Bruk Bevissthetstrening for å Overholde Kravene i GDPR (Personvernforordningen)

Gillian Loones
By: Gillian Loones Bevissthetstrening | 9 desember

Introduksjonen av GDPR i EU og Norge har hatt stor betydning for både små og store organisasjoner. Mange er fortsatt usikker på hvordan de kan implementere samsvar med GDPR i sin daglig drift. I tillegg risikerer man store bøter eller sikkerhetsbrudd hvis man ikke er i tråd med personvernforordningen. Derfor er det veldig viktig at alle i din organisasjon vet hvordan man skal håndtere personopplysninger i hverdagen. I dette blogginnlegget skal vi derfor snakke om hvordan bevissthetstrening kan hjelpe deg med å overholde kravene i GDPR.

GDPR forårsaker fortsatt en god del forvirring.

Personvernforordningen ble introdusert I mai 2018 i EU, og noe senere i Norge for å gjøre brukere klar på hvordan deres personopplysninger blir brukt og for å sørge for bedre datahåndtering og databeskyttelse i organisasjoner.

Som et resultat av dette, trådte flere nye regler i kraft i forbindelse med GDPR for hvordan man skal håndtere personopplysninger og unngå sikkerhetsbrudd. Organisasjoner som ikke følger disse reglene, kan bli utsatt for store finansielle sanksjoner.

Selv om personvernforordningen har vært gjeldende i over 3 år, er det fortsatt mange som er forvirret om hvordan GDPR påvirker dem og deres organisasjon. For eksempel kan det fortsatt være uklart hva som er en personopplysning, hva gode databehandlingspraksiser egentlig er eller hva konsekvensene av å ikke følge reglene kan være.

Det krever allerede en god del innsats for å overholde GDPR og å ha IT ekspertene som følger med. Så det er bare normalt at mange i din organisasjon kanskje føler at hvordan man skal håndtere personopplysninger og GDPR henger litt løst i lufta.

Smart CTA_e-book NO

Personopplysninger kan være mange ting

La oss kort illustrere hvor forvirrende personopplysninger kan være. Mange vet egentlig ikke helt hva personopplysninger er – annet enn at det er opplysninger om en person. Det blir fort komplisert når du begynner å stille spørsmål som «er din skostørrelse en personopplysninger?» eller «hva med din hårfarge?».

Using AWT for GDPR compliance-1

 

Personopplysninger kan være mange ting og det kan være uklart hva som egentlig er personopplysninger eller ikke. Det er derimot veldig viktig å forstå fordi omtrent alle i din organisasjon kommer bort i personopplysninger nesten hver dag.

La oss se på enkel definisjon av personopplysninger. Er du interessert så kan du lese mer om personopplysninger i vårt blogginnlegg her.

Personvernforordningen definerer personopplysninger som:

“Enhver opplysning om en identifisert eller identifiserbar fysisk person”


Med andre ord: hvis en opplysninger handler om en bestemt person eller kan lede til en bestemt person, beregnes det som en personopplysning.

Som du kan se på bildet inkluderer personopplysninger mange ting! Til og med skostørrelse og hårfarge kan være personopplysninger. Du kan sikkert tenke på mange andre eksempler som ikke er med på bildet her.

Det er viktig å notere at personopplysninger ikke bare inkluderer opplysninger i tekst. Et lydopptak, bilde eller en video med identifiserbar informasjon er også personopplysninger.

Ikke alle personopplysninger er like: alminnelige og sensitive personopplysninger.

Forvirringen stopper ikke her, dessverre. Personopplysninger er i tillegg delt i to hovedkategorier basert på hvor sensitiv en opplysning er. Det er viktig at dine ansatte kan gjenkjenne sensitive personopplysninger fordi det er strengere regler for å håndtere disse. Dette fordi et databrudd hvor sensitive opplysninger kommer på avveie kan ha konsekvenser med større betydning for personer som blir rørt. Det kan for eksempel føre til diskriminering eller trusler om fysisk skade.

 

Alminnelige personopplysninger

Eksempler:

  • Navn

  • Kjønn

  • Adresse

  • E-post

Disse trenger nødvendigvis ikke tillatelse til å bli behandlet, men du må fortsatt være forsiktig og bruke sunn fornuft.



Sensitive personopplysninger

Eksempler:

  • Politisk tro

  • Religiøs tro

  • Etnisk bakgrunn

  • Helseopplysninger

  • Seksuell legning

  • Medlemskap I foreninger

Disse er sensitive personopplysninger og all behandling av disse krever ekstra oppmerksomhet – og ofte eksplisitt tillatelse.

poster-persondata-NO

 

En god mate å minne alle på hvordan personopplysninger bør behandles, er å tenke på personopplysninger som noe du låner fra en venn – som illustrert i plakaten her. Du kan laste ned denne og andre plakater helt gratis her.

Nå vet du hva personopplysninger er og hvorfor det er viktig å håndtere disse på en sikker måte. Det kritiske spørsmålet er dermed: vet alle andre I din organisasjon det også? Og hvis de gjør det, vet de hvordan de bør gå frem?

Det er altså veldig viktig at denne kunnskapen ikke bare ligger hos IT-avdelingen, men at alle ansatte i organisasjonen er bevisst om hvordan de skal håndtere personopplysninger. Når det er sagt, er det også viktig å merke seg at det kan være vanskelig for alle ansatte å følge med på personvernregler på egenhånd.

La oss se nærmere på hva som kan skje dersom sikker databehandlingspraksiser ikke er godt nok forstått.

Fleste sikkerhetsbrudd skjer på grunn av menneskelige feil - men det må egentlig ikke være slik

Et sikkerhetsbrudd innebærer ofte at alle eller deler av personopplysningene som behandles i en organisasjon blir lekket, enten ved et uhell eller et cyberangrep.

Når det er snakk om sikkerhetsbrudd, tenker folk flest ondsinnede hackerangrep på organisasjonens IT-systemer som har som formål å stjele opplysninger.

Men, ofte skyldes sikkerhetsbrudd menneskelige feil. Problemet har to sider. På den ene siden handler dette om at mennesker gjør feil eller behandler data på feil måte fordi de mangler nødvendig kunnskap og sikker data behandling. For eksempel ved at:

  • En e-post sendes til feil mottaker

  • Opplysninger blir vist til uautoriserte personer

  • Opplysninger ligger uten tilsyn

  • Feil tilgang blir gitt

  • Data er lagret på feil måte

  • En enhet (f.eks. en datamaskin) blir stjålet eller delt

  • Dokumenter med sensitive opplysninger blir skrevet ut på feil måte eller er glemt igjen i printeren.

På den andre siden handler dette om at hackere er klar over denne ubevisstheten, og målrettet angriper mennesker istedenfor IT-systemer. Dette fordi mennesker er lettere å manipulere og lede til å gjøre feil, ved for eksempel sosialteknisk angrep (social engineering) og phishing-e-poster.

Selvfølgelig betyr ikke det at tekniske grep for å oppnå bedre cybersikkerhet ikke er nødvendig. Det finnes mange ulike tekniske verktøy for å redusere risikoen for sikkerhetsbrudd, som f.eks:

NewImage3

Selv om tekniske verktøy er beskyttende, er de likevel ikke 100% effektive når det gjelder å holde alle trusler utenfor. Tekniske verktøy er kun halvparten av jobben og kan for eksempel ikke forbedre:

  • Ansattes atferd: f.eks. vil en brannmur ikke hindre at ansatte gir feil tilgang til andre.

  • Uklare prosesser for håndtering av personopplysninger

  • Mangel på kunnskap om cybersikkerhet

Dette er ting som kun ansatte selv kan fikse og hindre. Heldigvis, er alle ansatte i stand til å gjøre dette, når de gis riktige verktøy og trening.

Ditt beste forsvar mot sikkerhetsbrudd er en omfattende bevissthet blant dine ansatte, kombinert med klare prosesser for behandling av data. Kort sagt: alle ansatte må klart og tydelig forstå «hva» og «hvordan» om GDPR og personopplysninger.

Bevissthetstrening: gjør dine ansatte til ditt beste forsvar

Bevissthetstrening er et virkemiddel din organisasjon kan bruke for å forbedre dine ansattes kunnskap om cybersikkerhet og sikker behandling av personopplysninger i betydelig grad. Det trenger også å være GDPR compliant:

  • Artikkel 39 krever at ditt personvernombud (DPO) øker bevissthet og gir opplæring til ansatte som er involvert med med databehandling.

  • Artikkel 43 krever at ansatte som har permanent eller regelmessig tilgang til personopplysninger får opplæring i databeskyttelse

Som forklart tidligere i dette blogginnlegget, er personopplysninger komplisert. Du kan ikke forvente at alle dine ansatte skal være eksperter i GDPR. Et bevissthetsprogram som jevnlig gir dine ansatte klar, enkel og praktisk forklaring og eksempler på sikker databehandling kan derfor være til stor hjelp for å forbedre ansattes atferd.

Når folk er mer bevisste på utfordringene cyberkriminelle byr på, er de bedre rustet til å kjenne igjen phishing-angrep og å gjøre mindre feil, som feil lagring av personopplysninger.

I tillegg til bevissthet om cybersikkerhet og viktigheten av sikker databehandling, bør dine ansatte også være bevisste på de spesifikke prosessene og ansvaret deres for informasjonssikkerhet i din organisasjon. Sagt på en annen måte, er det ledelsens og IT-avdelingens ansvar å sette opp prosesser som ansatte kan følge og å utnevne personer som kan fungere som et sentralpunkt for rådgivning til dine ansatte om GDPR og informasjonssikkerhet.

Organisasjonen bør sørge for å ha:
  • Klare databehandlingsprosesser for å gjøre ansatte i stand til å handle med informasjonssikkerhet i bakhodet.

  • En GDPR-ansvarlig som kan hjelpe ansatte og fungere som en rådgiver for sikkerhetsbrudd.

Ansatte trenger å være bevisste på:

Bevissthetstrening hjelper deg med å oppnå GDPR compliance og andre cybersikkerhetssertifiseringe

GDPR compliance er viktig for alle organisasjoner, og det er flere forskjellige rammeverk som organisasjoner bruker til å opprettholde og dokumentere GDPR compliance. Noen av rammeverkene er industri spesifikke, mens andre er spesifikke for enkelte land. Ikke alle cybersikkerhetsrammeverk gir GDPR compliance, men noen av rammeverkenes krav overlapper som oftest med GDPR og mange rammeverk krever bevissthetstrening.

Under kan du se noen cybersikkerhetsrammeverk som noen organisasjoner bruker deres GDPR arbeid, og hvordan bevissthetstrening er en del av rammeverkene.

Rammeverk

Beskrivelse

Bevissthetstrening krav

ISO 27701

En utvidelse av ISO 27001 er en internasjonal standard for informasjonssikkerhetspraksis. ISO 27701 har tilleggskrav angående personopplysninger som sikrer GDPR compliance Klausul 7.2.2 krever at alle bedriftsarbeidere og nødvendige kontraktører mottar bevissthetsopplæring og trening.
ISAE 3000 GDPR En spesifikk versjon av ISAE 3000 som inkluderer GDPR-krav for compliance. Avhengig av mengden personopplysninger organisasjonen din behandler, vil du overholde enten ISAE 3000 High (for høye nivåer av personopplysninger) eller ISAE 3000 low (for lave nivåer av personopplysninger) Krever relevant opplæring av personell
CIS kontroller (Center for Internet Security Critical Security Controls) Retningslinjer for god praksis av datasikkerhet med en liste med handlinger organisasjoner bør ta for å forhindre angrep Kontroll 14 krever at et sikkerhetsbevissthetsprogram blir opprettet og vedlikeholdt
ISO 27001 and 27002 Internasjonal standard med retningslinjer for god praksis for informasjonssikkerhetssystemer. Klausul 7.2.2 krever at alle ansatte og nødvendige kontraktører mottar bevissthetstening.
NIST USA-basert rammeverk med retningslinjer for informasjonssikkerhet som organisasjoner som gjør forretninger med den amerikanske regjeringen må overholde For å overholde dette må en organisasjons ledere, systemadministratorer og systembrukere være klar over sikkerhetsrisikoer. Bevissthetstrening bør dekke hvordan man gjenkjenner og rapporterer trusler.
CMMC Skal snart erstatte NIST i USA. Brukes av organisasjoner som gjør forretninger med den amerikanske regjeringen Det er flere nivåer for compliance. Nivå 2 og over, som indikerer minimum compliance krever bevissthetstrening.
ISRS 4400 Ligner på ISAE 3000, men ISRS 4000 er kun basert på kriteriene som en revisor blir bedt om å verifisere Krever relevant opplæring av personell

 

Bevissthetstrening kan implementers på en rekke måter

Å starte med bevissthetstrening er enklere enn det du kanskje tror. I bunn og grunn handler det om å gi ansatte kunnskaper om personopplysninger og cybersikkerhet på en lettforståelig måte som er lett å huske.

Det er dermed viktig å gi denne kunnskapen på ulike måter og gjennom flere kanaler for å gjøre bevissthet om cybersikkerhet enkelt å huske, og noe som alle kan forstå.

Du kan, for eksempel, kombinere ulike form for e-læring og klasseromsundervisning. E-læring gjør deg i stand til å oppnå kontinuitet og å oppfordre dine ansatte til å lære på egenhånd. Klasseromsundervisning er bra for å utveksle ideer og erfaringer, samt for å se kunnskap i praksis. Du kan lese mer om hvordan du kan best mulig bruke disse to formene for læring her.

Når det er sagt, er det også mange andre muligheter for hvordan du kan organisere et bevissthetsprogram på. Det er bare kreativiteten din som setter grenser! Du kan for eksempel bruke elementer fra gamification. Nedenfor har vi laget en liste over eksempler på ulike former for bevissthetsopplæring- og trening.

E-læring: Korte læringsmoduler på nettet som består av video, tekst, quiz og mer.

Klasseromsundervisning: Lengre leksjoner som gis av en foreleser eller en ekspert. Dette kan sette i gang gode diskusjoner.

Simuleringer: Phishing og andre cybersikkerhets-simuleringer gir ansatte muligheten til å praktisere det de har lært i realistiske situasjoner.

Workshops: For eksempel en workshop hvor ansatte kan sette seg selv i cyberkriminelles plass og lære hvordan en kriminell tenker.

Gratis materiale på nett: Det finnes mange gode materialer på nettet som er helt gratis. Alt fra YouTube-videoer til offisielle kampanjer og plakater som du kan henge på veggen.

Se for eksempel dette materialet fra ENISA, EUs Byrå for Cybersikkerhet, eller se denne video serien from NCSA, FNs Nasjonale Cybersikkerhetsallianse.

Gruppeøvelser og spill: Dette kan være I mange former, for eksempel et «escape-room» spill med en scenario hvor lagene må finne ut om hvordan og av hvem deres bedrift ble innfiltrert.

Det finnes altså mange flere muligheter for å organisere bevissthetsopplegg på. Du kan velge de formene for bevissthetstrening som passer best til din organisasjon og ditt behov. Poenget er at du må sørge for at slike opplegg gir verdi til dine ansatte. En god bevissthetstrening er noe som ansatte ikke ser på som et byrde, men noe som de ser fram til.

Vellykket bevissthetstrening resulterer I ansatte som intuitivt er bevisste på hva de selv må gjøre for overholde kravene i personvernforordningen, og for å ivareta cybersikkerheten i deres organisasjon. Det er bevisste ansatte som er ditt beste forsvar mot cyberkriminalitet. Du kan lese mere om hvordan du måler effekten av bevissthetstrening her.