Det er menneskene i virksomheten som vurderer risiko, beslutter hvordan risikoen skal håndteres og skal følge rutinene i internkontrollen. Den menneskelig faktor kan være en barriere som forhindrer brudd på informasjonssikkerheten og personvernet – men kan også være en årsak til slike brudd. Utfallet avhenger av sikkerhetsbevisstheten til medarbeidere, deres kompetanse og holdninger. Sikkerhetsadferden til enkeltpersoner og sikkerhetskulturen i virksomheten er dermed grunnmuren for å ivareta informasjonssikkerhet og personvern i virksomheten.
Mørketallsundersøkelsen 2020 viser at blant de som er utsatt for sikkerhetsbrudd i norske virksomheter, anses de vanligste årsakene til bruddene å være tilfeldigheter eller uflaks, menneskelige feil, mangel på sikkerhetsbevissthet hos ansatte eller at eksisterende prosesser ikke blir fulgt. Det er ikke grunn til å tro at dette skulle være annerledes i helse- og omsorgssektoren enn i resten av samfunnet. Kompetansebyggende og holdningsskapende arbeid er derfor naturlige komponenter i internkontroll i helse- og omsorgssektoren, og er videre beskrevet i de neste kapitlene.
I Normen er følgende krav relatert direkte til medarbeidere og kompetanse:
- Kontinuerlig lære opp medarbeidere i krav om ivaretakelse av taushetsplikten, informasjonssikkerheten og personvernet.
- Etablere tiltak som sørger for at alle som gis tilgang til informasjonssystemer og tilhørende informasjon, har tilstrekkelig kompetanse til å benytte systemene og til å ivareta informasjonssikkerheten og personvernet til den registrerte.
I tillegg er det mange krav spredd utover i Normen om bl.a. organisatoriske tiltak. Det følger av definisjonene i Normen at organisatoriske tiltak også omfatter opplæring.
Kompetanse og sikkerhetskultur
Det finnes en rekke definisjoner av kompetansebegrepet, avhengig av kontekst og bruksområde. Utdanningsdirektoratet definerer kompetanse som følger:
Kompetanse er å kunne tilegne seg og anvende kunnskaper og ferdigheter til å mestre utfordringer og løse oppgaver i kjente og ukjente sammenhenger og situasjoner. Kompetanse innebærer forståelse og evne til refleksjon og kritisk tenkning.
Kompetanse kan altså anses at dannes av kunnskap, forståelse og ferdigheter. Enklere sagt av «å vite», «å skjønne» og «å gjøre». For å øke kompetanse innen informasjonssikkerhet og personvern i helse- og omsorgssektoren, handler det derfor om følgende:
- Tilføre og tilegne (ny) kunnskap om hvilke verdier som skal beskyttes, hvilke metoder som typisk brukes av trusselaktører for å skade informasjonsverdiene i sektoren og ikke minst hvordan verdiene kan beskyttes – også av den enkelte i virksomheten.
- Skape forståelse for hvorfor informasjonssikkerhet og personvern er viktig for helse- og omsorgssektoren, hvilke konsekvenser et kan sikkerhetsbrudd få for pasienter og brukere, den enkelte medarbeider, virksomheten og andre interessenter. Det gjelder også forståelse for hvorfor sikkerhet gjelder alle, samt hvordan hver medarbeider i sektoren kan bli en robust sikkerhetsbarriere rundt informasjonsverdiene og ikke en sårbarhet. Det vil kunne gi bevissthet og indre motivasjon som styrker sikkerhetsadferden og videre sikkerhetskulturen i virksomheten.
- Opparbeide ferdigheter i beskyttelse av informasjon og personvern. Repetisjon gir evne til å automatisere ferdigheter. Ved å bryte ned kunnskap til enkelte emner som kan repeteres jevnlig, etableres det et nytt tankemønster som vil kunne føre til nye vaner og endret adferd. Det kan være en motorisk handling, som f.eks. å låse PC-en hver gang man forlater den. Dette er en bevisst handling som etter hvert blir til automatikk i ubevisstheten. Det kan også være ny kunnskap som drøftes med andre eller reflekteres over gjentatte ganger, til det etableres som en selvfølge. Et eksempel er samtaler og vurderinger om rotårsaken til gjentatte sikkerhetsbrudd på et område.
Kunnskapen som medarbeidere får og innehar, risiko- og konsekvensforståelsen de etablerer og ferdigheter de utvikler, vil påvirke sikkerhetskulturen i virksomheten. Sikkerhetskultur er hvordan den samlede kompetansen i virksomheten brukes i hverdagen. NSM definerer sikkerhetskultur på følgende måte:
Sikkerhetskultur er summen av de ansattes kunnskap, motivasjon, holdninger og adferd som kommer til uttrykk gjennom virksomhetens totale sikkerhetsatferd.
Sikkerhetskulturen er en del av virksomhetens organisasjonskultur. Kulturen påvirkes av flere elementer, som ledelse, kommunikasjon, styringssystem, ansvarliggjøring, motivasjon og selvsagt kompetanse.
For å ha en sterk sikkerhetskultur, er det avgjørende at ledelsen både har fokus på sikkerhet, prioriterer sikkerhetsrelaterte spørsmål, og ikke minst selv viser ønskelig sikkerhetsadferd (ledelse ved eksempel). Hvordan ledere i sektoren prioriterer og engasjerer seg, samt deres kompetansenivå innen sikkerhet, har betydning for de ansattes sikkerhetsadferd. Sikkerhetsfokus hos toppledelsen har en direkte innvirkning på hvordan sikkerhetsorganisasjonen ser ut, om sikkerhetsroller og sikkerhetsansvar er definert og fordelt, og ikke minst om det er satt av tid og ressurser til kompetansehevende aktiviteter i virksomheten. Ledelsen og deres felles risikoforståelse danner et grunnlag for og innhold til et opplæringsopplegg.
Ledelsen på alle nivåer bør kommunisere informasjonssikkerhet og personvern både seg imellom og ut til organisasjonen, slik at medarbeidere oppfatter viktigheten av å fokusere på disse temaene. Her vil det være særlig relevant å kommunisere at informasjonssikkerhet og personvern er viktige komponenter i å ivareta pasientsikkerheten og det å kunne yte forsvarlig helsehjelp. Kommunikasjonskanaler skal kunne nå alle medarbeidere og budskapet skal kunne oppleves som forståelig og relevant.
En forutsetning for å oppnå en ønsket felles sikkerhetskultur er at medarbeidere og ledere er innforstått med hvilke krav de må forholde seg til. Virksomheten må derfor ha tilstrekkelige og tydelige retningslinjer og rutiner. For å sikre at hver enkelt medarbeider kjenner til retningslinjene og rutinene, og kan finne dem ved behov, er det viktig at disse er gjort lett tilgjengelige og kommunisert ut til organisasjonen.
Motivasjon og eierskap er drivkraften i en adferdsendring. Det er derfor viktig at den enkelte medarbeider føler et ansvar for å etterleve gjeldende krav og bidra til å opprettholde og videreutvikle sikkerhetskulturen. Indre motivasjon skapes blant annet av å kjenne på eierskap og ansvar, og av risiko- og konsekvensforståelse. En opplevd hendelse og egen erfaring påvirker viljen til å endre adferd. Ytre motivasjon som ros for ønsket adferd og sanksjoner ved uansvarlige handlinger, kan også ha en viss påvirkning. Rapportering av eventuelle sikkerhetsbrudd og avvik, som er beskrevet tidligere i veilederen, bidrar til økt ansvarsfølelse og bevisstgjøring blant de ansatte. Kartlegging av sikkerhetskultur og måling av kompetanseutviklingen over tid, vil også kunne gi økt sikkerhetsbevissthet i virksomheten, øke eierskap og motivasjonen hos medarbeiderne, samt gi indikatorer for videre kompetanseheving og kulturutvikling.
For mer om kompetanse- og kulturutvikling innen informasjonssikkerhet generelt, har Digitaliseringsdirektoratet eget veiledningsmateriell på dette.
Opplæringsprogram
Opplæring av ledere og medarbeidere krever forankring i organisasjonen og at det stilles krav til både innhold og kvalitet. Opplæringen anbefales basert på en opplæringsplan slik at det settes av tid besluttet av ledelsen. Det anbefales at opplæringen i informasjonssikkerhet og personvern knyttes til annen opplæring i virksomheten. Det anbefales å ta utgangspunkt i styringssystemet for informasjonssikkerhet som inneholder alle retningslinjer og rutiner for virksomheten. På den måten får den enkelte opplæring i hvor styringssystemet finnes, hvordan det er bygget opp og hvilke prosedyrer som er utarbeidet.
Virksomheten bør etablere en rutine for opplæring i informasjonssikkerhet og personvern. En slik rutine skal tilpasses størrelsen og behovene til virksomheten, samt risikoer den står overfor. En slik rutine bør inneholde:
- Roller og ansvar for utarbeidelse og gjennomføring av opplæringsprogram
- Tidsrom for opplæringsprogram
- Målgruppe(r) og opplæringsnivå(er)
- Forslag til et opplæringsløp – tidspunkt for gjennomføring og opplæringsformat
- Forslag til måletiltak
- Dato for neste revisjon
For store virksomheter er det naturlig at denne rutinen er relativt detaljert for ulike målgrupper og roller, mens for små virksomheter vil disse punktene med en kort beskrivelse trolig være tilstrekkelig.
Det anbefales videre å etablere et årshjul for kompetanseheving. I store og mellomstore virksomheter bør det i programmet være flere opplæringsløp, ett for hver målgruppe. Opplæringen bør tilpasses målgruppen både i innhold og format.
Følgende opplæring bør gjennomføres:
- Grunnleggende opplæring av alle medarbeidere som også inkluderer helsepersonell, kontorpersonale, ledere og studenter, samt løpende opplæringstiltak for vedlikehold og utvikling av kompetansen.
- Opplæring i sikkerhetsstyring av ledere, risikoeiere og fagpersoner innen informasjonssikkerhet og personvern, samt løpende opplæringstiltak for vedlikehold og utvikling av kompetansen.
- Kurs i sikkerhets- eller personvernfag for spesialister som er tildelt roller, ansvar eller oppgaver innen informasjonssikkerhet eller personvern.
- Tilpasset opplæring av personell med spesielle oppgaver (for eksempel IT-drift, sikkerhetskopiering, anskaffelser av/til informasjonssystemer, tildeling av autorisasjon, tilbaketrekking av autorisasjon)
- Opplæring ved tilgang til helse- og personopplysninger mellom virksomheter
Avhengig av størrelsen på virksomheten og behov, kan årshjulet justeres og utvides til flere målgrupper, eksempelvis systemeiere, utviklere, nyansatte, innleid personell og tilsvarende. I små virksomheter som ikke har ansatte dedikert til informasjonssikkerhet og personvern, vil ledere eller personer med dette som tilleggsroller måtte tilegne seg nok kunnskap til selv å utføre sikkerhets- og personvernoppgaver eller sette det ut til andre (bestillerkompetanse ved kjøp av tjenester som f.eks. sikkerhetsrevisjon eller personvernombud).
I utarbeidelsen og gjennomføringen av et opplæringsprogram, er det viktig å beholde fokuset på effekten av tiltakene og ikke selve tiltaket. Risikoen ved et for omfattende opplegg kan være at sikkerheten i virksomheten forblir svekket, fordi de ansatte kan oppfatte opplæringen som for vanskelig og tidkrevende å gjennomføre. Dette gjelder særlig for de små virksomhetene i helse- og omsorgssektoren. Et annet eksempel er at effekten av et pålagt e-læringsprogram som gir høy gjennomføringsgrad, ikke nødvendigvis gir ønsket effekt hvis de ansatte bare «klikker» seg gjennom, uten at de faktisk tar innover seg innholdet som formidles. Det er derfor viktig med enkle og kontinuerlige tiltak som også kan måles underveis.
Vedlegg 3.3 viser forslag til opplæringsprogram for alle medarbeidere, ledere og fagpersoner med særskilte roller, ansvar og oppgaver innen informasjonssikkerhet og personvern.
Vedlegg 3.4 viser eksempler på momenter (i materiell) for opplæring og bevisstgjøring i praktisk informasjonssikkerhet og personvern for både ledere, ansatte og innleide, samt tips og råd om hvordan de i praksis kan etterleves og øves på. Disse kan være nyttige i utformingen av opplæringstiltak.
Vedlegg 3.5 viser et eksempel på hva en instruks om bruk av informasjonsteknologi som retter seg til brukerne (ansatte og innleide) i virksomheten kan inneholde. Denne kan også bidra til å fremheve hvilke temaer som brukerne har behov for opplæring innenfor.