GDPR: Hvilket vidensniveau skal medarbejderne have?

By 
Henning Mortensen
January 24, 2020

Persondataforordningen præciserer ikke, hvor meget viden de medarbejdere, som behandler personoplysninger på organisationens vegne, skal have. Omvendt følger det mere eller mindre direkte af forordningen, at et vist vidensniveau må være til stede. I denne artikel kigger vi på, hvilken viden, der skal tilvejebringes, og hvordan man kan øge medarbejdernes viden om GDOR.

Afvigende medarbejderadfærd

Når man har lavet alt sit GDPR-arbejde, dokumenteret sine behandlingsaktiviteter, ryddet op i data, formuleret privacy notices, -policies og -procedures og tænker, at "nu kører alting på skinner", oplever man ofte, at medarbejderne i organisationen gør noget andet end det, der var forventet.

De bruger tjenester på nettet, der burde være forbudt. De lægger data på steder, der ikke var forventet eller aftaler om. De bruger filer og applikationer, som de ikke skulle kunne. De finder nye fritekstfelter, hvor de kan lagre ønskede informationer. Medarbejderne er kvikke, og de finder altid en måde at få løst deres arbejde – også på måder, som den databeskyttelsesansvarlige ikke lige havde regnet med.

Det er derfor nødvendigt at sikre, at medarbejderne er godt nok oplyst om reglerne til, at de kan udføre deres arbejde på en lovlig måde, og på en måde, der er i overensstemmelse med organisationens regler. Dette kræver dog ofte en vedvarende uddannelses- og awareness-indsats.

GDPR-direktivets krav til medarbejdernes videnniveau

I GDPR-forordningen er der visse - lidt indirekte - krav til den viden, som medarbejderne skal have. For det første følger det af artikel 32, stk. 4, at organisationen skal sikre, at medarbejderne kun behandler personoplysninger "under instruks". Heri må ligge nogle krav til uddannelse i, hvordan personoplysninger må behandles, for at behandlingen er i overensstemmelse med GDPR-reglerne. Videre hedder det i artikel 24, stk. 1, at organisationen skal gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer, at forordningen overholdes, og der lægges i stk. 2 op til, at dette kan ske gennem udarbejdelse af politikker.
Medarbejderne skal naturligvis være bekendt med indholdet af disse politikker, hvilket må forudsætte et vist niveau af uddannelse og awareness. Endelig fremgår det af databeskyttelsesrådgiverens opgaver i artikel 39, at denne skal sikre, at der gennemføres ”oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter”. Her fremgår det meget direkte, at i hvert fald de organisationer, der er pligtige til at udpege en DPO, også er pligtige til at sikre et fornuftigt vidensniveau blandt medarbejderne.

Det fremgår imidlertid ikke nogen steder, hvilket omfang oplysningskampagner, uddannelse og politikker skal have. Det overlades dermed til organisationen selv at skønne, baseret på risici for de registreredes og disses rettigheder, der er identificeret. Organisationen skal dermed også tage stilling til de registrerede og disses rettigheder i forhold til at en behandling foretages, og til, i hvilket omfang en behandling er nødvendig, når det kommer til uddannelse og oplysning af medarbejderne.

Dybden af viden om GDPR hos medarbejderne

Man kan operationalisere behovet for viden hos medarbejderne ved at tage udgangspunkt i deres kendskab til, forståelse for og efterlevelse af de persondataretlige regler.

Hvis medarbejderne kun har kendskab, betyder det, at de måske ved, at der er noget, der hedder GDPR, og måske også ved, at der på virksomhedens intranet er beskrevet politikker for, hvordan man må behandle personoplysninger. Det er imidlertid ikke noget, der påvirker deres praktiske dagligdag på nogen måde.

Hvis medarbejderne opnår en forståelse, betyder det, at de forstår, hvorfor reglerne findes (beskytte og respektere kunders data, undgå bøder), og de forstår også reglerne i hovedtræk. Ved forståelse ved de, at man kun må behandle personoplysninger, hvis man kan finde et retligt grundlag (hjemmel), at de registrerede har nogle rettigheder, man skal bistå dem med at udleve, og at man som organisation har nogle forpligtelser ved behandling af personoplysninger. Det er dog ikke noget, der systematisk indgår i den enkeltes daglige arbejde, men der er en accept af, at der centralt er opstillet begrænsninger, som man er underlagt.

Hvis medarbejderne efterlever reglerne, betyder det, at de har forstået reglernes værdi, reglernes indhold (i hovedtræk), og er i stand til at efterleve dem i deres daglige arbejde. De ved også, at de skal tage fat i rette vedkommende, som kan hjælpe med at afklare eventuelle problemstillinger.

Det vil være forskelligt fra organisation til organisation, hvilket videnniveau medarbejderne skal og bør være på. Det vil internt i organisationen også være forskelligt, hvilke medarbejdergrupper, der bør vide hvad, og hvilken dybde deres kendskab til reglerne bør have.

Det er derfor vigtigt, at organisationen forholder sig til, hvem der bør vide hvad, og laver en plan for uddannelse i persondataret, udbredelse af kendskab til interne politikker og procedurer og løbende awareness. Organisationen bør anvende forskellige virkemidler, fordi medarbejdergrupper har forskellig faglig ballast og lærer på forskellig måde.

Praktiske værktøjer til at øge medarbejdernes viden om GDPR

Der kan iværksættes aktuelle kampagner for konkrete afgrænsede emner med pauseskærme, musemåtter, kuglepenne, plakater osv. Der kan laves konkrete foredrag for medarbejderne – f.eks. med DPO’en, ligesom der kan indkøbes forskellige online løsninger, som gennemgår GDPR i juridiske termer.
Der kan også købes adgang til forskellige platforme, hvor man kan lave sit eget e-lærings træningsprogram og evt. tilknytte tests. Der kan endvidere tilkøbes forskellige tjenester, hvor man laver afprøvelse af medarbejdernes modstandsdygtighed overfor angreb – f.eks. fysisk penetrationstest eller phishingkampagner. Der kan hyres tekniske eksperter til at hacke organisationen, mens organisationen forsvarer sig (red team / blue team). Endelig kan man designe interne nyhedsbreve, hvor man gør opmærksom på politikker og procedurer, aktuelle sikkerhedshændelser og tilsvarende.

Hvis man ikke selv kan løfte opgaven, laver myndighederne jævnligt kampagnematerialer, som man kan anvende i interne kampagner – f.eks. den årlige sikkerhedsmåned. Tilsvarende laver brancheorganisationer også med jævne mellemrum materialer rettet mod egne brancher.

Uanset hvordan jeres organisation vælger at gribe det an, er det vigtigt, at I dokumenterer tiltagene og vælger, hvad der er relevant ud fra de risici, som jeres registrerede står overfor.

Links

Digitaliseringsstyrelsens seneste kampagne “Et klik kan ændre alt”
https://digst.dk/nyheder/nyhedsarkiv/2019/oktober/et-klik-kan-aendre-alt/

Flere blogs indenfor området

Se alle blogs

Sådan mestrer du DPIA-processen

Få styr på DPIA-processen: 7 trin til succesfuld implementering af nye systemer

Tærskel- og konsekvensanalyse: Indledende screening vs dybdegående vurdering