Hvordan oversætter du GDPR til noget, dine medarbejdere kan forstå?

Vi ved godt, at GDPR er et emne, som de fleste er lidt trætte af, men det er bestemt ikke blevet mindre aktuelt i 2019. GDPR er nemlig igen kommet i fokus, efter de første GDPR-bøder har ramt små og store organisationer i Danmark og resten af Europa.

Hvordan ligger GDPR-landet i 2019?

Datatilsyn rundt om i Europa har ikke hvilet på laurbærrene, siden persondataforordningen blev officiel i maj sidste år. Faktisk afslører en rapport fra advokatfirmaet, DLA Piper, at der fra d. 25. maj 2018 og frem til d. 29. januar 2019 er indberettet mere end 59.000 databrud i Europa fra både private og offentlige organisationer. Ifølge rapporten indtager Danmark en solid femte plads, som ét af de lande i Europa med flest indberetninger med omkring 3.100 sager.

Og bøder har vi da også set. I oktober 2018 blev der udskrevet bøder i både Tyskland og Portugal på henholdsvis €20.000 og €40.000 til private og offentlige virksomheder, mens der i januar 2019 blev udskrevet bøder til Google i Frankrig på €50 mio. for overtrædelse af persondataforordningen. Herhjemme har Datatilsynet også været i gang. Virksomheden GoMentor er blevet politianmeldt, da der er sket et læk af følsomme personoplysninger om portalens klienter – en sag som stadig behandles af politiet.

Men dette er ikke den eneste sag i Danmark, for i marts 2019 blev Taxa 4×35 politianmeldt og indstillet til en bøde på 1,2 mio. kr. af Datatilsynet for at beholde data for længe, mens Lars Larsens møbelselskab, IDdesign, i juni 2019 blev indstillet til en bøde på 1,5 mio. kr., da selskabet havde undladt at slette data i tide.

Menneskelige fejl er synderen

Anmeldelserne ruller altså fortsat ind i vores lille land. Ifølge en opgørelse fra Datatilsynet i Danmark har der været 2.780 brud på persondatasikkerheden i 2018. Måske mest overraskende, viser opgørelsen at størstedelen af de databrud, som bliver anmeldt herhjemme, skyldes menneskelige fejl. For eksempel vedrører ca. to ud af tre anmeldelser oplysninger, som er sendt til forkerte modtagere, mens mindre end 5% af anmeldelserne skyldes phishing, malware eller hacking angreb udefra 😮

Hvordan mindsker man menneskelige fejl i forbindelse med GDPR?

Langt de fleste virksomheder har studeret GDPR-forordningen grundigt og videreformidlet de lovmæssige budskaber til sine medarbejdere. Derfor er de fleste medarbejdere godt klar over, hvad GDPR betyder. Udfordringen opstår, når medarbejderen skal oversætte og applikere GDPR til det virkelige liv – det er nemlig her, at vi ser de fleste fejl. Det kan være svært for medarbejdere at forstå faresignaler på netop deres arbejdsplads, og hvordan de skal forholde sig, hvis et databrud er blevet begået.

For at lykkedes med at få medarbejdere til at lave færre fejl, kræver det først og fremmest den rette læring og vejledning. Grundlæggende skal arbejdsgiver sørge for, at den enkelte medarbejder har fået den fundamentale og grundlæggende undervisning i GDPR-forordningen. Når man vælger GDPR-læringsmateriale, som skal kunne oversættes til noget medarbejderne kan forstå og agere på, så anbefaler vi, at man kigger på to parametre:

    • Skab awareness: Som arbejdsgiver, skal man først gøre sig klart, hvad medarbejderne skal vide, inden man kaster en masse træningsmateriale efter dem. Hvad har de brug for at vide i deres roller? Hvad er vigtigt, og hvad er ikke så vigtigt? Når man har fundet ud af præcis, hvad medarbejderen skal vide, kan man gruppere materialet under 3-4 overskrifter, som vil øge sandsynligheden for, at medarbejderen efterfølgende kan genkalde sig det lærte. For at sikre, at medarbejderen husker læringspointerne under de enkelte overskrifter, kan man udsætte dem for iscenesatte scenarier og situationer, hvor de aktivt kan interagere og forholde sig til situationen. Ved at koble fakta med iscenesatte scenarier, øger vi sandsynligheden for at medarbejderen efterfølgende kan huske indholdet på sigt, da vi rammer menneskets episodiske hukommelse – det er her vi lagrer minder om situationer og oplevelser.
    • Giv medarbejderne ejerskab: Læringen stopper ikke, når medarbejderen har gennemført den grundlæggende GDPR-træning. GDPR-træningen er et vigtigt vidensfundament for medarbejderen, men den sikrer ikke nødvendigvis, at læringen kommer ud og lever i virkeligheden. Derfor bør arbejdsgiver, inden GDPR-træningen bliver frigivet, overveje at oprette en intern hotline eller en kanal, hvor den enkelte medarbejder kan rapportere potentielle persondatabrud, stille spørgsmål eller på anden måde komme med forslag til, hvordan de kan være med til at forandre nuværende processer. Arbejdsgiver skal altså sørge for, at medarbejderen ikke bare sidder og venter på forandring, men selv har indflydelse på processen. På den måde føler medarbejderen et medansvar og ejerskab, fordi de er med til at mindske eller helt eliminere de menneskelige fejl, som opstår i deres team. 

giphy

…vil du også høre mere? Så se vores on-demand webinar, hvor vi går i dybden med, hvordan man oversætter GDPR til noget, medarbejdere kan forstå. Her taler vores eksperter Thorsten Iversen (psykolog og læringsspecialist) og Ludvig Hammeken (rådgiver) om, hvilke taktikker man kan bruge for at sikre, at medarbejderen kan bidrage til at efterleve GDPR.