Alexandra Instituttet A/S // Aktuelt // Nyheder // Nyheder 2018 // Undervurdér ikke det menneskelige aspekt af GDPR-implementeringen

Undervurdér ikke det menneskelige aspekt af GDPR-implementeringen

Artikel

26-03-2018

Undervurdér ikke det menneskelige aspekt af GDPR-implementeringen

Mens du sidder og knokler med virksomhedens GDPR-persondatastrategi, så tag lige et kig rundt i organisationen. Få øje på de mennesker, der skal udføre retningslinjerne efter d. 25. maj. Har du dem med på vognen? Er de engagerede og klar? For hvis ikke du har dem med, risikerer du, at du ikke kommer i mål.

For at dit GDPR-projekt skal få nemmere ved at lykkes, har vi samlet lidt indsigter fra arbejdet med GDPR i danske virksomheder. Det er vores Specialist Anthropologist Laura Lyngaard Nielsen, der har fundet frem til dem ved at tale med medarbejdere i danske virksomheder.

Du vil nok opleve, at du kan genkende nogle af de typiske reaktioner fra dig selv, og at de er meget – ja, hvad skal man sige... menneskelige.

GDPR-strategien er en del af en forandringsproces

Det er en generel problematik i it-sikkerhed, at man forventer, at når it-sikkerhedsprojektet er rullet ud, følger medarbejdernes handlinger automatisk med. Man udarbejder guidelines og ser tiltagene som et implementerings- og ikke et forandringsprojekt, og hvis medarbejderne stadig ikke gør det rigtigt, må vi forsøge at forklare det hele igen.

Men man kan sætte ind langt før, ifølge Laura Lynggaard Nielsen. Hun har bidraget til en undersøgelse af virksomheders GDPR-parathed og identificeret, hvilke – menneskelige – aspekter man må forvente at kæmpe imod og derfor ligeså godt kan tænke ind fra starten i sin plan.

"Vi behøver nok ikke understrege, at planen ikke nødvendigvis går som ønsket, hvis man ikke har forstået at designe kulturændring ind i sin it-sikkerheds- og GDPR-strategi. Og det bliver endnu mere relevant op til 25. maj, hvor GDPR træder i kraft", forklarer Laura Lynggaard Nielsen.

"Den GDPR-strategi, I sætter i værk, er en del af en forandringsproces, som ofte medfører kulturændring. For hvad gør folk, hvis de oplever forandring uden inddragelse? De viger udenom og finder egne overlevelsesstrategier", siger hun.

Planen skal passe ind i praksis

I mange virksomheder er personhenførbare data en del af mange arbejdsgange. Det er vigtigt, at løsningerne til at håndtere dem passer ind i de praksisser, medarbejderne har i forvejen, og at planen giver mening for dem. Det kan hurtigt blive top-down og en følelse af, at "nu kommer ledelsen eller it-afdelingen også med deres GDPR-projekt". Medarbejderne har ikke været gennem samme modningsproces, som dem der har arbejdet med planen. Så de skal med på vognen.

Her kommer fire typiske træk, vi er stødt på hos danske virksomheder, der gør sig klar til persondataloven. Vi kommer samtidig med nogle anbefalinger til den menneskelige virkelighed, som strategi og GDPR skal ud og leve videre i.

SÆLG IDEEN IND – fordi vi gerne vil være en del af den positive fortælling

En af udfordringerne kan være at få medarbejderne med. Derfor skal I sælge projektet ind i organisationen. Fortæl de lokale historier, og læg vægt på den positive side: Hvordan er GDPR relevant for de enkelte afdelinger, og hvad kan virksomheden vinde ved arbejdet med GDPR? Det handler om at være modtagerorienteret i sin tilgang, så medarbejderne kan relatere det til deres egen virkelighed.

I større virksomheder kan et godt greb være peer-to-peer formidling: At en af de ansatte i afdelingen oplæres i GDPR/it-sikkerhed og fungerer som ambassadør i afdelingen, fordi vedkommende dels kan lære fra sig i det lokale og ofte ikke-it-faglige sprog, dels kan gå forrest og holde fanen højt.

"I skal supplere jeres oplæg på medarbejdermøder, fællesmails, eller multiple choice-træningsprogrammer, hvor folk kun tænker på at bestå, med en troværdig fortælling om, at det her virkelig er noget, virksomheden brænder for. Noget I gør sammen, og som er vigtigt for jeres forretning og overlevelse", forklarer Laura.

GØR DET NEMT AT KATEGORISERE DATA – fordi vi gerne vil tale sammen. Også om vores erfaringer med GDPR

Det er ret svært at tale om datasikkerhed i sig selv. Pludselig bliver du som enkelt medarbejder måske ansvarlig for noget data, du ikke tidligere tænkte over var persondata. Vi har set eksempler fra en kursusvirksomhed, der har noteret kursisters allergener. For dem har det været en lavpraktisk løsning, så man ikke serverede noget forkert til frokost. Men er det fremover en følsom oplysning? Og hvor det for virksomhederne før handlede om at samle så meget data som muligt for at blive mere datadrevne, handler det nu om at finde ud af, hvor lidt kan vi nøjes med, men også hvornår det skal slettes.

At arbejde med persondata under GDPR kræver en mindset-ændring: Hvor meget data har vi, og hvordan skal vi kategorisere dem?

"Jeg snakkede med en it-sikkerhedschef om forretningsdata. I deres virksomhed sætter projektejeren selv rød, gul eller grøn label på data, afhængig af hvor følsomme de er. Det betyder, at de tager mere ansvar for den kategorisering. Er alle røde, så fint nok, men det giver mere bøvl. Gør du til gengæld alle grønne, har du også et ansvar, hvis det går galt", forklarer Laura.

Der er mange overvejelser i dette punkt, men det vigtige er at skabe naturlige samtaler mellem medarbejdere og i ledelsen om it-sikkerhed i de daglige arbejdsgange, og hvorfor man gør, som man gør.

AUTOMATISER GERNE PROCESSERNE – for vi vil jo egentligt gerne, men orker ikke...

Det gælder for mange af os, at vi tilpasser os langsomt. Og medarbejdernes oplevelse af forandring er også afhængig af deres funktion, om de sidder i regnskab og er vant til at tænke over, at de håndterer persondata, eller om de arbejder med IP-adresser på et IoT-device og ikke er vant til at tænke på det som persondata.

Derfor kan det være godt at overveje, hvor meget man som medarbejder skal tage sig af, og hvor meget der kan ske automatisk. Det kan være en idé at have som standard, at medarbejderen skal logge ud, når denne forlader computeren for fx at hente en kop kaffe, eller at den automatisk selv gør det efter en vis tid. Eller at brugeren kan få feedback på styrken af nye passwords. Samtidig skal man passe på ikke at gøre proceduren for kompleks.

"I skal undgå unødige sikkerhedsforanstaltninger. De virker som overkill, og folk vil sjuske med det og finder deres egne work-arounds. Hvis ikke den it-sikkerhedsløsning, de får, passer ind, bruger de den ikke, eller bakker ikke op om den".
 
"Vi oplevede en forening, som havde en masse gamle data liggende, fordi det at tage stilling til sletning ikke var tænkt ind i deres system. De havde derfor information om både døde og udmeldte medlemmer. Samtidig brugte de ofte kommentarfelter, og de er tricky, fordi du ikke kan styre, hvilken slags oplysninger, der kommer ind ad den vej. Hvor du kun kan indtaste tal i alder eller postnummer i mere ’lukkede’ felter, kan du have alt muligt tekstinfo liggende i kommentarfelterne. Enten kan medlemmerne selv have skrevet det ind, eller det har været brugt som en del af administrationens arbejdspraksis. Det dur ikke længere, og det er et sted, foreningen kunne se, at det er fornuftigt at ændre procedurer. Nogle respondenter gav endda udtryk for, at kommentarfelter var noget, fanden havde skabt", siger Laura.

FORTÆL KUN DET NØDVENDIGE OG RELEVANTE – for vi kan ikke se truslen

Mange af os kan ikke se truslen og tænker: "Hvorfor skulle nogen hacke mig"? Så I skal gøre truslen åbenlys for den enkelte. Tag det ned på jeres virksomhedsniveau. Hvis I skal ændre procedure for samtykke, så formulér, hvad praksis er i dag, og hvad den vil være fremover – og ikke mindst hvorfor! Det kan være: ”Vi samler for meget data i dag, som vi slet ikke bruger”. Eller: ”Vi har det liggende for mange steder, så vi ved reelt ikke, hvilke data vi har på hvem". Det kan være en god ide at orientere sig mod sin brancheforening og ikke fortælle om hele det store GDPR-værk. Pil de vigtige ting ud, og gør det praktisk og gennemskueligt for medarbejderne.

I nogle tilfælde opnår man højere realsikkerhed ved at sænke ambitionsniveauet. Måske netop fordi ingen tror, at det sker for dem. Folk bliver henad vejen opmærksomme på, hvilke typer information, der er interessant om dem. Mange siger jo: ”Der er da ingen, der vil holde øje med mig. De vil da kede sig". Men man skal forstå, at man som medarbejder kan risikere at være adgangen til hele virksomheden. Mange cyberattacks begynder med en phishing-mail, hvor en medarbejder klikker på et usikkert link.

"Det er jo heller ikke fordi, folk ønsker at modarbejde, men fordi det er noget andet, man har fokus på i sit arbejde. Derfor skal de nye retningslinjer bakke op om den arbejdsgang så vidt muligt", slutter Laura Lynggaard Nielsen.

Profilbillede af Laura Lynggaard Nielsen
Specialist Anthropologist
+45 40 17 65 53
Åbogade 34, 8200 Aarhus N
Hopper bygningen, 3. etage lokale 332
.