GDPR: Hvordan sælger man databeskyttelse til ledelsen

aug 13, 2019

Denne vejledning er til dig, som har ansvaret for beskyttelse/eller it-sikkerheden i din organisation. Du er sikkert selv velkendt med de trusler og øvrige udfordringer organisationen står overfor. Du har også en forståelse for og fokus på, hvorfor du synes at det er vigtigt, at din organisation beskytter personoplysninger og har god sikkerhed. Men nogle gange kan det være det være svært at trænge igennem med budskabet til andre, der har sine egne dagsordener. Denne artikel har fokus på, hvordan du får solgt dit vigtige budskab til ledelsen – både for organisationens og din egen skyld. Vejledningen fokuserer først på kommunikationens form og dernæst på kommunikationen indhold.

Kommunikationens form

Når du skal i gang med at sælge dit budskab til ledelsen skal du indledningsvist gøre dig nogle overvejelser om, hvordan du kan trænge igennem.

1. Hvad for en leder har du?

Ledere er forskellige og lytter efter forskellige ting. Du skal finde ud af, hvad der interesserer dem, og med hvilke midler du kan få dem til at lytte, hvad enten det er statistik, visioner eller evnen til at handle. Ledere har dog det til fælles, at deres tid er knap. Det er derfor vigtigt, at du gør dig klart, hvordan du bliver konkret og kommer til sagens kerne.

2. Ethos, pathos og logos

Det at skulle overtale nogen til et eller andet kaldes retorik. Siden de gamle grækere er der blevet forsket i, hvordan formen af kommunikation har supplerende betydning til indholdet af kommunikationen. Formen kan være afgørende for, om man har succes med at overtale.

Man kan bruge logiske argumenter og fornuft til at prøve at bevise sit synspunkt. Dette kaldes logos. Hvis man i en sikkerhedskontekst bruger statistikker over afviste angreb fra loggen i firewallen eller blokerede eksekveringer af skadelig kode i sin antivirus bruger man logos. Tilsvarende bruger man logos, når man henviser til artikler i persondataforordningen med det formål at forbedre persondatabeskyttelsen.

Man kan også henvise til alment accepterede troværdige kilder og autoriteter og gengive deres fornuftige synspunkter eller eventuelt selv prøve at fremstå som en autoritet; en evangelist. Dette kaldes ethos. Hvis man henviser til resultater fra universitetsforskning eller citerer anbefalingerne fra Datatilsynet, Rigspolitiet eller efterretningstjenesterne i sit sikkerhedsarbejde bruger man ethos.

Endelig kan man bruge den tryllebindende fortælling som virkemiddel og appellere til lederens følelser. Dette kaldes pathos. Hvis man bruger spændende og måske farverige cases på sikkerhedsbrister fra spektakulære organisationer eller misbrug af personoplysninger, som det f.eks. skete i Cambridge Analytica-sagen, og gør disse cases relevante for egen organisation, bruger man pathos.

Der har måske været en tradition for at jurister og sikkerhedsfolk er rationelle og jordbundne mennesker, der gerne vil appellere til fornuften og derfor er logos nok meget fremherskende i databeskyttelses- og sikkerhedsdebatten. Den ekspert, der formår at finde det rette mix af ethos, pathos og logos i sin kommunikation, der matchers lederens profil, vil være den succesfulde ekspert, som formår at få sin organisation til lytte – og dermed tiltrække ressourcer.

3. Eksempler

I henhold til persondataforordningen må man ikke gemme oplysninger i længere tid, end der er et formål med det. Som ansvarlig for området tænker du derfor, at du skal i gang med at få slettet data. Men du ved også at det bliver dyrt, tidskrævende, kræver systematik og vil være et opgør med den ”gem alt”-kultur, der hersker i din organisation. For at overbevise ledelsen om, at der skal investeres i dette projekt finder du argumenter for din sag med udgangspunkt i ethos, pathos og logos:

  • Logos: Vi skal overholde persondataforordningens regler, ellers kan vi få en bøde på 4% af omsætningen. Vi har desuden estimeret at 76% af vores storage opfyldes af irrelevante data. Vi har store mængder af ustrukturerede data, som vi basalt set ikke kender indholdet af, og som derfor ikke skaber værdi for forretningen.
  • Ethos: Jeg har altid været fortaler for, at vi skal overholde loven, og den siger, at vi skal slette. Mange prominente eksperter indenfor dataethics-bevægelsen fremfører også disse synspunkter. Datatilsynet har i øvrigt fastlagt nogle retningslinjer for sletning, som vi kan tage udgangspunkt i.
  • Pathos: Der har været et stort hack mod datingsitet Ashley Madison, som havde til formål at gifte kunne finde sammen med partnere udenfor ægteskabet. Hacket viste blandt mange andre forhold, at sitet tog penge for at slette brugernes profil, når de ønskede det. Men de foretog bare ikke sletningerne. De deaktiverede brugernes profil og data lå derfor stadig tilbage og blev omfattet af hacket, selvom brugerne havde en berettiget forventning om, at de var blevet slettet. Det har resulteret i skilsmisser, selvmord og måske også fængslinger. Det er et godt eksempel på at man skal slette de data, som man ikke længere har brug for, og som dem, data vedrører, har en berettiget forventning om, er blevet slettet. Sletning er simpelthen det rette at gøre.

Kommunikationens indhold

Der er på det overordnede plan nogle fornuftige argumenter for, at organisationen beskæftiger sig med databeskyttelse og informationssikkerhed, som man altid kan lægge vægt på.

4. Forretningen og styring af risici

Det er vigtigt at have fokus på at beskytte forretningen, således at systemer og data:

  • er tilgængelige for dem der skal have adgang på det tidspunkt, de skal have adgang (tilgængelighed),
  • at vi kan stole på at data er det de giver sig ud for at være og ingen har manipuleret med dem (integritet) og
  • så vi kan holde data for os selv som vi baserer vores forretning på og som sikre at andre ikke kan udkonkurrere os (fortrolighed).

Informationssikkerhed er således et spørgsmål om at styre de risici forretningens står overfor når der anvendes digitale midler. Persondataforordningens artikel 32, stk. 1 kræver at vi har styr på disse forhold.

5. Troværdighed

Det er vigtigt, at organisationen er en troværdig samarbejdspartner. Derfor skal vi beskytte kundernes data, så de ikke eksponeres for uvedkommende, der kan misbruge dem til egne formål eller sælge dem.

Troværdigheden er ikke kun relateret til kunderne. Investorerne skal have tillid til, at vi forvalter organisationen fornuftigt og har styr på risikoen for at blive ramt af omkostningstunge hændelser eller mister vores IPR – ellers finder de andre mere troværdige parter at investere i. Tilsvarende skal vi være en troværdig forvalter af medarbejdernes oplysninger, så vi fremstår som en arbejdsplads, det er tiltrækkende at være på.

6. Socialt ansvar

Vores organisation er eet led i en lang kæde af sammenhængende digital kommunikation. Vi udveksler digitalt oplysninger med en lang række forskellige aktører – f.eks. elektronisk fakturering, der kører gennem en række forskellige serviceprovidere mellem kunde og leverandør eller e-mails som også sendes gennem en række serviceprovidere. Hvis vores organisation ikke har styr på sikkerheden vil disse serviceprovidere ikke samarbejde med os eller blacklister os måske. Vores udstyr bruges som angreb på andre organisationer, myndigheder eller borgere. Vores digitalisering skader dermed samfundet, hvis vi ikke har styr på sikkerheden. Hvis vi vælger at betale kriminelle bagmænd for at få adgang til vores egne data efter en sikkerhedshændelse kan vi evt. direkte være med til at nære det kriminelle miljø.

Ligesom vi ikke bruger børnearbejdere vil vi heller ikke bruge leverandører, som bruger data bag brugernes ryg til deres egne dubiøse formål, og vi vil ikke bruge leverandører, som ikke har styr på energieffektiviteten i deres datacentre.

Vi vil tage ansvar for vores eget led i den digitale værdikæde – for vores egen og for samfundets skyld.

7. Lovgivning og anden regulering

På en række områder er der fastsat lovgivning, som vi bør efterleve. Mest oplagt er persondataforordningen, databeskyttelsesloven og cookiereglerne. Men der er også masser af sektorlovgivning, som stiller præcise sikkerhedskrav, der skal overholdes indenfor bestemte sektorer, f.eks. hvis organisationen behandler sundhedsdata eller finansielle data.

Der findes også standarder eller kodekser, som skal overholdes i bestemte sektorer eller ved bestemte behandlinger. Et af de mest omfattende er PCI DSS, som er en standard, der skal overholdes når man gennemfører et bestemt antal transaktioner årligt.

Vores organisation skal naturligvis være i compliance med love, standarder og branchespecifikke kodeks.

8. Præsenter ønsket på en måde som er let at forholde sig til (eksempel)

Når man har brugt logos, ethos og pathos i formen og i indholdet har refereret til de gode grunde til at beskæftige sig med informationssikkerhed skulle scenen gerne være sat til, at man skal konkret skal til at bede ledelsen om opbakning til konkrete projekter i form af procesændringer eller bevillinger til teknologier eller flere hænder. Disse forhold kan man benævne tekniske og organisatoriske foranstaltninger. Samtidig skal man være opmærksom på, at man kun har kort tids opmærksomhed og skal præsentere sit ønske på en form, som det er let at forholde sig til. Man kan overveje at præsentere den som en indkøbsliste eller ønskeseddel og anvende den form, som skitseres nedenfor:

  • Teknologiens navn: Skriv teknologiens navn. Hvis du allerede har valgt en leverandør kan navnet på leverandøren også skrives her.
  • Teknologiens formål: Beskriv (kort), hvad teknologien kan i så lidt tekniske termer som muligt.
  • Teknologiens funktionalitet: Længere beskrivelse af teknologiens funktion særligt i forhold til organisationens drift. Beskrivelsen kan også uddybe, hvorfor det er vigtigt for virksomheden at have en teknologisk løsning til dette formål.
  • Compliance: Beskriv hvilke formelle grunde, der kan være til at implementere denne type løsning (hvis der er nogen), f.eks. persondataforordningen, reduktion af en konkret risiko eller et krav i en sikkerhedsstandard.
  • Ekstern økonomisk omkostning:
    • Software: Hvad koster de årlige licensbetalinger?
    • Installation og konfiguration: Hvad koster installation og konfigurationen (dvs. tilpasning af løsningen til jeres systemer) fra leverandørens side?
  • Intern tidsmæssig omkostning:
    • Installation og konfiguration: Hvor lang tid tager det at installere og konfigurere teknologien?
    • Drift: Hvor mange dage (fx pr. måned) skal en IT-ansvarlig afsætte til teknologiens drift?
  • Samlede omkostninger:
    • Indkøb: Hvad giver indkøbet af interne og eksterne omkostninger?
    • Årlig drift: Hvad koster den samlede årlige drift
  • Projektansvarlig: Navnet på den projektansvarlige
  • Driftsansvarlig: Navnet på den projektansvarlige

Ovenstående kan præsenteres på én slide, og hvis du har f.eks. en håndfuld slides, kan omkostningerne summeres, som den samlede projektpris på sidste slide.

Opsummering

Når du kommunikerer, kan du overveje at anlægge en form, hvor du bruger logiske argumenter i samspil med henvisning til autoriteter og samtidig fortæller den spændende historie – alt sammen for at understøtte din sag: at skabe god databeskyttelse og sikkerhed i din organisation.

Indholdsmæssigt er det vigtigt, at foranstaltningerne understøtter forretningens risikostyring og økonomi og skaber troværdighed i forhold til organisationens interessenter. Det er også vigtigt at love og standarder og best practises overholdes, og det kan være vigtigt at have en god social profil.

Når du har sat scenen og fået den rette opmærksomhed, bør du kommunikere kort og præcist, hvad det er du gerne vil have, hvilke problemer det løser, og hvad det koster i økonomiske og menneskelige ressourcer.

 

Tjekliste når du sælger databeskyttelse til ledelsen

  1. Find ud af hvad for en leder du har
  2. Brug ethos, pathos og logos i din kommunikation
  3. Brug eksempler
  4. Fokuser på beskyttelse af forretningen og styring af risici
  5. Fokuser på organisationen troværdighed
  6. Fokuser på organisationens sociale ansvar
  7. Inddrag vigtigheden af at organisationen lever op til gældende love, standarder og branchespecifikke kodekser
  8. Præsenter ønsket på en måde som er let at forholde sig til
Om Henning Mortensen

Om Henning Mortensen

 

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations - Privacy Management Software, og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin