Å innføre IDM, eller å sette opp et maskinlærings-verktøy er ganske rett fram: man går til sjefen og får et budsjett og setter deretter i gang IT-avdelingen med å implementere.
Like enkelt er det ikke med de foreslåtte tiltakene som går på å innføre rutiner i virksomheten. De fleste som har forsøkt å innføre en rutine vet at dette er mer omstendelig enn å sende ut en epost om at "nå gjør vi det på denne måten dere".

GDPR og informasjonssikkerhet er tett knyttet (informasjonssikkerhet og kontinuerlig arbeid er spesifikt nevnt i personvernforordningen), og det blir derfor naturlig å ta med bevissthet om personvern i arbeidet med sikkerhetskultur.

IMB har beregnet at så mye som 95% av uønskede hendelser i forbindelse med informasjonssikkerhet hadde menneskelig feil som årsak eller medvirkende faktor. Det er altså ingen grunn til at arbeidet med å bevisstgjøre og skape god kultur rundt sikkerhet og personvern skal få mindre plass en de tekniske tiltakene. For å lykkes med å skape en varig sikkerhetskultur holder det ikke med et kurs eller en felles e-post som sier at fra nå av må alle passe på. Man må involvere alle ledd i virksomheten i et kontinuerlig arbeid. Spesielt viktig er det at ledelsen forstår at dette er arbeid som er av høyeste viktighet for virksomheten, og at de støtter arbeidet på en synlig måte ut til alle involverte.

Hvordan jobbe med sikkerhetskultur - og ta personvern med i arbeidet?

Nasjonal sikkerhetsmyndighet er en god ressurs når det kommer til dette med å innarbeide god sikkerhetskultur i en virksomhet. De påpeker også viktigheten av at ledelsen går foran som gode forbilder og at arbeidet kontinuerlig evalueres og følges opp. Hver enkelt virksomhet må se an hva som passer hos seg, hovedsaken er at alle i virksomheten forstår hvorfor sikkerhet og personvern er viktig og hvordan de kan bidra til å i vareta det. Mulige tiltak man kan vurdere å gjøre i sin virksomhet er:

• Ta med personvernet i opplæringsprogrammet av nye ansatte. Her kan det være smart å legge vekt på det grunnleggende, som for eksempel HVA personopplysninger er, og hvordan loven sier at de skal behandles. Dette vil bidra til at nyansatte får en forståelse av hvorfor det er viktig å tenke på samtidig som de får det nødvendige begrepsapparatet for å henge med på framtidige tiltak i kulturprogrammet.
• Heng på ledelsen og få de til å ta til seg alle tiltak. Det blir svært vanskelig å få de ansatte til å sende lenker til delte dokumenter dersom ledelsen fortsetter å sende filer som vedlegg.
• Informasjonsmøter/samlinger med personvern og sikkerhet som tema. Ta gjerne med siste nytt om nye typer trusler som er kommet, eller hendelser som har skjedd enten i virksomheten eller hos andre som man kan ta lærdom av.
• Små drypp av informasjon, enten ved oppslag på tavler, intranett eller som saker på avdelingsmøter som har med temaet å gjøre.
• Ha et godt fungerende system for å varsle om avvik og minn om dette jevnlig. Ros fungerer bedre enn ris, så sørg for å berømme de som oppdager og varsler avvik. Prøv å skape en kultur der det er åpenhet rundt feil.
• Konkurranser kan være med på å øke oppmerksomheten rundt temaet. Man kan for eksempel kåre mest sikkerhetsbevisste avdeling hvert år på julebordet, eller dele ut en pose twist eller lignende til de som finner hull og avvik og som melder om det i en periode.

Internkontroll

Det kan anbefales å ha periodiske gjennomganger av personvernet i en virksomhet. I likhet med sikkerhetsarbeid er arbeidet med personvern en kontinuerlig innsats. Hvor ofte det er behov for gjennomgang vil avhenge av hvilken type virksomhet det er og virksomhetens omfang. Slike gjennomganger vil bidra til å oppfylle kravet om internkontroll. Mer utfyllende informasjon om internkontroll og sikkerhetsarbeid finnes på difi.no.

Det anbefales å kalle inn til gjennomgang med nøkkelpersoner og gå gjennom:

• Protokollen
• Om noe i virksomheten har endret seg siden sist gjennomgang
• Nye avgjørelser/dommer. Lovtolkningen kan ha endret seg siden sist gjennomgang. Nyttige ressurser i den forbindelse er:
  • datatilsynets hjemmesider
  • Personvernrådet (European Data Protection Board - EDPB)
  • Personvernbloggen.no
• Nye ting man må ta hensyn til i omgivelsene, for eksempel nye former for trusler mot informasjonssikkerheten
• Avvik

I disse gjennomgangene kan en også drøfte tiltak for holdningsskapende arbeid sett i lys av hva som er kommet fram i gjennomgangen. Tiltak kan for eksempel være nyhetsbrev, foredrag, møter, oppslag på intranett eller interne konkurranser. Hva avvikene består i kan være en god pekepinn på hvor det er nyttig å rette innsatsen.

For å følge med på nyheter av interesse for dette arbeidet kan det være smart for alle som er involvert å abonnere på nyhetsbrevene til norSiS og datatilsynet. Dette er gratis, og man får god og oppdatert informasjon direkte i sin e-postboks.