Det er ikke i et dokument, men i daglig praksis at bedriftens sikkerhetspolicy må bestå testen. Her kommer vi med gode råd for å skape bevissthet om GDPR og få deres medarbeidere til å etterleve de nye kravene.
Lovteksten til GDPR sier at det er nødvendig å utdanne sine ansatte i å sikre personopplysninger. Men det står ikke noe om hvordan man skal trene sine ansatte i sikre disse personopplysningene.
"Den delen er åpen for tolkning, så her må man være litt kreativ", sier Lone Forland, vår produktspesialist.
Kunnskap og vilje til forandring
Lone Forlands første råd for å skape bevissthet rundt et så stort og viktig tiltak som GDPR, er å informere om hvorfor GDPR i det hele tatt stiller nye og strengere krav til håndtering av personopplysninger.
- Mennesker er stort sett innrettet slik at om vi forstår årsaken til en ønsket atferdsendring, er det også større sannsynlighet for at vi faktisk endrer atferd. Det handler om å ha både kunnskapen og viljen til å skape en forandring, sier Lone Forland, og understreker at det faktisk er gode grunner til oppstrammingene i GDPR. Slik sett er det en ganske takknemlig oppgave å få de ansatte til å forstå dette initiativet.
Sikkerhet må være enkelt
Så er det Lone Forlands personlige kjepphest at man skal gjøre det sø enkelt som mulig for de ansatte å gjøre det rette. De færreste ønsker bevisst å kompromittere selskapets sikkerhet, men hvis det er for komplisert å gjøre det korrekte, kommer de ofte til å gjøre noe de ikke bør.
Det er eksempelvis virksomheter som har regler om at papirer med personopplysninger skal makuleres så snart de ikke lenger er i bruk. Men mange makulerer ikke disse papirene, fordi det bare finnes én makuleringsmaskin i bedriften, og den befinner seg kanskje i en annen etasje. Dette betyr at dokumenter med personopplysninger ligger og flyter i skuffer, på skrivebord, etc.
- I stedet for å stange hodet i veggen, kunne man f.eks. vurdere å sette opp flere makuleringsmaskiner? Eksempelvis en utenfor det mest brukte møterommet? Du vinner mye på å gjøre IT-sikkerhet enklere for de ansatte, sier Lone Forland.
IT-Sikkerhet kan gjerne være litt gøy
En av de beste IT-sikkerhetskampanjer Lone Forland har sett, kom fra et selskap som kombinerte en rekke kommunikasjonstiltak i en koordinert innsats.
Selskapet innledet kampanjen med å plassere en liten hengelås med et spørsmålstegn på hver medarbeiders skrivebord. Det fikk de ansatte til å undre seg og snakke sammen. Deretter ble det sendt ut en epost med informasjon om kampanjen og selskapets direktør samlet alle til et kort møte, der han fortalte om bakgrunnen for kampanjen. Det hele ble avsluttet med en quiz, hvor avdelingene kjempet mot hverandre, og vinnerne fikk en symbolsk premie.
- De nådde mange med den kampanjen, fordi den spilte på flere strenger. Folk er forskjellige, og det er forskjellig fra person til person hva som har størst effekt. Det gode rådet er å være kreativ, få ledelsen involvert og gjøre det litt gøy, så IT-sikkerhet ikke alltid blir forbundet med en kjedelig plikt, avslutter Lone Forland.
4 tips for å skape GDPR-bevissthet
1. Få ledelsens støtte. Det skjer noe magisk med et budskap, når det kommer fra Administrerende direktør og ikke fra IT-avdelingen
2. Bruk en kombinasjon av forskjellige virkemidler for å skape bevissthet. For eksempel små gimmicks, plakater, e-post, møter og quizzer
3. Spill på konkurranseelementet. De fleste liker å være det gode eksempelet - spesielt når de 'kjemper' mot sine kolleger
4. Få profesjonell kommunikasjonshjelp. Det lønner seg å kommunisere på et språk som dine ansatte forstår. Det kan være via tekst, video eller grafikk, og det trenger ikke å være dyrt