En forordning som Europas GDPR sørget virkelig for å plassere håndtering av personinformasjon på alle bedriftenes dagsorden i 2018. Det ble lagt vekt på individuell eiendomsrett av personopplysninger og bedrifter over hele verden ble tvunget til å beskytte denne rettigheten på en lovlig måte.
En konsistent beskyttelse av personopplysninger fortsetter å være en utfordring for bedrifter. En nylig Espresso-undersøkelse fra DNV avslørte at modenhet kun har hatt en liten økning siden den sammenlignbare undersøkelsen i 2019. Når GDPR ble implementert for 4 år siden, strevde bedriftene med å garantere samsvar. Det virker som at dette fortsetter å være hovedmålet for mange bedrifter. Tilnærming til behandling av personinformasjon kun fra et juridisk perspektiv, kan imidlertid være veldig begrensende.
Personer hovedkilde til risiko
I undersøkelsen indikerte bedriftene menneskelig svikt som hovedkilde for risiko (44.5%). Deretter følger mangel på bevissthet blant ansatte, eller dårlig kultur for organisering (27.7%), og mangel på juridisk kompetanse/tolkning av juridiske krav (25.3%). Bekymring for problemer som gjelder organisasjon, kultur og kompetanse istedenfor eksterne trusler, er nødvendigvis ikke så ulikt bildet man fikk i 2019. Uansett finnes det en endring av aksjoner fra IT til personer. I 2019 var forbedring av IT-sikkerhet største investeringsområde, men dette er nå forbigått av opplæring og bevisstgjøring av ansatte. Dette prioriteres av nesten 1 av 2.
Når menneskelig svikt og mangel på bevissthet anses som største risiko, betyr dette ofte at en effektiv kulturbygging ikke har funnet sted. Dette kan enkelt minimeres ved å implementere en sikringsmodell for et formelt ledelsessystem. Alle organisasjoner opplever forbigående ressurser, for eksempel på grunn av fluktuasjon og ansettelse av nye ressurser. Dette krever opplæring av nye ansatte, eller en bevissthetsoppfriskning for eksisterende ansatte ved jevne mellomrom.
Bygge en konsistent sikkerhetskultur
Dette behovet møtes best gjennom en modell for ledelsessystem basert på beste praksis, oppfanget i ISO 27701 standard om ledelsessystem for personverninformasjon. Standarden beskriver spesifikke krav for regelmessig opplæring og bevisstgjøring for å garantere et konsistent nivå gjennom hele organisasjonen. Dette fører til økt engasjement og setter ansatte i stand til å tenke “personvern”, noe som hjelper dem med å håndtere “usikkerhet” knyttet til personvern på en bedre måte. Erfaringer fra andre områder, som for eksempel informasjonssikkerhet, har tydelig påvist hvordan en organisasjon kan bygge og forbedre en sikkerhetskultur gjennom implementering av et ledelsessystem.
I et multi-tilkoblet samfunn vil problemer knyttet til personvern strekke seg fra informasjons- og cyber-sikkerhet til feilaktig, også utilsiktet, bruk eller lagring av data fra selve bedriftens side eller fra andre lovlige aktører. Siden de fleste bedrifter synes å være i fare i disse dager, er investering i IT-sikkerhet en nødvendighet og har steget høyere opp på alles dagsorden. Likevel er det svake punktet i datakjeden ofte den personen som bruker informasjonen og enhetene eller programvaren som håndterer den. Dette understreker det sterke behovet for regelmessig opplæring. Det kan dreie seg om e-læring, mindre opplæringsemner eller en mer omfattende opplæring for alt personale som har å gjøre med databehandling.
Systemene styrer en robust og pålitelig tilnærming
Selvfølgelig finnes det andre aspekter som er viktige i tillegg til et samsvarende ledelsessystem. For eksempel er tilstedeværelsen av hensiktsmessig opplærte interne emneeksperter, som er brennpunktet knyttet til etterspørsel eller usikkerhet blant personale, uunnværlig. Disse ekspertene kan også virkelig hjelpe enhver bedrift med å utvide personvern-logikken gjennom design og standard. Det garanterer systematisk datasikkerhet ved å implementere prosesser som begrenser innhenting og behandling, og sikrer kvaliteten, håndterer bevaring og kassering og kontroller under overføring av data i designstadiet for ethvert prosjekt, eller utfører endringer i hvordan data håndteres.
DNV-undersøkelsen avslørte at bedrifter har utført en solid investering i opplæring og bevisstgjøring av ansatte for å minimere faren for menneskelig svikt. Investering i kompetanse er alltid en konstruktiv tilnærming. Vi gjør det en mulighet for bedrifter å investere tungt i opplæring og parere dette med implementering av et ISO 27701 ledelsessystem for personinformasjon og på denne måten oppnå en mer robust, fleksibel og pålitelig tilnærming.
Av Nanda kumar Shamanna, ICT Business Manager, DNV
