stort og vigtigt tiltag som GDPR er at informere om, hvorfor GDPR overhovedet stiller skrappe krav til håndteringen af persondata.

“Mennesker er sådan indrettet, at hvis vi forstår, hvorfor vi skal gøre noget anderledes, så er der også langt større sandsynlighed for, at vi rent faktisk gør det. Det handler om at have både viden og vilje til at skabe en forandring,” siger Lone Forland og understreger, at der faktisk er gode årsager bag de stramme krav i GDPR, så det er ikke nødvendigvis en svær opgave at få medarbejderne til at forstå initiativet.

Sikkerhed skal være simpelt

Dernæst er det Lone Forlands personlige kæphest, at man skal gøre det nemmere og mere simpelt for medarbejderne at gøre det rigtige. Det er de færreste mennesker, som bevidst ønsker at kompromittere virksomhedens sikkerhed. Men hvis det er for besværligt at gøre det korrekte, kommer de ofte til at gøre noget, de ikke må.

Der er eksempelvis virksomheder, der har regler om, at papirer med persondata skal makuleres, så snart de ikke længere bliver anvendt. Men mange makulerer ikke disse papirer, fordi der kun findes én makuleringsmaskine i virksomheden, og den befinder sig måske på en anden etage. Det betyder, at dokumenter med persondata ofte ligger og flyder i skuffer, på skriveborde osv.

“I stedet for at blive ved med at løbe panden mod en mur, kunne man måske overveje at stille flere makuleringsmaskiner op? Eksempelvis én ude foran det mest anvendte møderum? Man vinder rigtig meget ved at gøre it-sikkerhed nemmere for medarbejderne,” siger Lone Forland.

Sikkerhed må godt være lidt sjovt

Én af de bedste it-sikkerhedskampagner, Lone Forland har set, kom fra en virksomhed, der kombinerede en række kommunikationstiltag i en koordineret indsats.

Virksomheden indledte kampagnen med at placere en lille hængelås på hver medarbejders skrivebord med et spørgsmålstegn på. Det fik de ansatte til at undre sig og snakke sammen. Dernæst udsendte de e-mails med information om kampagnen, og direktøren for virksomheden samlede alle til et kort møde, hvor han fortalte om baggrunden for kampagnen. Det hele blev afsluttet med en quiz, hvor afdelingerne dystede mod hinanden, og vinderne fik en symbolsk præmie.

“De nåede rigtig mange med den kampagne, fordi den spillede på flere forskellige tangenter. Mennesker er forskellige, og derfor vil det være forskelligt fra person til person, hvad der har størst effekt. Det gode råd er at være kreativ, få involveret ledelsen og gøre det bare en lille smule sjovt, så it-sikkerhed ikke altid bliver forbundet med sur pligt,” slutter Lone Forland.

4 gode råd til at skabe GDPR-awareness

  1. Få ledelsens opbakning. Der sker noget magisk med et budskab, når det kommer fra direktøren og ikke fra it-afdelingen
  2. Brug en kombination af forskellige virkemidler til at skabe awareness – ex små gimmicks, plakater, e-mails, møder og quizzer
  3. Spil på konkurrenceelementet. De fleste mennesker kan godt lide at stå frem som det gode eksempel. Især når de dyster mod deres kolleger
  4. Få professionel kommunikationshjælp. Det betaler sig at kommunikere i et sprog, jeres medarbejdere forstår. Det kan være via tekst, video eller grafik, og det behøver ikke at være dyrt

Emner: GDPR, Databeskyttelse, informationssikkerhed, awareness

Om vores GRC blog

Vores GRC blog giver gode råd og viden om effektiv styring af governance, risk og compliance. Vi fokuserer på at tale primært om informationssikkerhed og databeskyttelse. Standarderne er oftest ISO 27001/2, GDPR, NIS2, DORA og TISAX.

Populære indlæg

Prøv NorthGRC

NorthGRC har siden 2002 hjulpet organisationer med at leve op til compliancekrav, bl.a. indenfor informationssikkerhed og databeskyttelse. Vi er forskellig fra de traditionelle konsulenthuse, fordi vores egenudviklede GRC-værktøj til styring og ledelse af ISO 27001/2, GDPR, NIS2 og mange andre compliance standarder, sparer virksomheders tid og kræver færre konsulenttimer.

NorthGRC A/S - Tobaksvejen 23 B, 1. sal - 2860 Søborg

© 2024 NorthGRC   -   Privacy policy
[fa icon="chevron-up"]