Ny afgørelse fra Datatilsynet: Ét kursus er ikke nok!

persondataforordning

Vi ved det alle sammen godt: GDPR og IT-sikkerhed er vigtigt og det er et lovkrav, at medarbejderne trænes i dette. Dette kræver kontinuerlig træning, meeen… Kan vi ikke bare nøjes med at give et kursus, når det lige passer ind i vores travle arbejdstid, og så er den ged barberet? Det er der da ikke nogen, der tjekker – vel? Tro om igen, for Datatilsynet har været ude med luppen og understreget vigtigheden af kontinuerlig awareness-træning! 

BroBizz har anmeldt 3 tilfælde af brud på persondataloven i organisationen til Datatilsynet, idet de desværre har lækket kunders data til en tredjepart. Her skal vi lige huske at rose BroBizz for at melde sikkerhedsbruddet selv i stedet for at vente på at blive fanget. Datatilsynet har på baggrund af BroBizz’s fremsendte risikovurdering vurderet, at BroBizz ikke har taget tilstrækkeligt hensyn til de risici, som persondatabehandlingen udgør, bl.a. ved uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. Dette har ført til alvorlig kritik fra Datatilsynet samt et påbud om, at BroBizz inden for fire uger får styr på sagerne. Hvis dette ikke opnås, vil BroBizz blive straffet med en bødeDenne kritik er baseret på de hændelser, der er udledt af brudene samt mangel på awareness-træning af medarbejderne. 

Datatilsynet har i deres gennemgang af de anmeldte sager lagt vægt på, at der ikke eksisterer tilstrækkelig behandlingssikkerhed, herunder uddannelse og træning af BroBizzmedarbejderne i databeskyttelse. BroBizz oplyste, at forskellige medarbejdere har gennemgået e-læring siden den 25. maj 2018, og at kundeservicemedarbejderne introduceres til relevante persondataretlige problemstillinger ved ansættelsesstart. Derudover oplyste de, at den løbende uddannelse foregår på ad hoc basis. Datatilsynet har sidenhen erfaret, at forskellige medarbejdere kun har gennemgået ét kursus siden 25. maj 2018. Dette vurderes sammen med den løbende uddannelse på ad hoc basis som værende utilstrækkelig efter Datatilsynets opfattelse. Vurderingen bekræftes af, at BroBizz på bare 2,5 måneder har videregivet oplysninger til uvedkommende i tre tilfælde. Du kan læse mere om Datatilsynets afgørelse her. 

Hvordan kan man så leve op til Datatilsynets krav?

Det er første gang, at Datatilsynet konkret har påpeget eorganisations utilstrækkelige niveau af awareness-træning. Dette understreger blot, at man derfor ikke skal tage for let på denne post, da det i sidste end kan dette kan have store konsekvenser for jeres organisation, kunder og medarbejdere. Afgørelsen fra Datatilsynet fortæller rigtigt nok, at kontinuerlig awareness-træning er vigtig, men hvad betyder det egentligt i praksis? 

Hos CyberPilot hører vi ofte kunder, der efterspørger den gode måde at håndtere awareness-træningen påog dette kan være svært at hitte ud af. Datatilsynets afgørelse specificerer ikke, hvad best practice er inden for awareness-træningen og lægger derfor op til selvfortolkning. Der er mange måder at varetage træningen af medarbejdere på, og det er derfor vigtigt, at man gør sine overvejelser omkring, hvad der passer bedst ind i jeres organisation. 

Det årlige møde

Nogle vælger at tage en dag ud af kalenderen en gang om året for at have en kursusdag omkring awareness-træning og IT-sikkerhed, hvilket kan give mulighed for medarbejderne for at komme i dybden med dette og skabe diskussioner rundt i krogene. Dog bør man være opmærksom på, hvorvidt det er tilstrækkeligt for medarbejderne, at der blot er fokus på IT-sikkerhed én gang om året. Man kender det jo selv: De første uger efter kurset er man meget opmærksom på de ting, man har lært på kursusdagen, men efter et par måneder og en masse nye arbejdsopgaver, er opmærksomheden rettet et andet sted. Vælger man denne løsning bør man efter vores anbefalinger gøre dette en gang hver 3. eller 6. måned, således IT-sikkerhed altid ligger friskt i medarbejdernes hukommelse. 

Det månedlige møde

Andre benytter sig af månedlige fællesmøder med indslag om IT-sikkerhed, hvor der bliver sat fokus på forskellige emner inden for området. Dette hjælper til, at medarbejderne får kontinuerlig awareness-træning og bliver gjort opmærksom på, hvordan de skal agere og forholde sig til det. Denne løsning kræver lidt tid til forberedelse af indlæggene, men er overordnet en god løsning til at få sat tjek ved medarbejdernes awareness-træning. Det kræver dog en del koordination, da alle medarbejdere skal have tid til at møde op, og det kan derfor være svært at dække alle medarbejderes træningsbehov. 

Udsending af eget materiale

En anden løsning er at lave sine egne awareness-træningsvideoer, hvor man får en af medarbejderne til at fortælle om IT-sikkerhed og GDPR til de andre medarbejdere, udsende e-bøger omhandlende IT-sikkerhed, benytte sig af de gratis awareness-træningsmuligheder, der ligger online eller noget helt fjerde. Alt hvad man gør, er en hjælp til at få en mere sikker organisation. Man skal dog være opmærksom på, hvordan man får dokumenteret, at medarbejderne modtager awareness-træning på den ene eller den anden måde. Dette kan eksempelvis være ved at registrere fremmøde til kurser eller fællesmøder, indtaste gennemført awareness-træning i et Excel-ark eller få medarbejderne til at kvittere på et dokument.

Vores model

Vores model for god awareness-træning hos CyberPilot er baseret på vores erfaringer i løbet af årene. Vi anbefaler vores kunder at udsende ét kursus hver eller hver anden måned, da det er her, vi ser dem have størst succes med deres awareness-træning. Dette sker, fordi medarbejderne får små brudstykker af viden, de kan fordøje over tid og diskutere med deres kollegaer i kaffepausen (når de da er på kontoret). På denne måde fæstnes medarbejdernes læring i hukommelsen, og de vil derfor opleve en større værdi af træningen, end hvis de får 10 kurser smidt i hovedet på en gang. Dette skaber en synergi mellem medarbejderens hverdag og arbejdsopgaver, som kan være med til at forebygge brud på persondataloven. Derudover er det muligt at udtrække en rapport, således man kan dokumentere præcist hvilke medarbejdere, der har gennemført præcist hvilke kurser og hvornår de er taget. 

 

Kort sagt: Der er mange løsninger på det samme problem. Vi vil derfor råde alle til at tage stilling til, hvordan I bedst muligt får uddannet jeres medarbejdere tilstrækkeligt, så I ikke ender med uhensigtsmæssige brud på persondataloven og store bøder som følge af dette. Hvis du er i tvivl om, hvad der er den bedste løsning for jer, så tøv endelig ikke med at tage fat på os – vi er her for at hjælpe og guide jer rundt i awareness-træningsjunglen😊 Du kan fange mig på tlf. 91 52 61 72 eller via ssk@cyberpilot.dk

 

Mvh. Stine Seest Knudsen

CyberPilot – Customer Success Manager

Vil du holdes opdateret på IT-sikkerhed?

One Response