CISO:ns guide till ett effektivt dataskyddsarbete

Publicerat 2021-09-07

CISO:ns guide till ett effektivt dataskyddsarbete

Dataskydd är ofta ett administrativt och dokumentationstungt arbete. Det är mycket information som ska struktureras och vara i ordning för att alla lagkrav ska uppfyllas. Dokumentation och administration rimmar dock sällan med effektivitet. Samtidigt är effektiva processer och tidsbesparingar utan att tumma på kvalitén det som efterfrågas från ledning och chefer. Hur går det ihop?

Du som CISO eller annan ansvarig roll kanske funderar på hur du kan effektivisera dataskyddsarbetet. Hur får du till tidsbesparingar i det dokumentationstunga arbetet, samtidigt som ni behåller kvalitén?

I den här guiden får du, i effektivitetens tecken, 5 tips på hur du lyckas.

1. Ge organisationen ett verktyg!

För att få koll på vilka personuppgifter organisationen hanterar och för att hålla den här informationen uppdaterad behöver du nå de som är närmast personuppgifterna. Det här är ofta kollegor som i sitt dagliga arbete sysslar med allt annat än dataskydd. Hur når du dem trots detta?

Oftast vill folk göra rätt för sig. Det är bara att vi har en tendens att bygga system som gör det otroligt svårt att lyckas. Så svaret på frågan är att tröskeln måste vara oerhört låg för att dokumentera nya personuppgiftsbehandlingar. Med ett verktyg som gör det enkelt för många i organisationen att dokumentera är det mer sannolikt att arbetet blir gjort.

Säg till exempel att en chef får till uppgift att undersöka hur många personuppgifter som finns lokalt sparat på de enskilda medarbetarnas datorer. Utan ett smidigt verktyg hade informationen samlats in via olika filer som skickas fram och tillbaka på mejlen. Ur ett informationssäkerhetsperspektiv är detta inte direkt toppen.

Ett mycket bättre alternativ här hade varit ett lättanvänt system där styrningen av åtkomst är säkrad. Då vet du att ni alltid dokumenterar informationen på ett säkert och smidigt sätt.

2. Involvera mera!

Om du vill skapa ordning i vilka personuppgifter ni behandlar räcker det inte med att du och några få utvalda driver hela dataskyddsarbetet. Det är helt enkelt omöjligt för en person att springa runt i organisationen och fånga in alla uppgifter.

För att få till ett effektivt arbete krävs det att frågan genomsyrar organisationen. Precis som kultur. Och hur uppstår kultur? Jo när vi etablerar beteenden hos varje enskild medarbetare. För att lyckas med det behöver du alltså involvera mera.

Dra frågan i ledningsgruppen och skapa en acceptans för att chefer bör ha mandat och ansvar att driva ett kontinuerligt dataskyddsarbete. Det ansvaret innefattar förslagsvis fortlöpande granskningar av registerförteckningen och regelbundna omprövningar beträffande var konsekvensbedömningar behöver genomföras.

Efter detta krävs uppföljning för att tydligt demonstrera för organisationen att frågan är viktig. Förslagsvis kan detta innebära att alla chefer ska följa upp dataskyddsfrågan som en stående punkt på arbetsplatsträffar.

3. Keep it simple

När vi trycker ut ansvaret i organisationen behöver vi såklart utbilda på vilket sätt vi önskar att ansvaret ska utföras. Vi vet att du kan jättemycket svåra och fina ord. Men för att skapa en medvetenhet är det enkelhet som är nyckeln.

Att nå ut med en policy som handlar om informationssäkerhet kan vara nog så utmanande. Be om feedback från random person i organisationen som inte arbetar med informationssäkerhet för att se hur mottaglig texten är. Be personen specifikt om tips på att göra materialet lite mer tilltalande.

I stället för att skicka ut materialet som ett långt trögt word-dokument, fundera över alternativa sätt att sprida innehållet. Kanske kan du skapa sidor på ert intranät vilket får utgöra kunskapsplattform?

Oavsett om det gäller innehåll, format eller spridning så är enkelhet ledordet. Enkelt att förstå, hitta och ta till sig.

4. Sätt rutiner och vanor – och addera en gnutta motivation

För att bli riktigt effektiva behöver alla veta vad de ska göra, när och framför allt varför. Med ett tydligt varför skapar du dessutom motivation i organisationen att etablera dessa rutiner. Vad vill vi uppnå den kommande perioden? Att sätta mål motiverar medarbetaren genom att det påvisas för hen att detta faktiskt är viktigt för organisationen. Och då ökar sannolikheten för att medarbetaren vill ta ansvar håller oss ansvariga.

För att lösa vad:et och när:et behöver du se till att alla får utbildning i frågan. Ta fram utbildningsmaterial som beskriver arbetssätt – ett material för nyanställda och ett för befintliga anställda. Sen behöver du flirta in dig hos HR-chefen och säkerställa att både onboarding och kompetensutvecklingsprogram innehåller just detta utbildningsprogram och material.

5. Inför verktyg för att utvärdera och förbättra dataskyddsarbetet

För att kunna bli bättre behöver vi veta hur bra det går idag. Att identifiera verktyg och arbetssätt för att utvärdera ert dataskyddsarbete är därför viktigt.

En utvärdering av dataskyddsarbetet kan göras genom att mäta er mot en standard. Här kan ni med fördel mäta er mot standarden ISO 27701.  Utvärderingen innehåller mätningen och är en årlig aktivitet som bör utföras vid denna specifika tidpunkt. Resultatet av nuläget i förhållande till 27701 kan presenteras för ledningen.

När mätningen ska genomföras, se till att få med rätt kompetenser, och involvera inte för många personer i mätningen när densamma ska syfta till att mäta organisationens övergripande förmågor. Fler personer kan i sådana fall inkluderas i andra sammanhang när mätningen genomförs på mer specifika verksamheter med ett smalare fokus.

De mål och mätetal som du satte tidigare bör även dem ingå i utvärderingen som presenteras för ledningen. Några exempel på mål kan vara:

  • 10 genomförda och uppföljda konsekvensbedömningar innan 31:e december
  • Arrangerat 5 dataskyddsträffar med ansvariga chefer för att diskutera det pågående arbetet innan den 28:e februari
  • Minska frekvensnivån på inträffade incidenter med 25% per den 1:a januari.

Även om vi sätter ett mål att minska antalet incidenter, så kommer vi mest sannolikt inte slippa dem helt. Däremot kan vi dra nytta av incidenter när de inträffar. Här finns ju massor av lärdomar att hämta! Att ha en rutin för hur vi ska följa upp och lära oss av incidenter är därför ytterligare ett verktyg för att utvärdera och förbättra dataskyddsarbetet.

Det blir alltid mer motiverande när vi ser att vi rör oss framåt. Resultatet från en ISO-mätning eller måluppfyllnaden för kvartalet är därför utmärkt material att publicera internt. Det ger dina kollegor en ökad känsla av att det de bidrar med ger effekt.

Sammanfattning

Sammanfattningsvis handlar ett effektivt dataskyddsarbete om att rätt personer utför arbetet på rätt sätt. Att skapa ett effektivt dataskyddsarbete grundar sig därför på att involvera rätt personer och att ge dem rätt verktyg och förutsättningar för att utföra arbetet i form av utbildning, styrstrukturer och digitala verktyg.

Relaterat innehåll: