Brug Awareness-Træning Til At Blive GDPR Compliant

Gillian Loones
By: Gillian Loones Awareness træning | 7 december

Selvom GDPR har eksisteret i nogle år nu, så er der stadig mange virksomheder, som kæmper med at finde den bedste løsning til at træne deres medarbejdere i GDPR og øge deres opmærksomhed omkring sikkerhedsproblematikker. GDPR har nogle krav til træning, som gør det nødvendigt for medarbejdere at skulle igennem awareness-træning. Der er mange måder at implementere GDPR awareness-træning til sine medarbejdere: Det kan gøres online, fysisk eller som en kombination af de to. Og så er der mange emner, som man kan gennemgå. I denne blogpost gennemgår vi, hvorfor awareness-træning er vigtigt, for både GDPR-compliance og organisatorisk sikkerhed, samt hvordan awareness-træning til dine medarbejdere kan hjælpe din virksomhed til at opnå GDPR compliance og andre IT-sikkerhedsrammer.

GDPR (Persondataforordningen) blev introduceret af EU i maj 2018. Formålet var at man skal blive bedre til at kunne informere forbrugere om, hvordan deres persondata bliver brugt, og derved skabe bedre datahåndtering- og beskyttelse i organisationer.

Derved introducerede GDPR mange regler omkring håndtering af persondata og forebyggelse af sikkerhedsbrud, på linje med de 7 principper for databeskyttelse. Håndhævningen af disse regler kommer blandt andet via under truslen om store pengebøder til organisationer, som ikke overholder GDPR reglerne.

Selvom arbejdet med GDPR er blevet mere normalt nu, så er det stadig ikke unormalt at være i tvivl om, hvad man skal gøre i sin organisation for at være compliant. For eksempel kan det være svært at navigere i ting. Et eksempel her er rollerne som dataansvarlig og databehandler, samt hvordan man håndterer udvekslinger af data udenfor EU, og hvad der egentlig kvalificeres som værende persondata.

      

GDPR-træning styrker sikkerheden i hele organisationen

Alle i ens virksomhed har et ansvar, når det kommer til datasikkerhed. Den ligger ikke kun hos IT-holdet. Alle virksomheder, uanset størrelse, bør tage datasikkerhed alvorligt. Men det er ikke alle medarbejdere, der har masser af tid til at nærstudere GDPR-reglerne. Det er derfor, at GDPR-træning til medarbejderne er en vigtig del af at opbygge en sikker, og opmærksom organisation. Gennem GDPR-awareness-træning kan du blandt andet, hjælpe dine medarbejdere til at vide, hvordan de skal håndtere data i deres hverdag, og derved få jeres organisation tættere på at opnå GDPR-compliance. Datatilsynet har flere gange understreget vigtigheden af træning i persondatabeskyttelse.

              

Almindelige emner indenfor GDPR-træning

Når det kommer til GDPR og IT-sikkerhed, så er der mange ting, som dit team bør kende til. Som et eksempel, så er persondata et populært emne indenfor GDPR-træningskurser, fordi det er noget som stadig skaber stor forvirring hos mange medarbejdere. Korrekt håndtering af persondata er et vigtigt emne for ens medarbejdere, at kende til og forstå, da forkert håndtering indgår i mange af de mest typiske brud på GDPR.

Nogle andre emner, som man kan gennemgå i sin GDPR-træning, kan være:

Du skal også være velkommen til at tage et kig i vores kursuskatalog, hvor du kan se eksempler på de awareness-træningskurser, som vi tilbyder. Det vigtige her er, at viden om sikkerhed ikke kun ligger hos IT-afdelingen, men at alle i din virksomhed kender til dette og er opmærksomme på det. Det kan dog være svært for den individuelle medarbejder, at holde sig opdateret på reglerne. For at illustrere vigtigheden af dette, kan vi tage et kig på hvad der kan ske, når man ikke forstår sikker datahåndtering.


              

De fleste sikkerhedsbrud skyldes menneskelige fejl, men sådan behøves det ikke være

Et sikkerhedsbrud betyder, at noget eller alt persondata, som en virksomhed håndterer bliver tilgået af folk uden for virksomheden. Det kan skyldes et uheld eller en ondsindet handling af en udefra. Det kan f.eks. ske ved at en medarbejder åbner en phishing e-mail, uheldigvis downloader malware eller ransomware, sender persondata til den forkerte modtager via e-mail, eller bruger en usikker, offentlig wi-fi-forbindelse.

Når folk tænker på sikkerhedsbrud, så tænker de ofte på ondsindede hackere, der angriber organisationens IT-systemer og stjæler data.

Det er bare sjældent det, der sker i virkeligheden. For det meste sker sikkerhedsbrud på grund af menneskelige fejl og små uheld.

Dette problem har to sider.

Den ene side er mennesker, der laver fejl eller håndterer data forkert, fordi de mangler viden om vigtigheden af sikker datahåndtering. Disse små fejl, der er skyld i sikkerhedsbrud, kan for eksempel være:

  • En e-mail der bliver sendt

  • Persondata der bliver vist til uautoriserede personer

  • Persondata der bliver efterladt uden opsyn

  • Personer der får for mange rettigheder, til at tilgå persondata

  • Persondata der bliver gemt forkerte steder

  • Computere og andre enheder, der bliver stjålet eller delt

  • Papirer med persondata, der bliver glemt

Den anden side af problemet er, at medarbejdere er mere udsatte overfor cyber-angreb, hvis de mangler viden om IT-sikkerhed. Det er dette som hackere forsøger at udnytte. Hvis de kan få mennesker til at begå fejl, så behøver de ikke at hacke og udnytte IT-systemer. Derfor forsøger hackere sig ofte med social engineering-angreb, såsom phishing-mails, der kan føre til databrud. Derfor er det vigtigt at træne medarbejdere i at kunne spotte phishing-e-mails.

Tekniske værktøjer kan ikke stå alene

Naturligvis forbliver teknisk IT-sikkerhed en vigtig del af, at holde din organisation sikker. Forskellige tekniske værktøjer, såsom mobile device management, eller SIEM og log management kan bruges til at reducere risikoen for sikkerhedsbrud, såsom:

Illustration af tekniske værktøjer, firewalls, backup, spam og anti-virus

Men selvom tekniske værktøjer helt sikkert lykkedes med at være yderst komplekse og helt sikkert beskytter imod meget, så er ikke engang de 100% effektive til at holde trusler ude. De er kun halvdelen af kampen og kan ikke forbedre:

  • Personaleadfærd: f.eks. forhindrer en firewall ikke personale i at give adgang til de forkerte personer

  • Uklare processer når det gælder håndtering af personoplysninger

  • Manglende viden om IT-sikkerhed

Dit stærkeste forsvar mod sikkerhedshændelser er opmærksomme medarbejdere, kombineret med klare processer til håndtering af data. Kort sagt: Alt personale skal have en klar forståelse for, hvad GDPR og persondata er, samt hvordan det skal håndteres.

Billede af Risiko-analyse skabelon

              

GDPR awareness-træning: Gør dit hold til dit stærkeste forsvar

Awareness-træning er et af de værktøjer, som din organisation kan bruge til at forbedre dit teams viden om IT-sikkerhed og sikker datahåndtering.

  • Artikel 39 kræver at din databeskyttelsesrådgiver skal øge opmærksomhedsniveauet og tilbyde træning til medarbejdere, som er involveret i databehandling

  • Artikel 43 kræver at medarbejdere, som har permanent eller fast adgang til persondata, modtager databeskyttelses-træning

Som vi tidligere diskuterede i dette blogindlæg, kan GDPR være kompliceret at forstå. Så du kan ikke forvente, at alt personale er eller bliver eksperter i GPDR. Derfor kan et GDPR-awareness-træningsprogram, være til stor hjælp til at forbedre personalets adfærd, da de her regelmæssigt får klare, simple og praktiske forklaringer på sikker datahåndtering.

Desuden, er opmærksomme medarbejdere, som løbende bliver mindet om IT-sikkerhed bedre rustet til at opdage phishing-angreb. Det er også mindre sandsynligt, at de laver andre fejl, såsom at gemme data forkert.

Udover opmærksomhed på IT-sikkerhed og vigtigheden af sikker datahåndtering, skal personalet også være opmærksomt på de specifikke processer og ansvarsområder, vedrørende informationssikkerhed i din organisation.

Det er altså IT-afdelingens og ledelsens opgave at skabe klare processer, som personalet kan følge og at udpege folk, som medarbejdere kan kontakte i forbindelse med spørgsmål om GDPR og informationssikkerhed. Det kan for eksempel være jeres Databeskyttelsesrådgiver. Både en IT-sikkerhedspolitik og en politik for IT-retningslinjer, er dokumenter, hvor disse processer kan beskrives.

Organisationen skal etablere:

  • Klare processer for datahåndtering som sikrer, at personalet altid handler med informationssikkerhed i tankerne

  • En person, der er ansvarlig for GDPR og informationssikkerhed, der kan hjælpe personalet og fungerer som et centralt kontaktpunkt vedrørende sikkerhedshændelser

Medarbejdere skal være opmærksom på:

  • IT-sikkerhed og farerne fra IT-kriminalitet

  • Organisationens processer for datahåndtering og GDPR

  • Altid at rapportere potentielle sikkerhedsbrud og søge hjælp fra den person, der er ansvarlig for GDPR, når de er usikre

 
              

Awareness-træning hjælper dig med overholdelse af GDPRs træningskrav og andre cybersikkerhedscertificeringer

GDPR-compliance er noget, der ligger på sinde hos de fleste organisationer. Der er forskellige rammer, som organisationer bruger til at hjælpe deres medarbejdere til at vedligeholde og dokumentere deres GDPR-compliance. Eksempelvis kan rammer være industri- eller landespecifikke. Det er dog ikke alle rammer der sikrer overholdelse af GDPR, men nogle har alligevel krav der overlapper. Mange af de forskellige rammer kræver faktisk også awareness-træning.

Nedenunder kan du se nogle af de andre rammeværk, som organisationer bruger i deres GDPR-arbejde, samt hvordan awareness-træning passer ind i hver af dem.

Rammeværk: ISO 27701
Beskrivelse En udvidelse af ISO 27001, som er en international standard for informationssikkerheds praksisser. ISO 27701 har ekstra krav omhandlende persondata, der sikrer overholdelse af GDPR.
Krav til awareness-træningen Klausul 7.2.2 kræver at alle medarbejderne i firmaet og nødvendige entreprenører, modtager awareness-undervisning og træning.
Rammeværk: ISAE 3000 GDPR
Beskrivelse En specifik version af ISAE 3000, som inkluderer GDPR krav for overholdelse. Afhængig af mængden af persondata, som din organisation behandler, skal de enten overholde ISAE 3000 High (for høje mængder af persondata), eller ISAE 3000 low (for lave mængder af persondata).
Krav til awareness-træningen Kræver den relevante træning af medarbejdere.
Rammeværk: CIS (Center for Internet Security Critical Security Controls)
Beskrivelse Retningslinjer for bedste praksisser indenfor IT-sikkerhed med en liste af tiltag, som organisationer burde tage, for at undgå angreb.
Krav til awareness-træningen Kontrol 14 kræver at et sikkerheds-awareness program bliver skabt og vedligeholdt.
Rammeværk: ISO 27001 og 27002
Beskrivelse International standard med retningslinjer for bedste praksisser inden for IT-sikkerhedsstyringssystemer.
Krav til awareness-træningen Klausul 7.2.2 kræver at alle medarbejdere i virksomheden og nødvendige entreprenører, modtager awareness-undervisning og træning.
Rammeværk: ISO 27001 og 27002
Beskrivelse International standard med retningslinjer for bedste praksisser inden for IT-sikkerhedsstyringssystemer.
Krav til awareness-træningen Klausul 7.2.2 kræver at alle medarbejdere i virksomheden og nødvendige entreprenører, modtager awareness-undervisning og træning.
Rammeværk: NIST
Beskrivelse Et amerikansk baseret framework med IT-sikkerheds retningslinjer, som virksomheder der laver forretning med den amerikanske føderale regering skal overholde.
Krav til awareness-træningen Ens organisations leder, systemadministratorer og systembrugere være opmærksomme på sikkerheds risici, for at overholde rammeværk. Awareness-træning skal dække, hvordan man genkender og rapporterer trusler.
Rammeværk: CMMC
Beskrivelse Vil snart erstatte NIST i Amerika. Bliver brugt af enheder der laver forretning med den amerikanske regering.
Krav til awareness-træningen Der er forskellige niveauer for overholdelse. Niveau 2 og over indikerer et minimum niveau af cyberhygiejne. Kræver awareness-træning.
Rammeværk: ISRS 4400
Beskrivelse Minder om ISAE 3000, men ISRS 4000 er kun baseret på kriterier, som en revisor bliver bedt om at verificere.
Krav til awareness-træningen Kræver relevant træning af personale.
GDPR awareness-træning kan implementeres på forskellige måder

At komme godt i gang med awareness-træning er lettere, end du måske tror. Det hele handler om at give folk viden om persondata og IT-sikkerhed på en måde, som de let kan forstå og huske. Det er derfor en god ide at sprede denne viden på flere forskellige måder, og gennem flere kanaler, for virkelig at skabe størst mulig opmærksomhed.

Du kan f.eks. kombinere forskellige former for e-læring og fysisk undervisning. E-læring kan hjælpe jer til at opnå en vis kontinuitet og tilskynde medarbejdere til at lære i deres eget tempo. Fysiske tiltag kan lette udvekslingen af ideer, og omsætte viden til praksis.

Der er dog mange flere muligheder for at sammensætte et godt awareness-træningsprogram. Her har vi samlet nogle tips til at sammensætte et træningsprogram til dine medarbejdere. Du kan være så kreativ, du vil.

Forskellige GDPR-awareness-træningsmetoder

Nedenfor viser vi nogle eksempler på forskellige formater til træning:

Online GDPR-træning: Korte online e-læringsmoduler, der består af videoer, tekst, quizzer og mere.

Fysisk undervisning: Længere sessioner givet af en instruktør, eller ekspert. Dette kan tilskynde til diskussion.

Simuleringer: Phishingsimuleringer og andre simuleringer giver folk mulighed for, at øve deres viden i realistiske situationer.

Workshops: For eksempel en workshop, hvor personalet kan placere sig i en hackers sko og lære at forstå, hvordan hackere tænker.

Gratis tilgængeligt online materiale: Der er mange gratis materialer tilgængelige online. Dette spænder fra YouTube-videoer til regeringskampagner, til plakater og diagrammer, som du kan hænge på kontoret. Se for eksempel Sikker Digitals hjemmeside, eller Datatilsynets egen hjemmeside.

Et andet eksempel er den Europæiske Unions Agentur for Cybersikkerhed (ENISA), som har gratis materiale man kan bruge til at promovere IT-sikkerhed. Derudover har NCSA (United States National Cyber Security Alliance) en gratis videoserie, som du kan dele med dine medarbejdere.

Gruppeaktiviteter og spil: Disse kan være i forskellige formater, f.eks. et escape room eller et Cluedo-lignende scenario, hvor holdet skal finde ud af, hvordan og af hvem virksomheden blev infiltreret.

 

GDPR-træning til medarbejderne øger opmærksomheden omkring sikkerhed 

Udover det vi allerede har nævnt, så er der mange muligheder for at lave awareness-træning. Vi har lavet en guide med 11 gode råd til, hvordan du lykkedes med jeres awareness-træning. Du skal og kan vælge lige præcis de formater, der passer bedst til din organisations behov, og som måler effekten af træningen hos dine medarbejdere. En god awareness-træning er en, som medarbejderne ikke ser som en byrde, men som de måske endda ser frem til.

Succesfulde awareness-træningsteknikker resulterer i medarbejdere, der er intuitivt opmærksomme på, hvad de skal gøre i deres egen daglige arbejdsgang for at overholde GDPR, samtidig med at de forbedrer den generelle IT-sikkerhed i organisationen. I sidste ende kan medarbejdere, der er opmærksomme, vise sig at være dit stærkeste IT-sikkerhedsforsvar.