Problemet i vardagen
Vi vet att vi måste följa lagar och interna regler – men vi gör det inte fullt ut. Policyn är inte bara obegriplig, den överbryggar inte till vår verklighet. Det finns inga enkla, gemensamma “så här gör vi”-svar.
- Kunden råkar skicka känslig information till fel adressat – hur gör vi då?
- Lösenord till skrivaren – är det “känsligt” eller “internt”?
- Olika chefer säger olika saker. Juristen säger “det beror på” och så börjar en filosofilektion utan slut.
Ansvar är otydligt, systemen är äldre än våra rutiner och när någon ber om stöd blir svaret lätt en blöt filt: “någon annan ansvarar”, “sen”. Under tiden gissar människor – och gissningar skapar risk.
Varför är det svårt?
Juridik ser risk (det är jobbet) och blir lätt “nej-automat”. Verksamheten svarar med genvägar och skuggrutiner. Ingen pratar samma språk: juridiska tolkningar möter teknikens verklighet och mänskliga vanor.
Ofta är juridik inte en särskilt stor avdelning på verksamheten, ganska ofta kanske bara en och de får förlita sig på kollegor i branschen.
Informationsägare pekas sällan ut i praktiken. Resultat: långsamma beslut, olika tolkningar – och fel risk faller ut ändå.
Vägar framåt – översiktlig lösning
Princip #1: “Ja, om …” istället för “nej”. Risk går inte att ta bort till 100 %. Vi siktar på en tillräckligt bra lösning – tydligt beskriven, möjlig att följa och snabb nog för verksamheten.
- Ställ i ordning governancegruppen – juristen sitter i rummet och stannar. Juridik leder tolkning av ramverk och värderar om lösningen duger tillsammans med IT, kommunikation/HR och informationsägare (chefer ute i verksamheten: t.ex. ekonomichefen för fakturor/kvitton, säljchefen för avtal/offerter).
- Utse informationsägare på riktigt. Juristen delar ansvaret för informationssäkerhet med respektive informationsägare. IT säkrar kontroller och loggning; kommunikation/HR säkrar klarspråk och utbildning.
- Beslut i klarspråk. Skriv “ja, om …”-beslut som människor förstår: standarddelning, etiketter/klassning, behörighetsnivåer, retention/backup, incidentflöde. Lägg i ett beslutsregister som alla hittar.
- Säkra default-lägen. Gör det lätta valet till det rätta valet: förifyllda etiketter, förvalda delningsnivåer, minsta möjliga behörighet, sparpolicy och versionshantering.
- Rätt händer på känsliga verktyg. eDiscovery m.fl. hanteras av juridik/behörig roll – inte helpdesk. Minimera åtkomst och dokumentera spårbarhet.
När grunden sitter
Jurist och informationsägare sitter i rummet. “Det beror på” blir “ja, om …” med klarspråk, beslutade nivåer och fungerande incidentflöden. Tekniken gör rätt saker – och människorna vet hur.
Detta inlägg ingår i serien Vanliga misstag i den digitala arbetsplatsen.
