GDPR – Derfor er Awareness træningen så vigtig

Rigtig mange virksomheder står med GDPR udfordringen netop nu! GDPR som står for General Data Protection Regulation og som handler om nye krav til håndtering af Persondata, har du sikkert hørt om. Det er en forordning, som EU-landene er blevet enige om og som kommer til at udmønte sig i en dansk lov, som får navnet Databeskyttelsesloven. Den nye lovgivning kommer til at afløse den allerede gældende Persondatalov og træder i kræft 25. maj 2018. Så der er pludselig kun godt et halvt år tilbage, til at blive “compliant” – altså til at opfylde reglerne.

Hvis du også står som ansvarlig for, at jeres virksomhed lever op til forordningen, så læs med her. Jeg vil gerne komme med nogle bud på, hvad der får Awareness træning til at virke og hvorfor det er så vigtigt, at du skal begynde at interessere dig for det nu.

Det er naturligvis vigtigt at komme i gang med alle de fortegnelser og risiko-konsekvens analyser, der skal laves, så tidligt som muligt. Der ligger nemlig et stort stykke arbejde i at leve op til forordningen og den kommende nationale lovgivning. Det vil altså sige at du skal i gang NU, hvis du ikke allerede er i gang. Du skal også inddrage ledelsen, så du får forankret projektet og sikret de nødvendige ressourcer samt ledelsens bevågenhed.

Men herudover, vil jeg gerne slå et slag for afholdelse af Awareness træning for medarbejderne. Denne træning er en indføring i, hvorfor forordningen kommer, så medarbejderne forstår meningen. Men det er også en træning i hvad det så betyder for den enkelte medarbejder. Der er mange gode grunde til, at der er nødt til at være skærpet lovgivning på dette område, som har haltet så hårdt bagefter. Det bliver pludselig nemmere at forstå, når man ser det ud fra sit eget synspunkt. Hvad ville jeg selv synes om, hvis mine personlige data pludselig lå frit fremme på nettet og at den virksomhed, jeg havde betroet mine data, ikke har passet ordentligt på dem?

Desuden går GDPR rigtig godt i spænd med virksomhedens øvrige informationssikkerhedstiltag. Bl.a. fokuserer artikel 32 specifikt på informationssikkerhed og at man som dataansvarlig skal have “passende tekniske og organisatoriske foranstaltninger på plads”.

Der er i høj grad tale om at have gode processer og at bruge almindelig sund fornuft; det er altid godt at være bevidst, at have en sund skepsis og værne om virksomhedens data i det hele taget.

Når selve lovgivningen (det der er kendt indtil nu) er gennemgået, kommer man til det spændende punkt, som for mig at se, gør hele forskellen. Nemlig punktet omkring hvad det så betyder for den enkelte i deres dagligdag! Det går begge veje, for virksomhedens ledelse og den it-ansvarlige har brug for at vide, hvordan der arbejdes ude i den virkelige verden. Her kan du så have en værdifuld dialog med medarbejderne i en given afdeling om, hvad de gør og hvorfor og om man evt. kunne gøre det på en anden måde. Senere kan dette så føre til, at der nedskrives procedurer for korrekt handling. Men til at begynde med, er det vigtigt at der sættes tanker i gang hos medarbejderne. Min oplevelse er at alle i virksomheden herefter begynder at arbejde for dig og for det fælles formål. Man vil opleve at medarbejdere efter mødet, kommer tilbage og spørger om en specifik adfærd er i orden – også efter de nye regler.

Fokuser på, hvad der er i spil for de mennesker du har i rummet, som Morten Münster skriver i bogen “Jytte fra Marketing er desværre gået for i dag”. Det er en bog jeg godt kan anbefale og som handler om adfærdsdesign der virker. Dette er godt i tråd med hvordan du får den nye databeskyttelseslov til at fungere, da det i sidste ende er medarbejderes adfærd der skal sikre at I bliver compliant. Man kan have nok så mange fantastiske it-systemer, men hvis medarbejderne ikke har forstået hvilken adfærd der forventes, er dette ikke absolut nok.

Det er vigtigt at man ikke bruger en masse tid på “Det her må du IKKE gøre”, men hellere sørger for, at få nedskrevet procedurer for “Sådan gør du”.

For det er først, når den enkelte forstår, hvad det er for konkrete handlinger i hverdagen, der skal foretages, at Compliance kommer til at leve i organisationen. Sørg for at give konkrete eksempler på hvad det er for en konkret adfærd, der ønskes under de nye rammer.

Med de konkrete adfærdstiltag bliver der skabt en konkret virksomhedskultur, en korpsånd, hvor alle har lyst til at hjælpe til beskyttelse af kundernes og egne persondata og kan se meningen med det. Kulturen vil udspringe af vores handlinger. Man får en holdning baseret på disse handlinger, som Morten Münster så rigtigt formulerer det.

Jeg hører rigtig gerne dine erfaringer og kommentarer.