Brug Awareness-Træning Til At Blive GDPR Compliant

Gillian Loones
By: Gillian Loones Awareness træning | 7 december

Indførelsen af GDPR har haft mange konsekvenser for både små og store organisationer. Mange organisationer er stadig i tvivl om, hvordan man korrekt implementerer GDPR i dagligdagen. Manglende overholdelse af GDPR kan have alvorlige konsekvenser, lige fra store bøder til alvorlige sikkerhedsbrud. Derfor er det vigtigt, at alle i organisationen ved, hvordan de skal håndtere data i dagligdagen. I denne blog vil vi tale om, hvordan awareness-træning kan bruges til dette og hjælpe en med at blive GDPR-compliant.

GDPR blev indført af EU i maj 2018 for bedre at informere forbrugerne om, hvordan deres personlige data bruges og for at få bedre datahåndtering og beskyttelse af data i virksomheder.

Som et resultat indførte GPDR regler vedrørende håndtering af personoplysninger og forebyggelse af sikkerhedsbrud. Disse regler håndhæves gennem trusler om bøder for organisationer, der ikke overholder reglerne. Ved at holde øje med Datatilsynets afgørelser, kan vi lære en del om, hvad der rent faktisk giver bøder.

Selvom GDPR nu har været i kraft i over 2 år, er mange mennesker stadig forvirrede over, hvordan det påvirker dem og deres organisation. For eksempel kan det stadig være uklart, hvad der udgør personoplysninger, hvad god praksis er, eller hvad konsekvenserne af ikke at overholde GDPR kan være.

Det kræver allerede en stor indsats at håndhæve GDPR, så det er forståeligt, at nogle medarbejdere er lidt fortabt i, hvordan man håndterer GDPR og personlige data i deres daglige arbejde.

     

Persondata er mange ting

Lad os kort illustrere, hvor forvirrende persondata kan være. Mange mennesker ved sandsynligvis ikke helt, hvad persondata betyder – bortset fra at det er information om en person. Det bliver hurtigt kompliceret, når du begynder at stille spørgsmål som:

Er din skostørrelse kategoriseret som personlige data?

Og hvad med din hårfarve?

Using AWT for GDPR compliance-1

 

Personoplysninger er mange ting, og det kan være uklart, hvad der præcist betragtes eller ikke betragtes som personoplysninger. Næsten alle i din virksomhed kommer dog i kontakt med persondata hver dag, så det er vigtigt, at de forstår, hvad det er.

 

GDPR definerer personoplysninger som:

“Enhver information, der kan relateres til en identificeret person, eller data der direkte eller indirekte kan identificere en person“

Med andre ord: Hvis et stykke information handler om en bestemt person eller kan føre til en bestemt person, betragtes det som persondata.

Som du kan se på billedet, er personlige oplysninger mange ting! Selv skostørrelse og hårfarve kan inkluderes. Jeg er sikker på, at du kan tænke på mange flere eksempler, der ikke vises her.

Det er vigtigt at bemærke, at persondata ikke kun er tekst. En lydoptagelse, et foto eller en video med identificerbare oplysninger er også persondata.

     

Ikke alt persondata er ens: almindelige vs. følsomme persondata

Desværre slutter forvirringen ikke der. Personoplysninger kan yderligere opdeles i to kategorier afhængigt af hvor følsomt et stykke information er. Det er vigtigt, at dit team kan genkende følsomme persondata, fordi strengere regler gælder for håndtering af dem. Dette skyldes det faktum, at en overtrædelse af sådanne følsomme oplysninger kan have mere betydelige konsekvenser for de berørte mennesker. Det kan i værste fald føre til diskrimination eller trusler om fysisk skade på den person, som de følsomme personoplysningerne omhandler.

Almindelige persondata

Eksempler:

  • Navn

  • Køn

  • Adresse

  • E-mail

Disse kræver ikke nødvendigvis tilladelse til at blive håndteret, men du skal stadig være hensynsfuld og bruge sund fornuft.

Særlige kategorier af følsomme persondata

Eksempler:

  • Politisk overbevisning

  • Religiøs overbevisning

  • Etnicitet

  • Sundhedsoplysninger

  • Seksuelle forhold

  • Fagforeningsmedlemsskab

Disse er følsomme personlige data, og enhver håndtering kræver særlig opmærksomhed – og ofte tilladelse.

Plakat_Persondata-1

 

En god måde at huske, hvordan man håndterer personlige data korrekt, er at tænke på det som noget, du låner fra en ven. Vi har lavet en plakat med disse huskeregler, som du kan hænge op i din virksomhed.

En ting er, at du ved, hvad personoplysninger er, men det vigtigste spørgsmål er selvfølgelig: ved alle andre i virksomheden det også?

Det er meget vigtigt, at denne viden ikke kun hviler i IT-afdelingen, men at alt personale i virksomheden er opmærksom på det og ved, hvad man skal være opmærksom på. Men som vi nævnte tidligere, kan det være svært for personalet at følge med i GDPR-regler.

For at illustrere vigtigheden af at hjælpe ens kollegaer med dette, så lad os se på, hvad der kan ske, når sikker datahåndteringspraksis ikke forstås godt nok i praksis.

     

De fleste sikkerhedsbrud skyldes menneskelige fejl, men sådan behøves det ikke være

Et sikkerhedsbrud betyder, at noget eller alt persondata, som en virksomhed håndterer bliver tilgået af folk uden for virksomheden. Det kan skyldes et uheld eller en ondsindet handling af en udefra.

Når folk tænker på sikkerhedsbrud, så tænker de ofte på ondsindede hackere, der angriber organisationens IT-systemer og stjæler data.

Det er bare sjældent det, der sker i virkeligheden. For det meste sker sikkerhedsbrud på grund af menneskelige fejl og små uheld.

Dette problem har to sider.

Den ene side er mennesker, der laver fejl eller håndterer data forkert, fordi de mangler viden om vigtigheden af sikker datahåndtering. Disse små fejl, der er skyld i sikkerhedsbrud, kan for eksempel være:

  • En e-mail, der bliver sendt

  • Persondata, der bliver vist til uautoriserede personer

  • Persondata, der bliver efterladt uden opsyn

  • Personer, der får for mange rettigheder til at tilgå persondata

  • Persondata, der bliver gemt forkerte steder

  • Computere og andre devices, der bliver stjålet eller delt

  • Papirer med persondata, der bliver glemt

Den anden side af problemet er, at hvis medarbejdere er uopmærksomme eller uvidende, så er det denne uopmærksomhed, som hackere forsøger at udnytte. Hvis de kan få mennesker til at begå fejl, så behøver de ikke at hacke og udnytte IT-systemer. Derfor forsøger hackere sig ofte med social engineering-angreb såsom phishing-mails, der kan føre til databrud. Faktisk er phishing-truslen ret stor.

Naturligvis forbliver teknisk IT-sikkerhed en vigtig del af at holde din organisation sikker. Forskellige tekniske værktøjer kan bruges til at reducere risikoen for sikkerhedsbrud såsom:

NewImage3

Men selvom tekniske værktøjer helt sikkert lykkes med at være yderst komplekse og helt sikkert beskytter imod meget, så er ikke engang de 100% effektive til at holde trusler ude. De er kun halvdelen af kampen og kan ikke forbedre:

  • Personaleadfærd: f.eks. forhindrer en firewall ikke personale i at give forkert adgang

  • Uklare processer når det gælder håndtering af personoplysninger

  • Manglende viden om IT-sikkerhed

Dit stærkeste forsvar mod sikkerhedshændelser er opmærksomme medarbejdere kombineret med klare processer til håndtering af data. Kort sagt: Alt personale skal klart forstå, hvad GDPR og persondata er, og hvordan det skal håndteres.

 Smart CTA_e-book DK

     

Awareness-træning: gør dit hold til dit stærkeste forsvar

Awareness-træning er et af de værktøjer, som din organisation kan bruge til at forbedre dit teams viden om IT-sikkerhed og sikker datahåndtering.

  • Artikel 39 kræver at din databeskyttelsesrådgiver højner awareness og tilbyder træning til medarbejdere som er involveret i databehandling

  • Artikel 43 kræver at medarbejdere som har permanent eller fast adgang til persondata modtager databeskyttelses-træning

Som vi beskrev tidligere i dette blogindlæg, kan GDPR være kompliceret. Så du kan ikke forvente, at alt personale er eller bliver eksperter i GPDR. Derfor kan et awareness-træningsprogram, der regelmæssigt giver personalet klare, enkle og praktiske forklaringer og eksempler på, hvordan man sikkert håndterer persondata være til stor hjælp til at forbedre personalets adfærd.

Desuden, er opmærksomme medarbejdere, som løbende bliver mindet om IT-sikkerhed bedre rustet til at opdage phishing-angreb. Det er også mindre sandsynligt, at de laver andre fejl, såsom at gemme data forkert.

Udover opmærksomhed på IT-sikkerhed og vigtigheden af sikker datahåndtering, skal personalet også være opmærksom på de specifikke processer og ansvarsområder vedrørende informationssikkerhed i din organisation.

Det er altså IT-afdelingens og ledelsens opgave at skabe klare processer, som personalet kan følge og at udpege folk, der kan hjælpe medarbejdere, der er i tvivl og generelt hjælpe med alt der vedrører GDPR og informationssikkerhed.

Organisationen skal etablere:

  • Klare processer for datahåndtering som sikrer, at personalet altid handler med informationssikkerhed i tankerne

  • En person, der er ansvarlig for GDPR og informationssikkerhed, der kan hjælpe personalet og fungerer som et centralt kontaktpunkt vedrørende sikkerhedshændelser

Medarbejdere skal være opmærksom på:

  • IT-sikkerhed og farerne fra IT-kriminalitet

  • Organisationens processer for datahåndtering og GDPR

  • Altid at rapportere potentielle sikkerhedsbrud og søge hjælp fra den person, der er ansvarlig for GDPR, når de er usikre

 
     

Awareness-træning hjælper dig med overholdelse af GDPR og andre cybersikkerhedscertificeringer

GDPR vedligeholdelse er på alles tanker i de fleste organisationer, og der er forskellige rammer, som organisationer bruger til hjælpe dem med at vedligeholde og dokumentere deres GDPR vedligeholdelse. F.eks. er der nogle som er industrispecifikke, hvor nogle andre er specifikt til hvert land. Ikke alle cybersikkerhedsrammer, sikrer overholdelse af GDPR, men nogle af rammernes krav overlapper med GDPR og mange af de forskellige rammer kræver awareness-træning

Nedenunder kan du se nogle af de ekstra cybersikkerhedsrammer, som organisationer bruger i deres GDPR arbejde, samt hvordan awareness-træning passer ind i hver af dem.

Rammeværk: ISO 27701
Beskrivelse En udvidelse af ISO 27001, som er en international standard for informationssikkerheds praksisser. ISO 27701 har ekstra krav omhandlende persondata, der sikrer overholdelse af GDPR
Awareness-træning krav Klausul 7.2.2 kræver at alle medarbejderne i firmaet og nødvendige entreprenører modtager awareness-undervisning og træning
Rammeværk: ISAE 3000 GDPR
Beskrivelse En specifik version af ISAE 3000, som inkluderer GDPR krav for overholdelse. Afhængig af mængden af persondata som din organisation behandler, skal de enten overholde ISAE 3000 High (for høje mængder af persondata) eller ISAE 3000 low (for lave mængder af persondata)
Awareness-træning krav Kræver den relevante træning af medarbejdere
Rammeværk: CIS (Center for Internet Security Critical Security Controls)
Beskrivelse Retningslinjer for bedste praksisser inden for it-sikkerhed med en liste af tiltag som organisationer burde tage for at undgå angreb
Awareness-træning krav Kontrol 14 kræver at et sikkerheds-awareness program bliver skabt og vedligeholdt
Rammeværk: ISO 27001 og 27002
Beskrivelse International standard med retningslinjer for bedste praksisser inden for it-sikkerhedsstyringssystemer
Awareness-træning krav Klausul 7.2.2 kræver at alle medarbejdere i virksomheden og nødvendige entreprenører modtager awareness-undervisning og træning.
Rammeværk: ISO 27001 og 27002
Beskrivelse International standard med retningslinjer for bedste praksisser inden for it-sikkerhedsstyringssystemer
Awareness-træning krav Klausul 7.2.2 kræver at alle medarbejdere i virksomheden og nødvendige entreprenører modtager awareness-undervisning og træning.
Rammeværk: NIST
Beskrivelse Et amerikansk baseret framework med it-sikkerheds retningslinjer, som virksomheder der laver forretning med den amerikanske føderale regering skal overholde
Awareness-træning krav For at overholde, skal ens organisations leder, systemadministratorer og systembrugere være opmærksomme på sikkerheds risici. Awareness-træning skal dække, hvordan man genkender og rapporterer trusler
Rammeværk: CMMC
Beskrivelse Vil snart erstatte NIST i Amerika. Bliver brugt for enheder der laver forretning med den amerikanske regering
Awareness-træning krav Der er forskellige niveauer for overholdelse. Niveau 2 og over indikerer et minimum niveau af cyberhygiejne, kræver awareness-træning
Rammeværk: ISRS 4400
Beskrivelse Minder om ISAE 3000, men ISRS 4000 er kun baseret på kriterier som en revisor bliver spurgt om at verificere
Awareness-træning krav Kræver relevant træning af personale
Awareness-træning kan blive implementeret på forskellige måder

At komme godt i gang med awareness-træning er lettere, end du måske tror. Det hele handler om at give folk viden om persondata og IT-sikkerhed på en måde, som de let kan forstå og huske.

Derfor er det en god ide at sprede denne viden på flere forskellige måder og gennem flere kanaler for virkelig at skabe opmærksomhed på flest mulige måder.

Du kan f.eks. kombinere forskellige former for e-læring og fysisk undervisning. E-læring kan bruges til at opnå en vis kontinuitet og tilskynde personalet til at lære i deres eget tempo. Fysiske tiltag for at udveksle ideer og omsætte viden til praksis.

Der er dog mange flere muligheder for at organisere et godt awareness-træningsprogram. Du kan være så kreativ, du vil. Nedenfor viser vi nogle eksempler på forskellige formater for træning:

E-læring: Korte online læringsmoduler, der består af videoer, tekst, quizzer og mere.

Fysisk undervisning: Længere sessioner givet af en instruktør. Dette kan tilskynde til diskussion eller at invitere en ekspert.

Simuleringer: Phishingsimuleringer og andre simuleringer giver folk mulighed for at øve deres viden i realistiske situationer med sikkerhedssituationer.

Workshops: For eksempel en workshop, hvor personalet kan placere sig i en hackers sko og lære at forstå, hvordan en hackere tænker.

Gratis tilgængeligt online materiale: Der er mange materialer tilgængelige online gratis. Dette spænder fra YouTube-videoer til regeringskampagner til plakater og diagrammer, du kan hænge på kontoret. Se for eksempel Sikker Digitals hjemmeside eller Datatilsynets egen hjemmeside.

Gruppeaktiviteter og spil: Disse kan være i forskellige formater, for eksempel et escape room eller et Cluedo-lignende scenario, hvor holdet skal finde ud af, hvordan og af hvem virksomheden blev infiltreret.

Det vigtige er, at der er mange muligheder for at lave awareness-træning. Vi har lavet en guide med 5 gode råd til, hvordan du lykkes med jeres awareness-træning.Du skal og kan vælge lige præcis de formater, der passer bedst til din organisation og dine behov, så længe du sikrer, at det tilføjer værdi til dine medarbejdere. En god awareness-træning er en, som personalet ikke ser som en byrde, men som de måske endda ser frem til.

Succesfuld awareness-træning resulterer i personale, der er intuitivt opmærksomme på, hvad de skal gøre i deres egen daglige arbejdsgang for at overholde GDPR, samtidig med at de forbedrer den generelle IT-sikkerhed i organisationen. I sidste ende kan medarbejdere, der er opmærksomme, vise sig at være dit stærkeste IT-sikkerhedsforsvar. Du kan læse mere om at måle effekten af awareness-træning her.