Fokus på disciplin og awareness - GDPR er IKKE et IT sikkerhedsprojekt

Compliance er en disciplin - og GDPR compliance er for mange noget nyt. Nogle opfatter det at blive compliant med et IT sikkerhedsprojekt.

At GDPR kan angribes og implementeres som et projekt for at opnå compliance er ganske vist. Dernæst er det en disciplin at forblive compliant med Forordningen og alt hvad det indebærer.

Undervejs i implementeringen vil der givetvis blive behov for at gennemføre større eller mindre IT aktiviteter og -projekter. Det være sig sikring af data med kryptering, logning af brugeradgang, to-faktor validering for sikring af adgang og meget andet.

Men selv den stærkeste IT sikkerhed vinder ikke over Dave.

Dave er den daglige bruger af systemerne. Dave er ansat i HR og har gennem de seneste mange år altid gjort hvad han anser som rigtigt og i virksomhedens bedste interesse.

Dave gemmer ansøgninger i en mappe som står i et skab. Dave lukker skabet hver dag han går hjem. Dave deler sine arbejdsdokumenter i sin personlige OneDrive konto når han går hjem, og på den måde kan arbejde lidt ekstra for virksomheden om aftenen. Dave er en firmaets mand.

Desværre har virksomheden glemt at fortælle Dave, at skabet der indeholder mappen med ansøgninger skal låses, når han går hjem. Desuden skal ansøgningerne smides ud efter 3 måneder som der står i informationssikkerhedspolitikken.

Virksomheden har også glemt at fortælle Dave, at der er en løsning til fildeling på sikker vis, som han skal benytte, hvis han vil have adgang til filer hjemmefra.

Ja, der er helt sikkert behov for sikre IT løsninger og IT projekter i en GDPR implementering.

Men glem nu ikke det vigtigste. Brugeruddannelse og awareness. GDPR vedrører alle i virksomheden og ikke kun et udvalg af brugere.

Ønsker du hjælp til udarbejdelse af awareness- og uddannelsesplaner er du meget velkommen til at kontakte mig.