gdpr
gdpr
gillian loones

Indførelsen af GDPR har haft mange konsekvenser for både små og store organisationer. Mange organisationer er stadig i tvivl om, hvordan man korrekt implementerer GDPR i dagligdagen. Manglende overholdelse af GDPR kan have alvorlige konsekvenser, lige fra store bøder til alvorlige sikkerhedsbrud. Derfor er det vigtigt, at alle i organisationen ved, hvordan de skal håndtere data i dagligdagen. I denne blog vil vi tale om, hvordan awareness-træning kan bruges til dette og hjælpe en med at blive GDPR-compliant.

GDPR er stadig skyld i meget forvirring

GDPR blev indført af EU i maj 2018 for bedre at informere forbrugerne om, hvordan deres personlige data bruges og for at få bedre datahåndtering og beskyttelse af data i virksomheder.

Som et resultat indførte GPDR regler vedrørende håndtering af personoplysninger og forebyggelse af sikkerhedsbrud. Disse regler håndhæves gennem trusler om bøder for organisationer, der ikke overholder reglerne. Ved at følge Datatilsynets afgørelser, kan vi lære en del om, hvad der rent faktisk giver bøder i fremtiden.

Selvom GDPR nu har været i kraft i over 2 år, er mange mennesker stadig forvirrede over, hvordan det påvirker dem og deres organisation. For eksempel kan det stadig være uklart, hvad der udgør personoplysninger, hvad god praksis er, eller hvad konsekvenserne af ikke at overholde GDPR kan være.

Det kræver allerede en stor indsats at håndhæve GDPR, så det er kun normalt, at nogle medarbejdere er lidt fortabt i, hvordan man håndterer GDPR og personlige data i deres daglige arbejde.

Persondata er mange ting

Lad os kort illustrere, hvor forvirrende persondata kan være. Mange mennesker ved sandsynligvis ikke helt, hvad persondata betyder – bortset fra at det er information om en person. Det bliver hurtigt kompliceret, når du begynder at stille spørgsmål som:

Er din skostørrelse kategoriseret som personlige data?

Og hvad med din hårfarve?

mand-persondata

Personoplysninger er mange ting, og det kan være uklart, hvad der præcist betragtes eller ikke betragtes som personoplysninger. Næsten alle i din virksomhed kommer dog i kontakt med persondata hver dag, så det er vigtigt, at de forstår, hvad det er.

Vi definerer kort personoplysninger her. Hvis du gerne vil læse mere om definitionen, kan du læse mere her.

GDPR definerer personoplysninger som:

“Enhver information, der kan relateres til en identificeret person, eller data der direkte eller indirekte kan identificere en person“

Med andre ord: Hvis et stykke information handler om en bestemt person eller kan føre til en bestemt person, betragtes det som persondata.

Som du kan se på billedet, er personlige oplysninger mange ting! Selv skostørrelse og hårfarve kan inkluderes. Jeg er sikker på, at du kan tænke på mange flere eksempler, der ikke vises her.

Det er vigtigt at bemærke, at persondata ikke kun er tekst. En lydoptagelse, et foto eller en video med identificerbare oplysninger er også persondata.

Ikke alt persondata er ens: almindelige vs. følsomme persondata

Desværre slutter forvirringen ikke der. Personoplysninger kan yderligere opdeles i to kategorier afhængigt af hvor følsomt et stykke information er. Det er vigtigt, at dit team kan genkende følsomme persondata, fordi strengere regler gælder for håndtering af dem. Dette skyldes det faktum, at en overtrædelse af sådanne følsomme oplysninger kan have mere betydelige konsekvenser for de berørte mennesker. Det kan i værste fald føre til diskrimination eller trusler om fysisk skade på den person, som de følsomme personoplysningerne omhandler.

Almindelige persondata

Eksempler:

Disse kræver ikke nødvendigvis tilladelse til at blive håndteret, men du skal stadig være hensynsfuld og bruge sund fornuft.

Særlige kategorier af følsomme persondata

Eksempler:

Disse er følsomme personlige data, og enhver håndtering kræver særlig opmærksomhed – og ofte tilladelse.

poster persondata-ENG

En god måde at huske, hvordan man håndterer personlige data korrekt, er at tænke på det som noget, du låner fra en ven. Vi har lavet en plakat med disse huskeregler, som du kan hænge op i din virksomhed.

Nu ved du hvad persondata er. Du ved også, at det er vigtigt at håndtere persondata sikkert. Det vigtigste spørgsmål er selvfølgelig: ved alle andre i virksomheden det også?

Det er meget vigtigt, at denne viden ikke kun hviler i IT-afdelingen, men at alt personale i virksomheden er opmærksom på det og ved, hvad man skal være opmærksom på. Men som vi nævnte tidligere, kan det være svært for personalet at følge med i GDPR-regler.

For at illustrere vigtigheden af at hjælpe ens kollegaer med dette, så lad os se på, hvad der kan ske, når sikker datahåndteringspraksis ikke forstås godt nok i praksis.

De fleste sikkerhedsbrud skyldes menneskelige fejl, men sådan behøves det ikke være

Et sikkerhedsbrud betyder, at noget eller alt persondata, som en virksomhed håndterer bliver tilgået af folk uden for virksomheden. Det kan skyldes et uheld eller en ondsindet handling af en udefra.

Når folk tænker på sikkerhedsbrud, så tænker de ofte på ondsindede hackere, der angriber organisationens IT-systemer og stjæler data.

Det er bare sjældent virkeligheden. For det meste sker sikkerhedsbrud på grund af menneskelige fejl og små uheld.

Dette problem har to sider.

Den ene side er mennesker, der laver fejl eller håndterer data forkert, fordi de mangler viden om vigtigheden af sikker datahåndtering. Disse små fejl, der er skyld i sikkerhedsbrud, kan for eksempel være:

Det anden side af problemet er, at hvis medarbejdere er uopmærksomme eller uvidende, så er det denne uopmærksomhed, som hackere forsøger at udnytte. Hvis de kan få mennesker til at begå fejl, så behøver de ikke at hacke og udnytte IT-systemer. Derfor forsøger hackere sig ofte med social engineering-angreb såsom phishing-mails, der kan føre til databrud (du kan læse om Center for Cybersikkerheds phishing-anbefaling her).

Naturligvis forbliver teknisk IT-sikkerhed en vigtig del af at holde din organisation sikker. Forskellige tekniske værktøjer kan bruges til at reducere risikoen for sikkerhedsbrud såsom:

firewall

Men selvom tekniske værktøjer helt sikkert lykkes med at være yderst komplekse, er ikke engang de 100% effektive til at holde trusler ude. De er kun halvdelen af kampen og kan ikke forbedre:

Dit stærkeste forsvar mod sikkerhedshændelser er opmærksomme medarbejdere kombineret med klare processer til håndtering af data. Kort sagt: Alt personale skal klart forstå, hvad GDPR og persondata er, og hvordan det skal håndteres.

Awareness-træning: gør dit hold til dit stærkeste forsvar

Awareness-træning er et af de værktøjer, som din organisation kan bruge til i høj grad at forbedre dit teams viden om IT-sikkerhed og sikker datahåndtering.
Som vi beskrev tidligere i dette blogindlæg, kan GDPR være kompliceret. Du kan ikke forvente, at alt personale er eksperter i GPDR. Derfor kan et awareness-træningsprogram, der regelmæssigt giver personalet klare, enkle og praktiske forklaringer og eksempler på, hvordan man sikkert håndterer personlige data være til stor hjælp til at forbedre personalets adfærd.

Desuden, er opmærksomme medarbejdere, som løbende bliver mindet om IT-sikkerhed bedre rustet til at opdage phishing-angreb. Det er også mindre sandsynligt, at de laver andre fejl, såsom at gemme data forkert.

Udover opmærksomhed på IT-sikkerhed og vigtigheden af sikker datahåndtering skal personalet også være opmærksom på de specifikke processer og ansvarsområder vedrørende informationssikkerhed i din organisation. Enkelt sagt er det IT-afdelingens og ledelsens opgave at oprette klare processer, som personalet kan følge og at udpege folk, der kan hjælpe medarbejdere, der er i tvivl og generelt hjælpe med alt der vedrører GDPR og informationssikkerhed.

Organisationen skal etablere:

Medarbejdere skal være opmærksom på:

Awareness-træning kan gøres på mange måder

At komme godt i gang med awareness-træning er lettere, end du måske tror. Det hele handler om at give folk viden om persondata og IT-sikkerhed på en måde, som de let kan forstå og huske.

Derfor er det en god ide at sprede denne viden på flere forskellige måder og gennem flere kanaler for virkelig at skabe opmærksomhed på flest mulige måder.

Du kan f.eks. kombinere forskellige former for e-læring og fysisk undervisning. E-læring for at opnå en vis kontinuitet og tilskynde personalet til at lære i deres eget tempo. Fysiske tiltag for at udveksle ideer og omsætte viden til praksis.

Der er dog mange flere muligheder for at organisere et godt awareness-træningsprogram. Du kan være temmelig kreativ, hvis du vil. Nedenfor viser vi nogle eksempler på forskellige formater for træning:

E-læring: Korte online læringsmoduler, der består af videoer, tekst, quizzer og mere.

Fysisk undervisning: Længere sessioner givet af en instruktør. Dette kan tilskynde til diskussion eller at invitere en ekspert.

Simuleringer: Phishingsimuleringer og andre simuleringer giver folk mulighed for at øve deres viden i realistiske situationer med sikkerhedssituationer.

Workshops: For eksempel en workshop, hvor personalet kan placere sig i en hackers sko og lære at forstå, hvordan en hackere tænker.

Gratis tilgængeligt online materiale: Der er mange materialer tilgængelige online gratis. Dette spænder fra YouTube-videoer til regeringskampagner til plakater og diagrammer, du kan hænge på kontoret. Se for eksempel Sikker Digitals hjemmeside eller Datatilsynets egen hjemmeside.

Gruppeaktiviteter og spil: Disse kan være i forskellige formater, for eksempel et escape room eller et Cluedo-lignende scenario, hvor holdet skal finde ud af, hvordan og af hvem virksomheden blev infiltreret.

Det vigtige er, at der er mange muligheder for at lave awareness-træning. Vi har lavet en guide med 5 gode råd til, hvordan du lykkes med jeres awareness-træning.Du skal og kan vælge lige præcis de formater, der passer bedst til din organisation og dine behov, så længe du sikrer, at det tilføjer værdi til dine medarbejdere. En god awareness-træning er en, som personalet ikke ser som en byrde, men som de måske endda ser frem til.

Succesfuld awareness-træning resulterer i personale, der er intuitivt opmærksomme på, hvad de skal gøre i deres egen daglige arbejdsgang for at overholde GDPR, samtidig med at de forbedrer den generelle IT-sikkerhed i organisationen. I sidste ende kan medarbejdere, der er opmærksomme, vise sig at være dit stærkeste IT-sikkerhedsforsvar.

Tilmeld dig vores nyhedsbrev

Modtag nyheder om gratis skabeloner, værktøjer og blogindlæg fra CyberPilot

Gør som 2000+ andre og tilmeld dig vores nyhedsbrev. Her modtager du løbende inspiration, værktøjer og historier om god IT-sikkerhed – direkte i din indbakke. Vi sender ca. én gang om måneden.

Top