Använda utbildning medvetenhet för GDPR efterlevnad

Gillian Loones
By: Gillian Loones Medvetenhetsträning | 7 december

När EU införde GDPR, kom det med långtgående konsekvenser, för både små och stora organisationer. Idag är fortfarande många organisationer osäkra på hur man exakt implementerar GDPR i sin dagliga verksamhet. Dessutom, skulle man misslyckas att följa GDPR, kan det få allvarliga konsekvenser, så som böter eller oroande säkerhetsöverträdelser. Det är därför det är så viktigt att alla i organisationen vet hur man hanterar data i den dagliga verksamheten. I det här blogginlägget kommer vi visa hur medvetenhetsträning kan vara användas för att uppnå efterlevnad av GDPR.

GDPR orsakar fortfarande mycket förvirring

EU införde GDPR i maj 2018, syftet var att konsumenter skulle ges bättre information om hur deras personuppgifter används, samt att skapa en säkrare datahantering i organisationer.

Därför består GDPR av en bred variation regler och regulatorer. Regler som tillämpas under hot om stora monetära sanktioner för organisationer som inte uppfyller kraven.

På trots att det nu är två år sedan GDPR trädde i kraft, är många fortfarande osäkra på hur det påverkar dem och deras organisation. Till exempel kan många anse att det inte är tydligt vad som räknas som personuppgifter, vad som menas med god datahanteringspraxis eller vilka konsekvenser det kan få om man inte följer GDPR.

Att implementera och efterleva GDPR i sin organisation, kräver ett brett spektrum av många typer av resurser. Så det kanske inte är så konstigt att många i teamet är vilsna i sitt arbete, när det kommer till att handskas med GDPR och personuppgifter.

Smart CTA_e-book SE

Personuppgifter innehåller många olika variabler

Låt oss kort illustrera hur förvirrande begreppet personuppgifter kan vara. Många kan ha svårt att förklara vad begreppet innebär – utöver att det är information om en person. Det kan nämligen snabbt bli komplicerat när man funderar över om sin skostorlek är en personuppgift. Och hur är det egentligen med din hårfärg?

Using AWT for GDPR compliance-1

 

Personuppgifter är ett begrepp, som innehåller många olika variabler. Därför kan det vara oklart vad som anses eller inte anses vara en personuppgift. Många i ditt företag kommer någon gång i kontakt med personuppgifter under sitt arbete, så det är viktigt att de förstår vad det innebär.
 

Vi ska, kort och precist, definiera personuppgifter i detta blogginlägg. Men vill du läsa mer om begreppet, rekommenderar vi detta blogginlägg.

I GDPR beskrivs personuppgifter som:

“information som avser en identifierad eller identifierbar individ”

 

Med andra ord, om någon typ av information handlar om en bestämd person eller leder till en bestämd person, är det en personuppgift.

Som vissas på bilden, omfattar personuppgifter väldigt mycket, också sånt som skostorlek och hårfärg. Du kan säkert komma i tanke om flera exemplar som inte lyfts fram här.

Det är viktigt att påpeka att personuppgifter inte bara omfattar text. En ljudinspelning, ett foto eller en video med identifierbar information är också personuppgifter.

 

Olika typer av personuppgifter: vanliga och känsliga

Tyvärr slutar inte komplexiteten där. Personuppgifter delas in i två kategorier, beroende på hur känslig informationen är. Det är viktigt att ditt team kan känna igen känsliga personuppgifter eftersom det är strängare regler för att hantera dem. Det beror på att ett brott mot känsliga uppgifter kan få större konsekvenser för de drabbade. Det kan till exempel leda till diskriminering eller hot om fysisk skada.

Vanliga personuppgifter Exempel:
Känsliga personuppgifter Exempel:
Namn Politiska åsikter
Kön Religiös tro
Adress Etnisk bakgrund
E-mail Hälsorelaterad information
  Sexuella relationer
  Fackligt medlemskap
Dessa kräver inte nödvändigtvis tillstånd för att hanteras, men du måste ändå vara hänsynsfull och använda sunt förnuft. Dessa är känsliga personuppgifter och all hantering kräver särskild uppmärksamhet – och ofta tillstånd. 

 

poster-persondata-SE-rettet

 

Ett bra sätt att komma ihåg hur man ska hantera personuppgifter korrekt, är att tänka på det som något du lånar av en vän. Som illustrationen på denna poster, om du vill kan ladda ner och spara den härifrån.

Nu vet du vad personuppgifter betyder. Du vet också att det är viktigt att de ska hanteras säkert. Nyckelfrågan är förstås: vet alla andra i företaget också det? Och om de gör det, vet de hur de ska gå till väga?

Det är viktigt att kunskap inom GDPR inte ‘fastnar’ hos IT-avdelningen, utan att den delas av all personal. Som tidigare nämnt kan det vara svårt för anställda att efterleva och förstå dataregler, utan vägledning.

För att illustrera hur viktigt detta är, så vill vi prova att förklara vad som kan hända när inte alla är medvetna om hur man hanterar data säkert.

De flesta säkerhetsöverträdelser beror på mänskliga fel, men det behöver inte vara så

En säkerhetsöverträdelse innebär, i allmänhet, att en del eller alla personuppgifter som hanteras inom en organisation, läcks ut. Det kan ske av misstag eller med avsikt.

När man hör ordet säkerhetsöverträdelser, tänker många ofta på skadliga IT-hackare som attackerar organisationens IT-system och stjäl data.

Men oftast inträffar en säkerhetsöverträdelse på grund av mänskliga fel. Problemet har två sidor. Den ena är att människor gör misstag eller hanterar uppgifter oförsiktigt. Eftersom de saknar kunskap om vikten av säker datahantering. Till exempel:

  • Ett e-postmeddelande skickas till fel person
  • Uppgifter visas för obehöriga
  • Data lämnas utan uppsikt
  • Felaktig åtkomst beviljas
  • Data lagras felaktigt
  • En enhet blir stulen eller delas
  • Dokument med information skrivs ut felaktigt och/eller kan glömmas bort

Men på andra sidan innebär den låga kunskapsnivån hos personalen att de flesta attacker försöker utnyttja människor istället för IT-system. Därför löper de större risk att bli offer för sociala attacker, exempelvis nätfiskemejl, som kan leda till ett dataintrång.

Naturligtvis är teknisk cybersäkerhet fortfarande en viktig del när det gäller att hålla din organisation säker. Olika tekniska verktyg kan användas för att minska risken för säkerhetsincidenter, som till exempel:

 

NewImage3

Men även om de tekniska verktygen är mycket komplexa, är de inte 100 % effektiva, så de kan inte hålla alla hot borta. De är bara halva striden, och de kan inte förbättra:

  • Personalens beteende. En brandvägg hindrar exempelvis inte personalen från att ge felaktig åtkomst.

  • Oklara processer när det gäller hantering av personuppgifter.

  • Brist på kunskap om cybersäkerhet.

Detta är saker som bara personalen själva kan åtgärda och förhindra. Och som tur är, kan anställda få verktygen de behöver, med rätt utbildning.

Ditt starkaste försvar mot säkerhetsincidenter är kunskap och medvetenhet hos hela personalstyrkan, med tydliga processer för datahantering. Alltså när all personal förstår vad GDPR är och hur personuppgifter ska behandlas.

Medvetenhetsträning: förvandla ditt team till ditt starkaste försvar

Medvetenhetsträning är ett av verktygen din organisation kan använda för att avsevärt förbättra kollegornas kunskap om cybersäkerhet och säker datahantering. Det krävs också för att vara GDPR-kompatibelt:

  • Artikel 39 kräver att ditt dataskyddsombud ökar medvetenheten och ger utbildning till personal som är involverad i databehandling

  • Artikel 43 kräver att personal som har permanent eller regelbunden tillgång till personuppgifter får dataskyddsutbildning

Som vi beskrev tidigare i det här blogginlägget kan personuppgifter vara komplicerade. Du kan inte förvänta dig att all personal blir experter på GPDR. Därför kan ett utbildningsprogram i medvetenhet, som regelbundet ger kollegorna tydliga, enkla och praktiska förklaringar och exempel på hur man säkert hanterar personuppgifter, vara till stor hjälp för att förbättra de anställdas beteenden.

Dessutom, när människor är medvetna om farorna som cyberkriminella utgör, är de mer benägna att upptäcka nätfiskeattacker och mindre benägna att göra andra fel, som att lagra data felaktigt.

Utöver medvetenhet om cybersäkerhet, och vikten av säker datahantering, behöver personalen också vara medveten om de specifika processerna och ansvaret för informationssäkerhet i din organisation. Enkelt uttryckt är det IT-avdelningens och ledningsgruppens uppgift att sätta upp tydliga processer som personalen kan följa, och att utse personer som kan fungera som en central rådgivningspunkt gällande allt som rör GDPR och informationssäkerhet.

Organisationen behöver upprätta:
  • Tydliga datahanteringsprocesser för att säkerställa att personalen alltid agerar med informationssäkerhet i åtanke
  • En person som är ansvarig för GDPR och informationssäkerhet som kan hjälpa personalen och fungera som en central kontaktpunkt för säkerhetsincidenter
Anställda måste vara medveten om:
  • Cybersäkerhet och riskerna med IT-brottslingar
  • Datahanteringsprocesserna i organisationen och GDPR
  • Behovet av att alltid rapportera potentiella säkerhetsincidenter och söka hjälp från den person som ansvarar för GDPR om det finns någon osäkerhet eller misstankar

Medvetenhetsträning hjälper dig att uppnå GDPR-efterlevnad och andra cybersäkerhetscertifieringar

GDPR-efterlevnad är i fokus för de flesta organisationer, och det finns flera ramverk som organisationer använder för att hjälpa dem att upprätthålla och dokumentera GDPR-efterlevnad. Vissa är till exempel branschspecifika och andra är landsspecifika. Alla ramverk för cybersäkerhet säkerställer inte GDPR-efterlevnad, men vissa av ramverkens krav överlappar GDPR, och många ramverk kräver utbildning i medvetenhet.

Här under kan du se några av de ytterligare ramverk för cybersäkerhet, som många organisationer använder i sitt GDPR-arbete, och hur medvetenhetsträning passar in i var och en av dem.

 

Ramverk

Beskrivning

Krav på medvetenhetsutbildning

ISO 27701

En förlängning av ISO 27001, som är en internationell standard för informationssäkerhet. ISO 27701 har ytterligare krav gällande personuppgifter som säkerställer efterlevnad av GDPR Klausul 7.2.2 kräver att alla företagsarbetare och nödvändiga entreprenörer får utbildning och utbildning i medvetenhet
ISAE 3000 GDPR En specifik version av ISAE 3000 som inkluderar GDPR-krav för efterlevnad. Beroende på mängden personuppgifter som din organisation behandlar, skulle du följa antingen ISAE 3000 High (för höga nivåer av personuppgifter) eller ISAE 3000 low (för låga nivåer av personuppgifter) Kräver relevant utbildning av personal
CIS (Center for Internet Security Critical Security Controls) Riktlinjer för bästa praxis för datorsäkerhet med en lista över åtgärder som organisationer bör vidta för att förhindra attacker Kontroll 14 kräver att ett program för säkerhetsmedvetande skapas, och underhålls
ISO 27001 and 27002 Internationell standard med riktlinjer för bästa praxis för ledningssystem för informationssäkerhet Klausul 7.2.2 kräver att alla företagsarbetare och nödvändiga entreprenörer får utbildning och träning i medvetenhet
NIST USA-baserat ramverk med riktlinjer för informationssäkerhet för organisationer, som gör affärer med den amerikanska federala regeringen, måste följa För att uppfylla kraven måste en organisations chefer, systemadministratörer och systemanvändare vara medvetna om säkerhetsrisker. Medvetenhetsträning bör omfatta hur man känner igen och rapporterar hot
CMMC Kommer snart att ersätta NIST i USA. Används för enheter som gör affärer med den amerikanska regeringen Det finns flera nivåer för efterlevnad. Nivå 2 och högre, som indikerar en lägsta mellanliggande cyberhygien, kräver utbildning i medvetenhet
ISRS 4400 Liknar ISAE 3000, men ISRS 4000 baseras endast på de kriterier som revisorn uppmanas att verifiera Kräver relevant utbildning av personal

Medvetenhetsträning kan genomföras på en mängd olika sätt

Att komma igång med medvetenhetsträning är lättare än du kanske tror. Allt handlar om att ge människor kunskap om personuppgifter och cybersäkerhet på ett sätt som de enkelt kan förstå och komma ihåg.

Det är därför det är en bra idé att överföra denna kunskap på flera sätt och genom flera kanaler, för att verkligen skapa en medvetenhet om cybersäkerhet som finns med i allas sinne.

Du kan till exempel kombinera olika former av e-lärande och klassrumslärande. E-lärande kan användas för att uppnå en viss kontinuitet och för att uppmuntra kollegorna att lära sig i sin egen takt. Klassrumsinlärning, kan användas för att utbyta idéer och omsätta kunskap i praktiken. Du kan läsa mer om hur du optimalt kombinerar dessa två lärandeformer här.

Men det finns många fler möjligheter att organisera ett bra utbildningsprogram för medvetenhet på. Det är i princip bara din kreativitet som sätter gränserna, till exempel kan man använda sig av gamification-element. Nedan listar vi några exempel på olika utbildningsformat för hur man kan stärka medvetenheten:

Digitalt-lärande: Korta inlärningsmoduler, online, med videor, text, frågesporter. 

Klassrumsutbildning: Längre sessioner med en instruktör som kan uppmuntra till diskussion eller  bjuda in en expert. 

Simuleringar: Nätfiske och andra IT-säkerhetssimuleringar ger människor möjlighet att öva på sina kunskaper i realistiska situationer. 

Workshops: Till exempel där personalen kan placera sig i en nätbrottslings situation och pröva sig på att förstå hur de tänker.

Fritt tillgängligt online material: Det finns många inlärningskällor och annat material gratis på nätet. Det sträcker sig från YouTube-videor, regeringskampanjer till affischer och diagram som du kan hänga upp på kontoret. 

Ta till exempel en titt på detta detta kostnadsfria material från ENISA, European Union Agency for Cybersecurity eller denna kostnadsfria videoserie  från NCSA, United States National Cyber Security Alliance

Gruppaktiviteter och spel: Dessa kan vara i olika format, till exempel ett Escape Room eller ett Cluedo-liknande scenario där teamet måste lista ut hur och av vem företaget infiltrerades. 

Det finns många olika sätt, man kan organisera just er medvetenhetsträning. Du kan skräddarsy de format som passar bäst för din organisation och dina behov så länge du säkerställer att det tillför mervärde för teamet. Bra medvetenhetsträning är något som personalen inte ser som en börda, utan något som de till och med kan se fram emot.

Framgångsrikt implementerad medvetenhetsträning leder till att personalen får en intuitiv känsla för vad de behöver göra i sitt dagliga arbetsflöde för att följa GDPR, samtidigt som organisationens allmänna cybersäkerhet förbättras. I slutändan kan en medveten personal faktiskt visa sig vara ditt starkaste cyberförsvar! Du kan läsa mer om hur du kan mäta effekterna av medvetenhetsträning här.