GDPR for ledere

Nedenfor finder du eksempler på handlinger og værktøjer, der kan anvendes i din afdeling.

1. Ledelsesansvar og rolle

Som leder har du en central rolle i at skabe en kultur, hvor sikkerhed er en naturlig del af hverdagen. Det indebærer, at du selv udviser god adfærd, for eksempel ved at anvende stærke adgangskoder, låse skærmen, når du forlader din arbejdsplads, og rapportere phishingforsøg.

Det er vigtigt, at du kommunikerer tydeligt til dine medarbejdere, at informationssikkerhed er en del af kerneopgaven. Derudover bør du skabe en tryg kultur, hvor det er acceptabelt at sige: “Jeg er i tvivl – kan du hjælpe?”.

En fælles forståelse af reglerne er afgørende. Det kan opnås ved at bruge konkrete eksempler og inddrage medarbejderne i drøftelser om, hvordan reglerne skal tolkes i jeres afdeling.

Værktøjer til at understøtte dette arbejde:

• Et fast punkt om sikkerhed på afdelingsmøder.
• En tjekliste, der hjælper dig med at følge op på, om du har gennemført e-læring og kommunikeret sikkerhedsbudskaber i den pågældende måned.
• Cases baseret på egne erfaringer.
• Dialogkort, der kan bruges til at skabe refleksion og diskussion på møder.

2. Sikkerhed i arbejdsgange

Det er vigtigt at gennemgå afdelingens processer for at identificere, hvor persondata håndteres, og hvor der kan være risici for fejl eller sikkerhedsbrud.

Der bør udarbejdes tjeklister og arbejdsgangsbeskrivelser for kritiske opgaver, så det bliver tydeligt, hvordan opgaver skal udføres sikkert. GDPR skal desuden være en naturlig del af onboarding og daglige rutiner.

Værktøjer til at understøtte dette arbejde:

• En mail-tjekliste, der sikrer, at modtageren er korrekt, og at bilag er krypteret.
• Arbejdsgangsbeskrivelser for kritiske processer.
• Kommunikationsmateriale og vejledninger, som findes på TRYK.
• Velkomstmateriale til nyansatte om sikker håndtering af data.

3. Træning og kompetenceudvikling

Som leder har du ansvar for at følge op på, at alle medarbejdere gennemfører den obligatoriske awareness-træning. Hvis der er medarbejdere, der mangler træning, bør du hjælpe dem med at finde tid og ressourcer til at gennemføre den.

Værktøjer til at understøtte dette arbejde:

• En statusoversigt, der viser, hvem der har gennemført træningen.
• En træningsplan med deadlines og ansvar.

4. Håndtering af hændelser

Alle medarbejdere skal vide, hvad et sikkerhedsbrud er, og hvem de skal kontakte, hvis det opstår. Det er en god idé at øve beredskabsprocedurer gennem små scenarier, så alle ved, hvordan de skal handle i praksis.

Derudover bør hændelser drøftes i afdelingen, så I kan lære af dem og forebygge, at de sker igen.

Værktøjer til at understøtte dette arbejde:

• Scenarieøvelser, for eksempel: “Hvad gør vi, hvis CPR-numre sendes til en forkert modtager?”.

Som leder har du ansvar for, at GDPR- og it-sikkerhedsreglerne overholdes i din afdeling. Udover ovenstående råd bør du også følge op på:

Fysisk sikkerhed

• Sørg for, at dokumenter med personoplysninger opbevares i aflåste skabe eller lokaler.
• Tjek, at der ikke ligger dokumenter fremme på skriveborde, især i områder med borgerkontakt.
• Undgå, at lister med personoplysninger hænger synligt.

Digital sikkerhed

• Gennemgå afdelingens fællesdrev, og fjern personoplysninger, der ikke skal ligge der.
• Følg op på, at mails med følsomme og fortrolige oplysninger slettes senest efter 30 dage, og at medarbejdere ikke bruger mail som arkiv.
• Kontroller, at personoplysninger sendes sikkert – og drøft emnet jævnligt i afdelingen.

Adgangskoder og skærmlås

• Tjek, at adgangskoder ikke ligger fremme, og mind medarbejdere om, at koder er personlige.
• Vær opmærksom på ulåste skærme – og mind om genvejstasten Win+L.

Tip: Lav jævnligt små tjekrunder og brug fundene som afsæt for dialog i afdelingen.