Regulering som den europæiske GDPR har virkelig sat håndtering af privatlivsbeskyttelser på alle virksomheders dagsorden. Individuelt ejerskab af personlige data blev understreget, og virksomheder over hele verden blev tvunget til at beskytte denne rettighed i overensstemmelse med lovgivningen.
Det er fortsat en udfordring for mange virksomheder at beskytte personlige data på en konsekvent måde. En nylig Espresso-undersøgelse fra DNV viser, at modenheden i dag kun er steget en smule siden en lignende undersøgelse fra 2019. Da GDPR blev implementeret for 4 år siden, kæmpede virksomhederne for at sikre overholdelse. Det ser ud til, at netop dette fortsat er den vigtigste vinkel for mange virksomheder. Det kan imidlertid være meget begrænsende kun at forholde sig til håndtering af privatlivsinformation fra et juridisk perspektiv.
Mennesker er den vigtigste kilde til risiko
Virksomhederne i undersøgelsen angav menneskelige fejl som den største risikokilde (44,5 %). Derefter følger manglende viden blandt medarbejderne eller dårlig organisationskultur (27,7 %) og manglende juridisk kompetence/fortolkning af lovkrav (25,3 %). Bekymring for organisatoriske, kulturelle og kompetencemæssige spørgsmål snarere end for eksterne trusler er i dag ikke nødvendigvis meget forskellig fra det billede, vi så i 2019. Der er dog sket et skift fra it til mennesker. I 2019 var forbedring af it-sikkerheden det primære investeringsområde, det overgås nu af uddannelse og kompetenceopbygning af personalet. Dette prioriteres af næsten hver anden virksomhed.
Når menneskelige fejl og manglende viden betragtes som store risici, betyder det ofte, at der ikke for alvor har været tale om en effektiv kulturændring. Dette kan let afbødes ved at indføre en formel model for sikring af ledelsessystemet. Alle organisationer oplever ændringer i bemanding, f.eks. på grund af opsigelser og ansættelse af nye ressourcer. Dette kræver med jævne mellemrum uddannelse af nye medarbejdere eller en opdatering af det eksisterende personales viden og kompetencer.
Opbygning af en effektiv sikkerhedskultur
Behovet for en effektiv sikkerhedskultur kan bedst opfyldes ved implementering af et ledelsessystem baseret på best practice som beskrevet i ISO 27701-standarden om håndtering af privatlivsbeskyttelse. Standarden indeholder specifikke krav til regelmæssig uddannelse og kompetenceopbygning for at sikre et ensartet niveau i hele organisationen. Dette fører til øget engagement og giver medarbejderne mulighed for at tænke i "privatlivsbeskyttelse", hvilket hjælper dem til at håndtere "usikkerhed" i forbindelse med privatlivets fred bedre. Erfaringer fra andre områder, f.eks. informationssikkerhed, har klart vist, at en organisation kan opbygge og forbedre en sikkerhedskultur ved at indføre et ledelsessystem.
I et samfund hvor vi alle er forbundet strækker truslerne mod privatlivets fred sig fra informations- og cybersikkerhed til virksomhedens egen eller tredjeparts uretmæssige, om end utilsigtede, brug eller lagring af data. Investeringer i it-sikkerhed er afgørende og på mange virksomheders dagsorden, da de fleste virksomheder i dag er udsat for trusler. Det svage led i datakæden er imidlertid ofte den person, der bruger oplysningerne, og de enheder eller den software, der håndterer dem. Dette understreger det store behov for regelmæssig uddannelse. Det kan være e-learning, kortere kurser eller mere omfattende uddannelse for alt personale, der er involveret i datahåndtering.
Systemer giver en robust og pålidelig proces
Der er naturligvis andre aspekter, der er vigtige ud over et ledelsessystem, der opfylder kravene. Det er f.eks. vigtigt, at der findes interne fageksperter, der er ordentligt uddannet, og som er agerer som kontaktpersoner i forbindelse med forespørgsler eller tvivl blandt personalet. Sådanne eksperter kan også hjælpe virksomhederne i forbindelse med design og standardfortrolighed. Det sikrer systematisk datasikkerhed ved at gennemføre processer, der begrænser indsamling og behandling, sikrer kvalitet, styrer opbevaring og sletning samt sikrer kontrol i forbindelse med overførsel af data i designfasen af ethvert projekt eller ændringer i den måde, hvorpå data håndteres.
DNV-undersøgelsen viste, at virksomhederne investerer meget i uddannelse og kompetenceopbygning af personalet for at mindske risikoen for menneskelige fejl. Investering i kompetence er altid en konstruktiv tilgang. Vi ser en mulighed for, at virksomheder, der investerer kraftigt i uddannelse, kan kombinere dette med implementering af et ISO 27701-system til forvaltning af fortrolige oplysninger for at opnå en mere robust, modstandsdygtig og pålidelig tilgang.
Af Nanda kumar Shamanna, ICT Business Manager, DNV
