Af Randi Wåhlin og Birgitte Kofod Olsen
Er du i stand til at passe på dine kunders og borgeres persondata? Det spørgsmål er lige nu sat gevaldigt på spidsen efter nogle år med store datalæk og ikke mindst, som et svar herpå, EU’s nye persondataforordning, der træder i kraft i maj 2018.
Med forordningen er det ikke blot din organisations omdømme og tillidsforhold til kunderne/borgerne, der er på spil. Der er også store økonomiske konsekvenser, hvis man ikke kan leve op til kravene. Både i form af bøder, ridser i omdømmet og mistet tillid hos kunderne og borgerne.
At have en god og sikker datahåndtering er dog ikke kun et spørgsmål om lovgivning. Det er også en organisatorisk praksis. I hverdagen handler det konkret om, at medejerne ikke kigger i data, de ikke må, videregiver følsomme oplysninger, glemmer at opdatere eller undlader at slette persondata, der ikke længere er nødvendige at behandle. Det handler kort fortalt om adfærd og kultur.
I Carve hjælper vi virksomheder og myndigheder med at leve op til lovgivning såvel som til at forankre praksis i organisationens kulturelle DNA. Vi arbejder med at styrke datakulturen ved hjælp af en kort 5-trins guide, der indeholder disse indsatser:
1 – Sæt ambitionen
Dette er afklaringsfasen. Sæt dig med ledelsen og definér, hvad god persondata er for os, og hvad ambitionsniveauet er i forhold til at skabe effektiv persondatabeskyttelse. Vil vi bare være i compliance, eller har vi højere dataetiske idealer? Og hvad betyder kundernes eller borgernes tillid for os? Har den indvirkning på oplevelsen af vores service?
Ambitionen har betydning for, hvordan de interne poltikker og procedurer skal se ud, hvordan vi definerer roller og ansvar, om der skal anvendes kontroller og hvor omfattende dokumentationen af databehandlingsaktiviteterne skal være.
5 trin til at skabe en ambitiøs og forankret datakultur
2 – Fastlæg konkret praksis
Bryd de abstrakte ambitioner ned til helt konkrete handlinger og retningslinjer, som ledere og medarbejdere både skal og ønsker at efterleve i praksis. Det er vigtigt, at anvisningerne for behandling af personoplysninger er kortfattede, klare og lettilgængelige. Som minimum skal de bygge bro mellem forordningens krav og jeres nuværende praksis.
Spændet mellem de to kan man identificere på flere måder. I Carve bruger vi kvantitative og kvalitative undersøgelser til at få et overblik over dataflows og den aktuelle databehandling. Det er også dette overblik, man bruger til at fortage den nu lovpligtige konsekvensanalyse eller data protection impact assesment (DPIA) og risikovurdering.
3 – Identificér forhindringer
Inden man hopper direkte i løsningsmodeller, er det ofte en god idé at bruge lidt tid på at finde ud af, hvilke reelle barrierer, der forhindrer medarbejderne i at opbygge den nødvendige dataadfærd. Mange af vores nuværende strategier er bygget op af urealistiske forestillinger om menneskets rationalitet, og vi indser derfor sjældent, at virkelighedens medarbejder handler både irrationelt og intuitivt.
Frem for at designe løsninger på formodninger, er det mere fordelagtigt at basere udviklingen af en ny datakultur på fx kontekstuelle interviews, der inddrager alle niveauer af medarbejdere. Ved fx at kigge med på skærmen, har vi mulighed for at få indsigt i og forstå, hvorfor medarbejderne har den dataadfærd, de har. Når vi ved dét, er vi bedre rustet til at ændre den.
4 – Skab initiativer
Nu er det tid til at skabe de initiativer, der skal understøtte bevægelsen fra faktisk til ønsket adfærd. Medarbejdernes bevæggrunde for at agere som de gør i forhold til databehandling og datasikkerhed tages med ind i løsningsdesignet. Effektiv kulturændring benytter viden fra psykologi og sociologi til at påvirke den kontekst, mennesker træffer deres beslutninger i.
Det kan både være ændring af struktur eller processer, den måde, vi kommunikerer på eller de små ubeviste handlinger gennem nudging.
Synlighed på en sikkerhedsproblematik kan fx skabes ved at sende konstruerede phishing e-mails og så tjekke, hvor mange medarbejdere, der alligevel hopper i med begge ben og uden omtanke skaber en sprække i virksomhedens it-sikkerhed. Både øvelsen og den interne fortælling om den, skaber synlighed og opmærksomhed på bestræbelsen på at få en styrket datakultur.
5 – Test og træning
Inden man implementerer store strukturelle eller kulturelle forandringer, er det en god ide at teste de forskellige løsningsforslag i mindre målestok. Dette kan f.eks. gøres gennem simulering eller på en udvalgt afdeling. Hermed skabes læring, der kvalificerer den store implementering.
Udover test er træning også et vigtigt element i at opnå en stærkere datakultur. Udstyr fx medarbejdere med viden og kompentencer, der gør dem ekstra opmærksomme på e-mails fra sære adresser, især dem, der indeholder vedhæftede filer eller links, og at rapportere usædvanlige e-mails eller vedhæftninger til it. Gennem systematisk træning, kan man forankre den gode datapraksis og dermed skabe en medarbejderkultur, der understøtter en sikker behandling og effektiv beskyttelse af persondata.
Birgitte Kofod Olsen
Tlf: (+45) 25260903
E-mail: bko@carve.dk
LinkedIn
Randi Wåhlin
Tlf: (+45) 28450928
E-mail: raw@carve.dk
LinkedIn