GDPR er for mange et af vores mest grå, bureaukratiske og uinspirerende begreber. Alligevel har det aldrig været mere aktuelt. Da over en million personoplysninger i efteråret lækkede på darknet efter et målrettet cyberangreb mod et HR-system, som anvendes af hundredvis af offentlige organisationer, blev informationshåndtering pludselig smertefuldt konkret.
Dette var ikke en isoleret hændelse. Det var et wake-up call.
Og da NIS2 trådte i kraft i midten af januar med skærpede krav til sikkerhedsbeskyttelse – og et større ansvar både for organisationer og for personer i ledende stillinger – oplevede mange et stigende pres for at gennemgå deres sikkerhedsrutiner og informationshåndtering. Selvom regelværkerne (GDPR og NIS2) regulerer forskellige områder, overlapper de i praksis, ikke mindst inden for informationssikkerhed, risikostyring og rapportering af hændelser.
Ustruktureret data – den skjulte risiko i den offentlige sektor
Mængden af data i den offentlige sektor vokser eksplosivt. Ikke kun gennem nye digitale systemer, men også via sensorer, IoT og den stadigt voksende mængde dokumenter og e-mails, som gemmes i det daglige arbejde. Offentlige organisationer håndterer ikke blot store datamængder, men også ustruktureret data, som bliver stadig sværere at få overblik over.
Dataindsamlingen tager løbende nye dimensioner, efterhånden som flere dele af vores fysiske verden kobles på nettet og genererer personoplysninger. Samtidig ligger gammel information fortsat lagret i systemer fra årtier tilbage – og udgør stadig en risiko. Det er en virkelighed, som ganske enkelt ikke længere kan håndteres manuelt.
Parallelt befinder vi os midt i en igangværende AI-revolution, hvor kunstig intelligens bliver en naturlig del af værktøjskassen i stadig flere offentlige organisationer. For digitaliseringschefer og forretningsudviklere åbner AI for store muligheder: effektivisering, bedre beslutningsstøtte og nye arbejdsgange. Især i administrative processer, hvor der i dag kræves meget manuelt arbejde for at registrere, kategorisere, sortere, opsummere og søge information samt på forskellige måder støtte sagsbehandlere i deres arbejde.
Men teknologien er kun så god som den information, den bygger på. Hvis data er ustruktureret eller af lav kvalitet, risikerer investeringer i AI ikke at give den ønskede effekt – eller slet ikke at kunne skaleres. Og hvis data samtidig er følsomme, øges kompleksiteten yderligere.
Vi møder ofte disse situationer: pilotprojekter, der ender som dyre testkampagner uden reel effekt.
AI-løsninger, som ikke skaber tydelig værdi for brugerne, bliver sjældent en naturlig del af arbejdsprocesserne – og bliver derfor ikke brugt i praksis.
Det er ganske enkelt ikke muligt at accelerere digital udvikling med AI på et svagt datagrundlag.
Det halter med hverdagsrutiner
Danmark betragtes ofte som et foregangsland inden for digitalisering og cybersikkerhed. Vi scorer imidlertid ikke højt i globale indeks som FN-organet ITU’s Global Cybersecurity Index, hvor vi i 2020 blev placeret på en 32. plads.
Disse undersøgelser måler ikke, hvor gode vi er til aktivt at arbejde med databeskyttelse og GDPR-efterlevelse i det daglige arbejde – i systemerne, i processerne og i hver enkelt beslutning. For eksempel hvor hurtigt fejl opdages og rettes.
Ifølge en anden undersøgelse fra det Svenske databeskyttelsesmyndigheder har en fjerdedel af databeskyttelsesrådgiverne i den svenske offentlige sektor slet ingen afsat tid til databeskyttelsesarbejde. Det siger noget vigtigt. For hvis forudsætningerne ikke findes i praksis, bliver det meget vanskeligt at efterleve GDPR i virkeligheden.
Danske undersøgelser fra bl.a. Region Hovedstaden viser, at DPO-arbejdet handler mere om rådgivning, analyser og overvågning, end det mere det helt lavpraktisk datahygiejne.
Lider den offentlige sektor af strudse-syndromet?
Har vi stukket hovedet i sandet? Det håber vi ikke.
Men faktum er, at mange offentlige organisationer simpelthen ikke ved, hvilke følsomme oplysninger der findes i deres e-mails, dokumenter og filområder – og endnu mindre hvordan de skal håndtere dem.
Det er netop denne usikkerhed, vi ofte møder som partner og systemleverandør, når vi taler med organisationer om deres udfordringer.
Mange sidder fast i strukturer, der aldrig blev bygget til nutidens datamængder, og i dag mangler der værktøjer til systematisk at identificere, håndtere og rydde op i data. Det handler ikke om manglende vilje – men om at opgaven er overvældende. Rutiner, ledelse og det daglige arbejde kan ganske enkelt ikke følge med.
Organisationer, som lykkes med at komme ud af denne situation, har én ting til fælles: De har gjort databeskyttelse og informationshåndtering til en operativ del af hverdagen.
Ikke som en punktindsats op til revisioner.
Det handler ikke om flere politikker, men om støtte, der gør det muligt for medarbejdere at gøre det rigtige i deres daglige arbejde. For at det kan ske, kræves både en forståelse hos ledelsen og hos forretningsudviklere for behovene – og systemunderstøttelse. Systemer, der hjælper organisationer med at forstå, hvilke data de faktisk har, hvor de findes, hvor følsomme de er, og hvad der bør slettes, beskyttes eller bevares.
Alt for ofte ser vi, at ansvaret ender hos enkelte personer – databeskyttelsesrådgiveren, IT-chefen eller den informationssikkerhedsansvarlige – som forventes at bære hele byrden.
Det er hverken rimeligt eller sikkert.
Vi må stoppe med at tale om informationshåndtering og GDPR-efterlevelse som noget, der kun angår jurister og IT-afdelinger. I stedet må vi finde måder at gøre databeskyttelse til en naturlig del af hverdagen – for alle medarbejdere på alle arbejdspladser.
Sikkerhedsarbejdet skal være hele organisationens ansvar. Ikke kun nogle få ildsjæles.
At ville gøre det rigtige er ikke længere nok.
Vi må gøre det muligt.
Kan GDPR-efterlevelse ligefrem blive… sjovt?
Det lyder måske som en utopi, men vi tror faktisk på det.
Når mennesker får de rigtige værktøjer, tydelig vejledning og oplever, at deres arbejde gør en forskel, så opstår engagement. Vi har set det ske.
Når datakvalitet og GDPR-efterlevelse ikke længere opleves som en trussel eller en stor usikkerhed, men som en integreret og meningsfuld del af hverdagen, skabes der ikke kun tryghed omkring compliance. Der åbnes også nye muligheder for at effektivisere organisationen ved hjælp af AI – og dermed skabe reel værdi.
At rydde op i, strukturere og forstå sin information er ikke et teknisk sidespor. Det er en strategisk forudsætning for at kunne anvende AI på en sikker, ansvarlig og langsigtet bæredygtig måde. Og der findes løsninger, der kan hjælpe.
Med Adoxa er det let at gøre det rigtige
Næsten halvdelen af Danmarks kommuner bruger allerede Adoxa til at få kontrol over deres data.
Med Adoxa kan du løbende scanne dine systemer for at identificere problemer og rette dem direkte på individniveau. Vores dashboards giver det nødvendige overblik, så hele organisationen kan arbejde sammen mod fuld datacompliance.
Dine medarbejdere får deres egen GDPR-assistent ved deres side – som gør det let at gøre det rigtige.
.webp?width=1024&height=1024&name=Rebeccas%20-%20marketing%20(1).webp)
