De siste 3,5 årene har jeg hatt gleden av å være student, i tillegg til å jobbe med digitalisering i Sarpsborg kommune. Med pågangsmot, forskertrang, grått hår og lesebriller har jeg studert en rekke problemstillinger på arbeidsplassen min. Studiet «Erfaringsbasert Master i IT og ledelse» ved UiO har vært en akademisk roadtrip med absolutt mest medvind, men også motvind, sidevind og ikke minst noen overraskende observasjoner langs veien.
Temaene har gått fra «Hva preger organisasjonskulturen vår?» og «Hvordan har IKT-medarbeiderne opplevd omorganiseringen?» til «Hvilke læringspunkter kan våre havarerte ITIL-prosjekter gi oss?» og «Hvordan har vi praktisert teknikker for kartlegging av brukerbehov?»
_logo.svg.png){kind=logo}
Som mangeårig personvernombud i kommunen er det imidlertid temaet personvern som ligger mitt hjerte aller nærmest. De siste årene har jeg derfor brukt mye tid på hvordan vi kan klare å øke bevisstheten om måten vi håndterer personopplysninger på. I den forbindelse har jeg gjort noen litt overraskende funn, som jeg gjerne vil dele.
Svært få datasikkerhetsbrudd. Men er det egentlig slik?
For noe tid tilbake satte jeg meg fore å finne ut av hvorfor det kun registreres et forsvinnende lite antall datasikkerhetsbrudd i vår kommune. Datasikkerhetsbrudd kalles for øvrig «Avvik innenfor informasjonssikkerhet og personvern» på vårt sørgelig tunge fagspråk. Jeg fant det nemlig besynderlig at det i en kommune med over 4.100 ansatte kun hadde blitt registrert 15 avvik av denne typen i 2014. Noen kjappe henvendelser til nabokommunene viste også at bildet var ganske likt der, så dette var ikke et lokalt fenomen for Sarpsborg. Problemstillingen i oppgaven ble definert som «Hva påvirker ansattes registrering av avvik innenfor informasjonssikkerhet og personvern?» og de underliggende spørsmålene var «Hvilke mulige barrierer kan hindre ansatte i å registrere avvik?» og «Hvilke tiltak kan benyttes for å øke fangsten av avvik?».
Jeg brettet opp ermene og skred til verket. Fant relevant teori og skrev rørende om at rådmannen er pålagt gjennom kommunelovens §23.2 å ha «betryggende kontroll» over administrasjonen og derfor organisere arbeidet på en måte som gjør at man fanger opp feil og avvikssituasjoner. Jeg skrev om internkontroll og kvalitetssystemer og COSO-modeller. Underveis slo tanken meg at «Verden har antagelig sett større kioskveltere enn dette!» men jeg gav meg ikke.
Så skulle jeg grave litt, for å se hva jeg fant – innhente data og analysere dem. Dette er jo ofte noe av det mest spennende en akademikerspire kan holde på med! Tenk å få muligheten til å finne ut NOE om NOE! Ofte er kanskje ikke funnene spesielt overraskende, og det hender at man får bekreftet sine antagelser. Imidlertid hender det at du får opplevelser av typen «Jasså – er det SÅNN det henger sammen!»
I tillegg til å intervjue noen oppegående kollegaer med både erfaring, kompetanse og ikke minst engasjement for saken, lagde jeg en spørreundersøkelse. Undersøkelsen ble sendt ut til 100 medarbeidere fra ulike deler av kommunen. At 100 respondenter er grensen på SurveyMonkeys gratisabonnement er ikke helt tilfeldig i denne sammenheng. Det var 70 ansatte som besvarte undersøkelsen, hvor de skulle ta stilling til en del påstander om informasjonssikkerhet og personvern.
Resultatene så slik ut:
|
|
Helt enig |
Ganske enig |
Verken enig el uenig |
Ganske uenig |
Helt uenig | Ikke i stand til å ta stilling |
| Jeg kjenner til hva personvern betyr | 54 % | 38 % | 6 % | 3 % | 0 % | 0 % |
| Jeg kjenner til hva informasjonssikkerhet betyr | 38 % | 52 % | 6 % | 4 % | 0 % | 0 % |
| Jeg kjenner til kommunens rutiner og retningslinjer for informasjonssikkerhet og personvern | 22 % | 54 % | 19 % | 3 % | 3 % | 0 % |
| På mitt arbeidssted er det kultur for å registrere avvik | 13 % | 26 % | 35 % | 19 % | 7 % | 0 % |
| Jeg har fått tilstrekkelig opplæring, så jeg vet hvordan jeg skal registrere avvik i RiskManager | 20 % | 41 % | 21 % | 11 % | 8 % | 0 % |
| Min leder er positiv til registrering av avvik | 46 % | 30 % | 13 % | 6 % | 1 % | 3 % |
| Vi tar oss tid til å registrere avvik, selv om hverdagen er hektisk | 13 % | 27 % | 37 % | 13 % | 7 % | 3 % |
Med tanke på de kommuneansattes kjennskap til begrepet personvern ser jo dette lovende ut ved første øyekast. Hele 92 % av de spurte sier seg enten helt enig eller ganske enig i at de kjenner til hva personvern betyr. «Dette har vi koll på!», forteller tallene ganske så tydelig. Graden av usikkerhet er også ganske liten – kun 3 % sier seg ganske uenig i påstanden, og ingen er helt uenig.
Mot slutten av undersøkelsen la jeg inn et lite kontrollspørsmål, for å ta en sjekk på om det var sammenheng mellom hva folk hadde svart og de faktiske forhold. Spørsmålet lød:
«Hvilke(n) av disse hendelsene er et avvik innenfor informasjonssikkerhet og personvern?»
|
|
Antall som mener at dette er et personvernavvik | Som i prosent blir… |
| A: En person opptrer truende mot deg | 31 | 44,3 |
| B: Sensitiv utskrift blir gjenglemt på skriveren | 63 | 90 |
| C: Du får ikke logget deg inn på dataen | 1 | 1,4 |
| D: En minnepinne med hemmelige dokumenter blir mistet | 68 | 97,14 |
| E: Noen sender deg en e-post som du opplever som krenkende | 23 | 32,9 |
Det er her overraskelsen kommer til syne:
Nesten halvparten av de spurte (OK, 44.3 %) mener at en person som opptrer truende mot deg utgjør en trussel mot personvernet! I tillegg mener en tredjedel at en krenkende e-post er et personvernavvik.
Det ser altså ut til å være en ganske utbredt misforståelse blant våre ansatte at personvern handler om vern av personer, og ikke vern av våre personopplysninger. Dette har vi også fått noen indikasjoner på i kommunen tidligere, ved at avvik som handler om slag, spark og annen utagering har blitt registrert i kategorien «Personvern og informasjonssikkerhet» framfor HMS.
Nesten halvparten av de spurte mener at en person som opptrer truende mot deg utgjør en trussel mot personvernet
La meg nå være den første til å være kritisk mot egen forskning: Utvalgsstørrelsen her (n=100) er alt for liten til å trekke noen sikre konklusjoner om at begrepsforvirringen er utbredt blant det norske folk. Men vi kan uansett si at vi har fått noen indikasjoner på at begrepet misforstås i vår kommune, og da kan det nok hende at det også finnes mennesker som misforstår personvernbegrepet i andre kommuner enn Sarpsborg.
Men let's face it: Har ikke vi informasjonssikkerhetsfolk oss selv å takke? (For å unngå negative konnotasjoner, lar jeg være å forkorte informasjonssikkerhet til IS). Vi har i årevis messet om konfidensialitet, integritet, tilgjengelighet helt til våre kollegaer har fått glassaktige blikk, tunge øyelokk og tendenser til whiplash. Vi har dyrket vårt stammespråk som består av ord og uttrykk som etter min mening betyr nada for vanlige folk: «Hva i huleste mener du når du sier RISIKOAKSEPTKRITERIER?»
I stedet for å snakke om «uønskede hendelser som kan utgjøre en trussel mot konfidensialiteten» mener jeg vi må stille brukerne spørsmål som
- Hva gir DEG litt vondt i magen her?
- Hva er det du er bekymret over når dere håndterer sensitive opplysninger?
- I hvilke situasjoner kan sensitive opplysninger komme på avveie?
- Når kan noen få høre noe de ikke skulle hørt?
Klart språk er mangelvare når det gjelder informasjonssikkerhet og personvern
Klart språk er mangelvare når det gjelder informasjonssikkerhet og personvern. Alle som har lest en databehandleravtale fra Microsoft (på engelsk of course) eller gitt seg i kast med veiledningsmateriellet fra Datatilsynet kan skrive under på det. (Unnskyld, Bjørn Erik Thon! Det kan godt hende at dette har blitt bedre med årene. Men mye av stoffet ser ut til å være skrevet AV jurister, FOR jurister og ikke beregnet på mennesker av kjøtt og blod). Selv om den nye personvernforordningen (GDPR-trollet) stiller krav til at informasjon både skal være forståelig og tilpasset målgruppen, vil jeg nok anta at det tar lang tid før vi kan se en markant bedring.
Engelsk er et språk med mange nyanser og gode ord (sa han som ikke er lingvist). På engelsk brukes begrepet PRIVACY om personvern, og dette ordet gir jo en helt annen magefølelse av hva betydningen er. Det handler om privatlivets fred! Kontroll over egne personopplysninger, og beskyttelse mot uønsket innsyn i private ting. På norsk snakker vi dessuten bare om SIKKERHET, enten det gjelder security, certainty eller safety. Kanskje vi burde brukt mer presise uttrykk og kalt det VISSHET og TRYGGHET i stedet? (Takk til professor Audun Jøsang på UiO for poenget!)
Så: Burde vi ha hatt et bedre ord for personvern? Burde vi ha kalt det
- (Person)Opplysningsvern?
- Informasjonsbeskyttelse?
- Datafrakk?
Eller skal vi finne HELT NYE METODER når vi skal kommunisere med folk flest om personvern?
Kjør debatt!
PS: Vil du vite «Hva som påvirker ansattes registrering av avvik innenfor informasjonssikkerhet og personvern» i Sarpsborg kommune? Faktorene som i størst grad ser ut til å påvirke avviksregistreringen i negativ retning handler om ulike aspekter knyttet til organisasjonskultur, tidspress og brukeropplæring. Faktorer som lovkrav og interne regelverk ser ikke ut til å ha påvirket registreringen i positiv retning.
