I samarbejde med Grape

Kunderne forventer, at virksomheder tager deres data alvorligt – hver eneste dag og i hver eneste interaktion. Derfor bliver tillid til datahåndtering et konkurrenceparameter.

De fleste databrud sker ikke på grund af hackere eller tekniske fejl, men fordi medarbejdere begår menneskelige fejl. Derfor er netop medarbejderne virksomhedens vigtigste forsvar mod brud på datasikkerheden –og det kræver, at de har den rette viden og dømmekraft i hverdagen.

Awareness-træning, f.eks. gennem et målrettet GDPR-kursus, handler om at omsætte regler til praksis. Det er ikke kun et spørgsmål om politikker og paragraffer – det handler i høj grad om forbrugernes tillid. Og netop den tillid kan være afgørende for, hvem der vinder i konkurrencen.

Databrud rammer direkte på tillid og omsætning

Når en virksomhed bliver ramt af et databrud, stopper konsekvenserne ikke ved it-afdelingen. IBM’s Cost of a Data Breach Report viser, at det gennemsnitlige brud koster 4,88 mio. dollar og at stigningen siden 2023 er 10 procent, primært drevet af tabt forretning og udgifter til håndtering afbruddet.

Tallene dækker alt det, kunderne mærker: nedetid, dårligere service, usikkerhed om hvorvidt deres data stadig er i gode hænder.

Parallelt viser Cisco’s Data Privacy Benchmark Study, at 94 procent af adspurgte organisationer vurderer, at kunderne ikke vil købe fra dem, hvis de ikke beskytter data tilstrækkeligt.

Med andre ord: et brud rammer ikke kun i form af bøder og tekniske omkostninger. Det rammer i tillid, og tillid har en pris på top- og bundlinje.

Mennesker er frontlinjen i datasikkerheden

I de fleste organisationer er det samme billede, der går igen. Der er investeret massivt i systemer, firewalls og overvågning, men bruddet starter ofte med en menneskelig handling.

Verizons Data Breach Investigations Report dokumenterer, at 68 procent af de analyserede databrud involverer den såkaldte “human element” –typisk en person, der laver en fejl eller falder for social engineering.

Det kan være:

  • en medarbejder, der sender følsomme oplysninger til en forkert modtager

  • for brede adgangsrettigheder, som aldrig er blevet justeret

  • data, der eksporteres til regneark og ender på delte drev uden kontrol

  • en kollega, der klikker på et phishing-link, fordi mailen ligner noget fra en chef eller kunde

Det er netop de situationer, awareness-træning skal ramme. Ikke ved at skræmme medarbejderne, men ved at give dem et klart billede af, hvad der er klogt at gøre i hverdagen, og hvornår de skal stoppe op og spørge.

GDPR handler om ansvarlighed, ikke papirøvelser

I GDPR’s artikel 5 findes de grundlæggende principper for databeskyttelse. Her nævnes blandt andet lovlighed, gennemsigtighed, formålsbegrænsning og dataminimering. I artikel 5, stk.2, står det ansvarlighedsprincip, som ofte bliver overset: den dataansvarlige skal både overholde principperne og kunne demonstrere, at det sker.

Det skaber et dobbeltkrav:

  • virksomheden skal have fornuftige processer, systemer og sikkerhedsforanstaltninger

  • virksomheden skal kunne vise, at medarbejderne er klædt på til at bruge dem

Den britiske datatilsynsmyndighed ICO har oversat det til praksis gennem deres Accountability Framework. Et af de ti hovedområder er “Training and awareness”, hvor forventningen er, at alle medarbejdere får introduktions-og refresher-træning i databeskyttelse, og at organisationen kan dokumentere det.

Så når Datatilsynet eller en udenlandsk tilsynsmyndighed spørger “Hvordan sikrer I, at medarbejderne forstår reglerne?”, er det ikke nok at pege på en politik på intranettet. Man skal kunne vise et struktureret træningsprogram, deltagelse og opfølgning.

Databeskyttelse som del af kundeoplevelsen

Forbrugere og erhvervskunder ser sjældent ind i virksomhedens interne sikkerhedsløsninger. De vurderer i stedet deres oplevelse:

  • hvordan virksomheden kommunikerer om brugen af data

  • hvor let det er at få indsigt og få rettet eller slettet oplysninger

  • hvordan virksomheden håndterer fejl og brud, når de sker

Cisco’s analyse af globalt privatlivsarbejde fremhæver, at kunder i stigende grad efterspørger “hard evidence” på, at virksomheder håndterer deres data forsvarligt – for eksempel gennem certificeringer, tydelige forklaringer om databehandling og konkret dokumentation.

Det betyder, at databeskyttelse bevæger sig fra at være et rent juridisk krav til at blive en del af kundeoplevelsen på linje med pris, kvalitet og service.

Virksomheder, der kan forklare deres datapraksis kort og klart, opnår et forspring. De kan for eksempel være hurtigere til at tage nye teknologier som generativ AI i brug, fordi de kan dokumentere styringen af data og kommunikere den til kunder og samarbejdspartnere.

Hvad kendetegner et moderne awareness-program?

Bedre awareness handler om mere end et årligt GDPR-foredrag. Forskningen i brud og menneskelige fejl peger på nogle fælles succesfaktorer.

1. Kort og gentaget frem for langt og sjældent

Data fra Verizon DBIR viser, at den menneskelige faktor vedbliver at spille en stor rolle, selvom tekniske kontroller bliver bedre. Det taler for løbende træning og simuleringer, i stedet for et enkelt kursus hvert tredje år.

2. Konkrete scenarier fra egen hverdag

Mange medarbejdere bliver trætte, hvis træningen kun handler om paragraffer. Awareness virker stærkere, når træningen tager udgangspunkt i realistiske mails, dokumenttyper, systemer og beslutninger fra netop deres rolle.

3. Tydelig forankring hos ledelsen

ICO placerer “leadership and oversight” som et selvstændigt punkt i accountability-rammen. Databeskyttelse bliver først virkelighed, når direktion og bestyrelse efterspørger nøgletal, tager stilling til risici og bakker op om træningen på linje med andre strategiske indsatser.

4. Automatisk dokumentation

Når træning ligger i en digital løsning, følger dokumentation med. Det gælder både gennemførselsprocenter, testresultater og opdateringshistorik. Flere compliance-og e-learning platforme fremhæver netop brugen af træningsregistre som bevis for efterlevelse overfor myndigheder og revisorer.

Tre råd til ledelser, der vil gøre databeskyttelse til konkurrencefordel

Databeskyttelse kan let ende som et teknisk bilag. For ledelser, der vil bruge det som løfte til kunderne, er tre skridt særligt vigtige:

1. Tal om data og tillid i sammesætning

Gør databeskyttelse til en del af samtalen om brand og kundeoplevelse. IBM’s kosttal og Cisco’s undersøgelser viser, at et brud både er en driftsomkostning og et tillidsproblem.

2. Gør GDPR-kursus obligatorisk og målbar

Sørg for, at alle medarbejdere møder et fælles basisniveau for databeskyttelse, og at særligt udsatte funktioner får ekstra lag. Brug rapporter fra jeres læringsplatform aktivt i risikorapportering og bestyrelsesmateriale på linje med andre nøgletal.

3. Vær åben om, hvordan I arbejder med data

Kunderne efterspørger konkrete beviser på, at en virksomhed tager databeskyttelse alvorligt. Det kan være gennemcertificeringer, klare forklaringer på hjemmesiden og en tydelig beskrivelse af, hvordan medarbejdere trænes og opdateres. Det giver både myndigheder og kunder et mere nuanceret billede end en kort standard tekst om cookies.

Databeskyttelse handler om mere end at undgå næste bøde. Det handler om den implicitte kontrakt mellem virksomhed og kunde: “Du deler dine data med os, og vi passer på dem.”

De virksomheder, der tager den kontrakt alvorligt og omsætter den til konkrete investeringer i awareness, træning og dokumentation, opbygger en form for tillid, som konkurrenter har svært ved at kopiere. I en tid, hvor både data og opmærksomhed er knappe ressourcer, kan netop den tillid blive forskellen på at blive valgt til eller fra.