Å innføre IDM, eller å sette opp et maskinlærings-verktøy er ganske rett fram: man går til sjefen og får et budsjett og setter deretter i gang IT-avdelingen med å implementere.
Like enkelt er det ikke med de foreslåtte tiltakene som går på å innføre rutiner i virksomheten. De fleste som har forsøkt å innføre en rutine vet at dette er mer omstendelig enn å sende ut en epost om at "nå gjør vi det på denne måten dere".
GDPR og informasjonssikkerhet er tett knyttet (informasjonssikkerhet og kontinuerlig arbeid er spesifikt nevnt i personvernforordningen), og det blir derfor naturlig å innlemme bevissthet om personvernforordningen i arbeidet med sikkerhetskultur. IMB har beregnet at så mye som 95% av uønskede hendelser i forbindelse med informasjonssikkerhet hadde menneskelig feil som årsak eller medvirkende faktor. Det er altså ingen grunn til at arbeidet med å bevisstgjøre og skape god kultur rundt sikkerhet og personvern skal få mindre plass en de tekniske tiltakene. For å lykkes med å skape en varig sikkerhetskultur holder det ikke med et kurs eller en felles e-post som sier at fra nå av må alle passe på. Man må involvere alle ledd i virksomheten i et kontinuerlig arbeid. Spesielt viktig er det at ledelsen forstår at dette er arbeid som er av høyeste viktighet for virksomheten, og at de støtter arbeidet på en synlig måte ut til alle involverte.
Nasjonal sikkerhetsmyndighet er en god resurs når det kommer til dette med å innarbeide god sikkerhetskultur i en virksomhet. De påpeker også viktigheten av at ledelsen går foran som gode forbilder og at arbeidet kontinuerlig evalueres og følges opp. Hver enkelt virksomhet må se an hva som passer hos seg, hovedsaken er at alle i virksomheten forstår hvorfor sikkerhet og personvern er viktig og hvordan de kan bidra til å i vareta det. Mulige tiltak man kan vurdere å gjøre i sin virksomhet er:
Det kan anbefales å ha periodiske gjennomganger av personvernet i en virksomhet. I likhet med sikkerhetsarbeid er arbeidet med personvern en kontinuerlig innsats. Hvor ofte det er behov for gjennomgang vil avhenge av hvilken type virksomhet det er og virksomhetens omfang. Slike gjennomganger vil bidra til å oppfylle kravet om internkontroll. Mer utfyllende informasjon om internkontroll og sikkerhetsarbeid finnes på difi.no.
Det anbefales å kalle inn til gjennomgang med nøkkelpersoner og gå gjennom:
I disse gjennomgangene kan en også drøfte tiltak for holdningsskapende arbeid sett i lys av hva som er kommet fram i gjennomgangen. Tiltak kan for eksempel være nyhetsbrev, foredrag, møter, oppslag på intranett eller interne konkurranser. Hva avvikene består i kan være en god pekepinn på hvor det er nyttig å rette innsatsen.
For å følge med på nyheter av interesse for dette arbeidet kan det være smart for alle som er involvert å abonnere på nyhetsbrevene til norSiS og datatilsynet. Dette er gratis, og man får god og oppdatert informasjon direkte i sin e-postboks.