Tager medarbejderne virkelig overholdelse af databeskyttelsesreglerne alvorligt?

Medarbejdere, der ikke overholder reglerne, giver IT-cheferne hovedpine, og det er svært at finde en god løsning. Hvordan skal IT-beslutningstagere finde den rette balance mellem at give medarbejderne frihed til at vælge eller anvende en streng tilgang til forebyggelse af fejl?

Det kan være dyrt, hvis man ikke finder den rette balance. I januar tabte Amazon en sag i Frankrig og fik en bøde på 32 mio. EUR for "overdrevet invasiv" overvågning af medarbejdere.¹ Selv på et mindre ekstremt niveau kan reglerne hæmme produktiviteten og måske ende med at friste frustrerede medarbejdere til at omgå reglerne.

Hvor stort et problem er det egentlig? Canons nye forskning, der omfatter svar fra mere end 1.700 IT-beslutningstagere, giver lidt indsigt. IT-barometeret afslørede, at sikkerheden af organisationens oplysninger holder IT-chefer vågne om natten, og at det konstant har været blandt de tre mest udfordrende og tidskrævende ansvar i løbet af de sidste fem år.

I 2023 blev det værre. Når vi ser på IT-beslutningstagernes største udfordringer, er de førende temaer synligheden af og kontrollen med virksomhedens oplysninger. Informationssikkerhed (33 %) blev angivet som den vigtigste udfordring, tæt fulgt af regeloverholdelse (25 %) og kontrol over skygge-IT (25 %).

Dataene tyder på, at hybrid- og fjernarbejde øger problemet. På spørgsmålet om, hvordan de har tænkt sig at forbedre deres eksisterende systemer, svarede mange IT-beslutningstagere, at de ønskede mere synlighed i forhold til medarbejdernes softwarebrug (43 %), øget kontrol med medarbejdernes adfærd i forhold til regeloverholdelse uden for arbejdspladsen (42 %) og skygge-IT (40 %).

Kort sagt: Ja. Skygge-IT er i stigning, og i 2027 forventes det, at 75 % af medarbejderne vil erhverve, ændre eller skabe teknologi, som IT-afdelingerne ikke er bekendt med. Det er en enorm stigning fra 41 % i 2022².

Gartner forklarer dette med, at mange af os er "blevet teknologer". Medarbejderne har i stigende grad viden og tekniske muligheder for at tilmelde sig og få adgang til programmer via skyen uden at skulle involvere IT-afdelingen overhovedet.

Resultatet? Regeloverholdelse kan let blive kompromitteret. Som tidsskriftet CSO rapporterer: "Medarbejderne ved typisk ikke, om eller hvilke sikkerhedslag de programmer, de køber, har, eller om der skal tilføjes noget til dem for at gøre dem sikre. For at gøre det endnu værre lægger de ofte følsomme data i disse programmer for at få arbejdet gjort."³

Der er mange årsager til, at virksomhedens sikkerhedsforskrifter ikke overholdes. I mange tilfælde ved medarbejderne simpelthen ikke, hvad de korrekte protokoller er. Kravene til informationshåndtering er komplicerede, og nogle medarbejdere er måske ikke klar over, hvordan de konkret gælder for deres daglige arbejde.

I andre tilfælde er de processer eller værktøjer, de skal bruge, bare for komplicerede at anvende. En Harvard-undersøgelse4 viste, at 5 % af opgaverne bevidst blev udført på en ikke-reglementeret måde. De tre vigtigste grunde til at bryde reglerne var: "For bedre at kunne udføre opgaver for mit job", "For at få noget, jeg havde brug for" og "For at hjælpe andre med at få deres arbejde gjort". Disse tre svar udgjorde 85 % af tilfældene. At bryde reglerne var i langt de fleste tilfælde ikke forbundet med ond hensigt, men motiveret af et simpelt ønske om at få arbejdet gjort.

At finde den rette balance mellem ansvarlig ledelse og overdreven indblanding er en stor udfordring for nutidens IT-chefer. I betragtning af disse oplysninger gør IT-beslutningstagere ret i at bekymre sig over medarbejdernes adfærd, især uden for kontoret.

Det endelige mål bør være at få regeloverholdende administration af oplysninger og data til at føles upåfaldende. I første omgang handler det om reelt at forstå, hvad medarbejderne har brug for - noget, der i høj grad påvirkes af branchen og den enkelte persons rolle. IT-beslutningstagere kan reducere sandsynligheden for, at medarbejdere omgår virksomhedens politikker ved at tale med virksomhedsfunktioner om deres arbejdsgange og forstå, hvilke politikker der virkelig er en nødvendighed, og hvilke der skaber mere besvær, end de er værd.

Men det handler også om at skabe et miljø med større synlighed og kontrol. Interessant nok var synligheden af selv fælles aspekter af informationshåndtering et problem ifølge forskningen. Kun omkring halvdelen af IT-cheferne sagde, at de havde kapacitet til at spore, hvordan dokumenter blev administreret til revisionsformål. F.eks. sagde kun 53 % af IT-cheferne, at de kunne spore, hvordan dokumenter var blevet delt. Uden denne synlighed er det en udfordring for IT-chefer reelt at vide, om medarbejderne overholder reglerne.

Forskningen viser, at mange IT-chefer reagerer. Respondenterne rapporterede, at de var begyndt at implementere digital dokumenthåndtering for at gennemtvinge automatisering af bedste praksis ved at automatisere, hvordan virksomhedsoplysninger administreres. På et grundlæggende niveau, der omfatter implementering af automatiske adgangsrettigheder og automatisk sletning af følsomme dokumenter efter en fastsat periode. For mere digitalt avancerede organisationer kan det betyde implementering af automatisering af arbejdsgange for at sikre at en sammenhængende forretningsproces - f.eks. fakturahåndtering - har indbygget automatisering, der sikrer, at processen styres i henhold til en række forhåndsgodkendte trin.

Men en stor del af IT-beslutningstagerne indrømmede også, at de endnu ikke har introduceret nogen af disse muligheder på grundlæggende niveau. Faktisk var selv de mest almindelige funktioner - automatiske adgangsrettigheder til at kontrollere, hvem der kan tilgå dokumenter og steder - kun blevet indført af 51 % af de adspurgte.

Sikker, regeloverholdende administration af virksomhedsoplysninger er en af de største bekymringer for alle IT-chefer. Men at sikre regeloverholdelse er i sidste ende en udfordring med menneskelig adfærd i centrum. For at kunne opstille vellykkede politikker skal IT-chefer sikre, at de hverken kommer i vejen for eller giver dem frihed til at vælge, hvordan de administrerer oplysninger.

IT-beslutningstagere bør begynde med at undersøge, om de har de rigtige værktøjer i forhold til synlighed og kontrol af, hvordan oplysninger anvendes. Med disse på plads fjerner det presset på IT-cheferne for at få holde øje med alting i et miljø, hvor manuel sporing bare ikke er mulig. Hvis man begynder at opbygge en mere menneskecentreret tilgang til regeloverholdelse, vil det bidrage til at undgå både utilsigtede brud og forsætlige tilfælde af manglende regeloverholdelse forårsaget af komplekse foranstaltninger. Det vil også hjælpe IT-cheferne med at få en bedre nattesøvn.

Se IT-barometer-rapporten her for at få mere indsigt i IT-chefernes erfaring, fra fremtidige indkøbsprioriteter til hvad de virkelig mener om deres rolle.

Download rapporten