Medarbejdernes vidensniveau

Medarbejdernes vidensniveau

Persondataforordningen præciserer ikke, hvor meget viden de medarbejdere, som behandler personoplysninger på organisationens vegne, skal have. Omvendt følger det mere eller mindre direkte af forordningen at et vist vidensniveau må være til stede. I denne artikel kigger vi på, hvilken viden der skal tilvejebringes, og hvordan man kan tilvejebringe viden til medarbejderne.

Afvigende medarbejderadfærd

Når man har lavet al sit GDPR-arbejde, dokumenteret sine behandlingsaktiviteter, ryddet op i data, formuleret privacy notices, -policies og -procedures og tænker, at nu er alting på skinner, oplever man ofte, at medarbejderne i organisationen gør noget andet end det, der var forventet.

De bruger tjenester på nettet, der burde være forbudt. De lægger data på steder, der ikke var forventet. De bruger filer og applikationer, som de ikke skulle kunne. De finder nye fritekstfelter, hvor de kan lagre de informationer, der gerne vil lagre. Medarbejderne er kvikke, og de finder altid en måde til at få løst deres arbejde – også på måder den databeskyttelsesansvarlige ikke lige havde regnet med.

Det er derfor nødvendigt at sikre, at medarbejderne er oplyst nok om reglerne til, at de kan udføre deres arbejde på en lovlig måde og på en måde, der er i overensstemmelse med organisationens regler. Det kræver en vedvarende uddannelsesmæssig og awareness-mæssig indsats.

GDPR’s krav til viden

I GDPR er der visse lidt indirekte krav til den viden, medarbejderne skal have. For det første følger det af artikel 32, stk. 4, at organisationen skal sikre, at medarbejderne kun behandler personoplysninger under instruks. Heri må ligge nogle krav til uddannelse i, hvordan personoplysninger må behandles, for at behandlingen er i overensstemmelse med GDPR. Videre hedder det i artikel 24, stk. 1, at organisationen skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre, at forordningen overholdes, og der lægges i stk. 2 op til, at det kan ske gennem udarbejdelse af politikker. Medarbejderne skal naturligvis være bekendt med indholdet af disse politikker, hvilket må forudsætte et vist niveau af uddannelse og awareness. Endelig fremgår det af databeskyttelsesrådgiverens opgaver i artikel 39, at denne skal sikre, at der gennemføres ”oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter”. Her fremgår det meget direkte, at i hvert fald de organisationer, der er pligtige til at udpege en DPO, også er pligtige til at sikre et fornuftigt vidensniveau blandt medarbejderne.

Det fremgår imidlertid ikke nogen steder, hvilket omfang oplysningskampagner, uddannelse og politikker skal have. Der overlades dermed organisationen et skøn, formodentlig baseret på den mulige risiko for de registreredes rettigheder, ved at behandling foretages, af, hvilket omfang der er nødvendigt.

Dybden af viden hos medarbejderne

Man kan operationalisere behovet for viden hos medarbejderne ved at tage udgangspunkt i deres kendskab til, forståelse for og efterlevelse af de persondataretlige regler.

Hvis medarbejderne kun har kendskab, betyder det, at de måske ved, at der er noget, der hedder GDPR, og måske ved at der er skrevet nogle politikker, der befinder sig på intranettet, for, hvordan man må behandle personoplysninger. Det er imidlertid ikke noget, der påvirker deres praktiske dagligdag på nogen måde.

Hvis medarbejderne opnår forståelse, betyder det, at de forstår, hvorfor reglerne findes (beskytte og respektere kunders data, undgå bøder), og de forstår også reglerne i hovedtræk og ved, at man kun må behandle personoplysninger, hvis man kan finde et retligt grundlag, at de registrerede har nogle rettigheder, man skal hjælpe dem med at udleve, og at man som organisation har nogle forpligtelser, når man begiver sig i kast med at behandle personoplysningerne. Det er dog ikke noget, der systematisk indgår i den enkeltes daglige arbejde, men der er en accept af, at der centralt er opstillet begrænsninger, som man er underlagt.

Hvis medarbejderne efterlever reglerne, betyder det, at de har forstået reglernes værdi, reglernes indhold (i hovedtræk), og er i stand til at efterleve dem i deres daglige arbejde – og i at tage fat i rette vedkommende, som kan hjælpe med at afklare eventuelle problemstillinger.

Det vil være forskelligt fra organisation til organisation, hvilket niveau medarbejderne skal være på. Det vil internt i organisationen også være forskelligt hvilke medarbejdergrupper, der bør vide hvad og hvilken dybde, hvormed de bør kende reglerne.

Det er derfor vigtigt, at organisationen forholder sig til, hvem der bør vide hvad, og laver en plan for uddannelse i persondataret, udbredelse af kendskab til interne politikker og procedurer og løbende awareness. Organisationen bør anvende forskellige virkemidler, fordi medarbejdergrupper har forskellig faglig ballast og lærer på forskellig måde.

Praktiske muligheder

Der kan laves aktuelle kampagner for konkrete afgrænsede emner, med pauseskærme, musemåtter, kuglepenne, plakater osv. Der kan laves konkrete foredrag for medarbejderne – f.eks. ved DPO’en. Der kan indkøbes forskellige online løsninger, som gennemgår GDPR i juridiske termer. Der kan også købes forskellige platforme, hvor man kan lave sit eget e-lærings træningsprogram og evt. tilknytte tests. Der kan købes forskellige tjenester, hvor man laver afprøvelse af medarbejdernes modstandsdygtighed overfor angreb – f.eks. fysisk penetrationstest eller phishingkampagner. Der kan hyres tekniske eksperter til at hacke organisationen, mens organisationen forsvarer sig (red team / blue team). Endelig kan man designe interne nyhedsbreve, hvor man gør opmærksom på politikker og procedurer, aktuelle sikkerhedshændelser og tilsvarende.

Hvis man ikke selv kan løfte opgaven laver myndighederne jævnligt kampagnematerialer, som man kan anvende i interne kampagner – f.eks. den årlige sikkerhedsmåned. Tilsvarende laver brancheorganisationer også med mellemrum materialer rettet mod egne brancher.

Uanset hvordan jeres organisation vælger at gribe det an, er det vigtigt, at I dokumentere jeres tiltag og vælger, hvad der er relevant ud fra de risici, som jeres registrerede står overfor.

Links

Digitaliseringsstyrelsens seneste kampagne “Et klik kan ændre alt”
https://digst.dk/nyheder/nyhedsarkiv/2019/oktober/et-klik-kan-aendre-alt/

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin