Regler for phishing test af ansatte: Skal ansatte have IT sikkerhedstræning ifølge GDPR?

Flere virksomheder arbejder i dag med phishing-tests for at træne medarbejdere i at genkende falske mails, skadelige links og forsøg på at franarre loginoplysninger. Men når testen retter sig mod ansatte, opstår der ofte et praktisk spørgsmål: Hvad må virksomheden egentlig, og skal medarbejdere have IT-sikkerhedstræning ifølge GDPR?

Det korte svar er, at GDPR ikke opstiller et generelt krav om præcis én bestemt type kursus eller phishing-test. Til gengæld kræver GDPR, at virksomheder arbejder risikobaseret med sikkerheden omkring personoplysninger. Det betyder, at medarbejdertræning, instruktion, løbende opfølgning og dokumentation ofte bliver relevante organisatoriske tiltag.

Ifølge SecureFirst som udbyder træning i både phishing og awareness, handler cybersikkerhed ikke kun om teknologi, men også om medarbejdernes adfærd i hverdagen. Phishing rammer ofte helt almindelige arbejdssituationer: en faktura, en pakke, en HR-besked eller en loginanmodning, der ser troværdig ud. Denne type træning kan hjælpe virksomheder med i højere grad at overholde GDPR.

GDPR kræver passende sikkerhed – ikke kun tekniske systemer

Når virksomheder behandler personoplysninger, skal de sikre et passende sikkerhedsniveau. Det handler ikke kun om firewalls, adgangskontrol og systemer. Det handler også om organisatoriske foranstaltninger.

Organisatoriske foranstaltninger kan blandt andet være interne retningslinjer, adgangsstyring, instrukser, processer, kontrol, træning og dokumentation. I praksis betyder det, at virksomheden bør kunne forklare, hvordan den har vurderet sine risici, og hvilke sikkerhedstiltag der er valgt.

For en virksomhed, hvor medarbejdere dagligt modtager mails, håndterer persondata, arbejder i cloudsystemer eller har adgang til kundedata, kan IT-sikkerhedstræning være en relevant organisatorisk foranstaltning.

Det betyder ikke, at alle virksomheder skal gennemføre præcis samme træning. Men det betyder, at ledelsen bør kunne svare på:

·       Hvilke phishing- og mailrisici er medarbejderne udsat for?

·       Hvordan bliver medarbejderne instrueret i sikker adfærd?

·       Hvordan dokumenteres træningen?

·       Hvordan evalueres effekten?

·       Hvad sker der, hvis medarbejdere klikker eller rapporterer mistænkelige mails?

Her kan en platform som SecureFirst være relevant, fordi den samler phishing simulation, awareness-træning og rapportering, så virksomheden får et mere samlet billede af både træning og udvikling.

NIS2 gør medarbejdertræning endnu mere relevant

For virksomheder, der også er omfattet af eller påvirket af NIS2, er medarbejdertræning særlig relevant. NIS2 handler ikke kun om teknik, men også om processer, risikostyring, hændelseshåndtering og cyberhygiejne.

SecureFirsts NIS2-indhold peger på, at awareness-træning og phishing simulation kan indgå som en praktisk del af arbejdet med cyberhygiejne og uddannelse. Det betyder ikke, at phishing-tests alene gør en virksomhed NIS2-compliant, men de kan bidrage til at dokumentere en vigtig del af sikkerhedsarbejdet.

For ledelse og compliance-ansvarlige er det en vigtig forskel. Phishing-tests er ikke en juridisk genvej. De er et praktisk værktøj, der kan gøre medarbejdertræning, adfærdsdata og fremdrift mere synlig.

Må man teste ansatte med phishing-mails?

Virksomheder må som udgangspunkt gerne arbejde med phishing-tests af ansatte, hvis testen gennemføres sagligt, proportionalt og med respekt for medarbejdernes rettigheder og arbejdsmiljø.

Det betyder, at testen bør have et klart formål: at styrke sikkerheden og træne medarbejderne. Den bør ikke bruges til at udstille, straffe eller overvåge medarbejdere unødigt.

En god phishing-test bør derfor tilrettelægges, så den:

·       har et legitimt sikkerhedsformål

·       er proportional i forhold til risikoen

·       ikke indsamler flere oplysninger end nødvendigt

·       kommunikeres ordentligt til medarbejderne

·       giver læring og feedback

·       dokumenteres på en ansvarlig måde

·       ikke bruges til unødvendig individuel udskamning

Fordi phishing-tests foregår i et ansættelsesforhold og kan indebære registrering af medarbejderes reaktioner, bør ledelse, HR, IT og compliance være enige om rammerne, før testen sættes i gang.

Skal medarbejderne informeres?

Ja, medarbejderne bør som udgangspunkt informeres om, at virksomheden arbejder med IT-sikkerhedstræning og phishing-tests som en del af sikkerhedsarbejdet.

Det betyder ikke nødvendigvis, at medarbejderne skal kende tidspunktet for hver enkelt test. Hvis tidspunktet varsles præcist, mister testen noget af sin værdi. Men formålet, principperne og behandlingen af data bør være tydelige.

Virksomheden kan for eksempel informere om:

·       at der gennemføres løbende phishing-træning

·       hvorfor træningen gennemføres

·       hvilke data der kan blive registreret

·       hvordan resultaterne bruges

·       hvem der har adgang til resultaterne

·       at formålet er læring og risikoreduktion

·       hvor medarbejdere kan stille spørgsmål

“Vi gennemfører løbende phishing-træning for at styrke vores fælles IT-sikkerhed. Formålet er læring og forebyggelse – ikke udskamning. Resultater bruges til at forbedre træningen og dokumentere vores sikkerhedsarbejde.”

SecureFirsts phishing simulation bygger på en læringsorienteret tilgang, hvor medarbejdere får øjeblikkelig feedback, hvis de klikker. Det gør testen mere konstruktiv og reducerer risikoen for, at phishing-testen opleves som en fælde.

Skal ansatte have IT-sikkerhedstræning ifølge GDPR?

GDPR kræver ikke, at alle virksomheder gennemfører et bestemt kursus med et bestemt navn. Men GDPR kræver, at virksomheder arbejder med passende tekniske og organisatoriske sikkerhedsforanstaltninger ud fra risikoen ved behandlingen af personoplysninger.

I praksis kan IT-sikkerhedstræning, awareness-træning og phishing-tests derfor være relevante organisatoriske tiltag, især i virksomheder hvor medarbejdere håndterer persondata, kundedata, loginoplysninger eller forretningskritiske systemer.

For ledelsen og CFO’en er det en vigtig skelnen. Det handler ikke om at krydse et kursus af på en liste. Det handler om at kunne dokumentere, at virksomheden har vurderet risikoen og gennemført passende tiltag.

SecureFirsts awareness-træning og phishing simulation kan understøtte arbejdet med GDPR ved at gøre medarbejdertræning, gennemførsel, klikrater og udvikling lettere at dokumentere over tid.

Hvad bør en ansvarlig phishing-test indeholde?

En phishing-test bør planlægges som en del af virksomhedens samlede sikkerheds- og compliancearbejde. En ansvarlig model kan se sådan ud:

1. Afklar formålet. Testen skal styrke sikkerheden og medarbejdernes evne til at genkende phishing.
2. Vurder datagrundlaget. Overvej hvilke medarbejderdata der registreres, hvor længe de gemmes, og hvem der har adgang.
3. Informér medarbejderne overordnet. Forklar, at virksomheden gennemfører phishing-træning, og at formålet er læring.
4. Gennemfør testen sikkert. Brug realistiske, men ufarlige testmails.
5. Giv feedback med det samme. Medarbejderen bør lære, hvad der gjorde mailen mistænkelig.
6. Mål på udvikling – ikke kun fejl. Følg klikrate, rapporteringsrate, træningsgennemførsel og forbedring over tid.
7. Dokumentér indsatsen. Gem rapporter, så ledelse, compliance og eventuelt kunder eller forsikring kan se fremdrift.

SecureFirsts platform kan understøtte denne proces, fordi phishing simulation, awareness-træning og rapportering hænger sammen i samme løsning. Det gør det lettere for virksomheden at gå fra enkeltstående test til løbende forbedring.

Hvad bør ledelsen og CFO’en være særligt opmærksomme på?

For ledelsen og CFO’en bør phishing-tests vurderes som en del af virksomhedens samlede risikostyring.

Det handler om at reducere sandsynligheden for fejl, men også om at kunne dokumentere, at virksomheden arbejder systematisk med risikoen.

Særligt fire spørgsmål er relevante:

·       Kan virksomheden forklare, hvorfor phishing-tests gennemføres?

·       Kan virksomheden dokumentere træning og resultater?

·       Er medarbejdernes rettigheder og tillid tænkt ind?

·       Bliver resultaterne brugt til forbedring og ikke udskamning?

Hvis svaret er ja, er phishing-tests et stærkt værktøj. Hvis testen derimod gennemføres uden tydelig kommunikation, uden feedback og uden plan for opfølgning, kan den skabe modstand og usikkerhed.

Compliance handler om dokumenterbar fremdrift

Compliance handler ikke kun om politikker og dokumenter. For mange virksomheder handler det også om at kunne vise, at medarbejdere bliver trænet, at risici bliver fulgt op, og at sikkerhedsarbejdet udvikler sig over tid.

SecureFirst understøtter dette ved at samle phishing simulation, awareness-træning, databrudsovervågning og compliance i én platform. Det gør det lettere at følge gennemførsel, klikrater, quizresultater og fremdrift i rapporter, som kan bruges i dialogen med ledelse, bestyrelse, kunder, cyberforsikring eller compliance-ansvarlige.

Det betyder ikke, at phishing-tests alene gør en virksomhed compliant. Men de kan bidrage til at vise, at virksomheden arbejder struktureret med medarbejdernes sikkerhedsadfærd og med de organisatoriske sikkerhedsforanstaltninger, der ofte er nødvendige i praksis.