Regler som den europeiska GDPR har verkligen satt hantering av integritetsinformation på alla företags agendor under 2018. Individens äganderätt till personuppgifter betonades och företag över hela världen tvingades att skydda denna rättighet på ett lagligt sätt.
Att konsekvent skydda personuppgifter fortsätter att vara en utmaning för företagen. En nyligen genomförd Espresso-undersökning från DNV visade att mognadsgraden endast har ökat något sedan den jämförbara undersökningen för 2019. När GDPR infördes för fyra år sedan kämpade företagen för att säkerställa efterlevnad. Det verkar som om detta kan ha förblivit den viktigaste vinkeln för många företag. Att närma sig hanteringen av integritetsinformation endast ur ett juridiskt perspektiv kan dock vara mycket begränsande.
Människor är den viktigaste riskkällan
Företagen i undersökningen angav mänskliga fel som den främsta riskkällan (44,5 %). Därefter följer bristande medvetenhet bland de anställda eller dålig organisationskultur (27,7 %) och bristande juridisk kompetens/tolkning av rättsliga krav (25,3 %). Oron för organisations-, kultur- och kompetensfrågor snarare än för externa hot skiljer sig inte nödvändigtvis mycket från den bild som målades upp i 2019. Det sker dock en förskjutning av åtgärderna från IT till människor. År 2019 var förbättring av IT-säkerheten det främsta investeringsområdet, det har nu ersatts av personalutbildning och medvetenhet. Detta prioriteras av nästan varannan svarande.
När mänskliga fel och bristande medvetenhet betraktas som stora risker betyder det ofta att det inte har skett någon effektiv kulturuppbyggnad. Detta kan lätt mildras genom att införa en formell modell för att säkerställa ledningssystemet. Varje organisation upplever tillfälliga resurser på grund av t.ex. avgång och anställning av nya resurser. Detta kräver utbildning av ny personal eller uppdatering av medvetenheten hos befintlig personal med jämna mellanrum.
Uppbyggnad av en konsekvent säkerhetskultur
Detta behov kan bäst tillgodoses genom en modell för ett ledningssystem som beskrivs i standarden ISO 27701 för ledningssystem för integritetsinformation, en standard som bygger på bästa praxis inom området. Standarden innehåller särskilda krav på regelbunden utbildning och medvetenhet för att säkerställa en enhetlig nivå i hela organisationen. Detta leder till ökat engagemang och ger de anställda möjlighet att tänka i termer av "integritet", vilket hjälper dem att bättre hantera "osäkerhet" i samband med integritet. Erfarenheter från andra områden, t.ex. informationssäkerhet, har tydligt visat att en organisation kan bygga upp och förbättra sin säkerhetskultur genom att införa ett ledningssystem.
Detta behov kan bäst tillgodoses genom en modell för ett ledningssystem som beskrivs i standarden ISO 27701 för ledningssystem för integritetsinformation, en standard som bygger på bästa praxis inom området. Standarden innehåller särskilda krav på regelbunden utbildning och medvetenhet för att säkerställa en enhetlig nivå i hela organisationen. Detta leder till ökat engagemang och ger de anställda möjlighet att tänka i termer av "integritet", vilket hjälper dem att bättre hantera "osäkerhet" i samband med integritet. Erfarenheter från andra områden, t.ex. informationssäkerhet, har tydligt visat att en organisation kan bygga upp och förbättra sin säkerhetskultur genom att införa ett ledningssystem.
System driver en robust och tillförlitlig strategi
Det finns naturligtvis andra aspekter som är viktiga utöver ett ledningssystem som uppfyller kraven. Det är till exempel viktigt att det finns interna sakkunniga med lämplig utbildning och som är kontaktpunkt för frågor eller tvivel bland personalen. Sådana experter kan också hjälpa alla företag att verkligen utvidga logiken för integritetsskydd genom design och standard. Det säkerställer systematiskt datasäkerhet genom att införa processer som begränsar insamling och behandling, säkerställer kvalitet, hanterar lagring och bortskaffande samt kontroller vid överföring av uppgifter i utformningsskedet av varje projekt eller förändringar i hur uppgifter hanteras.
DNV:s undersökning visade att företagen gör stora investeringar i utbildning och medvetenhet hos personalen för att minska risken för mänskliga fel. Att investera i kompetens är alltid ett konstruktivt tillvägagångssätt. Vi ser en möjlighet för företag som investerar mycket i utbildning att kombinera detta med en implementering av ett ISO 27701-system för hantering av sekretessinformation för att få ett mer robust, motståndskraftigt och tillförlitligt tillvägagångssätt.
Av Nanda kumar Shamanna, ICT Business Manager, DNV
