Følgende er et forslag til opplæringsprogram for henholdsvis alle ansatte, ledere, og fagpersoner med roller, ansvar og oppgaver innen informasjonssikkerhet og personvern.
Alle ansatte
Opplæringsopplegg for alle ansatte skal kunne gi den grunnleggende kunnskapen, forståelsen og ferdighetene som sikrer at krav i Normen blir etterlevd. Budskapet i opplæringen bør være enkelt formulert og bli kommunisert til medarbeidere gjennom kanaler som når dem og som brukes aktivt av hver av dem. Det kan eksempelvis være fellesmøter, intranett, e-post eller e-læringskurs.
Budskapet bør brytes ned i helt konkrete oppgaver som er enkelt å huske og repetere over en viss tid, eksempelvis «Tips og råd til daglig informasjonssikkerhet» i denne veilederen. Opplæringen bør gi spisset kunnskap om hvordan hver medarbeider helt konkret kan ivareta informasjonssikkerhet og personvern.
Historiefortelling («storytelling») basert på ekte hendelser fra egen eller andres virksomhet kan gi en nødvendig følelse av relevans og med det eierskap og økt bevissthet. Det er viktig at de ansatte skal kunne kjenne seg igjen i budskapet som formidles.
Forslag til virkemidler i opplæringen av alle medarbeidere:
- Informasjonsbrosjyre med de viktigste områdene innen personvern og informasjonssikkerhet medarbeiderne skal ha kunnskap om. Denne bør deles ut til alle medarbeidere. Nærmeste leder bør følge opp med en samtale omkring temaene som informasjonsbrosjyren tar opp.
- Plakater («one-pagere») for ulike tema, med få viktige punkter på hver, som er lett tilgjengelig og lett å forstå, med et budskap som er lett å huske. Disse kan tilgjengeliggjøres på utvalgte steder som f.eks. venterom, ekspedisjoner og personalrom.
Bruk gjerne illustrasjoner/fotografier fra arbeidssituasjoner i egen virksomhet. Temaer kan eksempelvis være taushetsplikt, makulering, låse PC med skjermsparer, melde avvik, hente utskrift og ikke åpne e-post fra ukjente. - Foredrag, allmøter og avdelingsmøter der nye retningslinjer, andre viktige endringer eller påminnelser informeres om.
- Frokostseminarer og læring i spisepauser («lunch and learn»-aktiviteter) der det i uformelle samlinger, gjerne med enkel matservering, gis foredrag eller gjennomgås samtaleemner innen informasjonssikkerhet og personvern.
- Diskusjonskort med korte beskrivelser av ulike temaer innen personvern og informasjonssikkerhet.
- E-læring for sektoren (se bl.a. nettsidene www.legeforeningen.no og www.tannlegeforeningen.no. E-læring kan også bestå av spillorienterte digitale verktøy («gamification»).
- Korte videoklipp som viser konsekvenser og treffer «en nerve» hos mottakeren som skaper refleksjon.
- Quiz og andre uformelle engasjerende målingstiltak. Dette vil kunne gi indikasjon på effekten av opplæringstiltak.
- Kartlegging av sikkerhetskultur ved å ta i bruk spørreundersøkelse (kvantitativ måling) og intervjuer med nøkkelpersoner (kvalitativ måling). Det kan gjennomføres eksempelvis hvert tredje år eller delvis inngå i årlig medarbeiderundersøkelse.
Ledere
Ledere skal til enhver tid inneha oppdatert kompetanse for å kunne ta stilling til risikohåndtering i virksomheten. De skal kjenne til og forstå gjeldende krav til informasjonssikkerhet og personvern på området de har ansvar for, være i stand til å beskrive sikkerhetsmål og beslutte hvilken risiko virksomheten kan akseptere. Ledere skal også inneha kunnskap om styringssystemet for informasjonssikkerhet, avtaler og prosedyrer som regulerer tilgang til helseopplysninger mellom virksomheter.
Forslag til virkemidler i opplæringen av ledere:
- Eksterne og interne kurs og seminarer
- Systematisk og kontinuerlig kommunikasjon med fagpersoner, internt og eksternt
- Deltagelse i risikovurdering og andre relevante workshops
- Gjennomføring av sikkerhetsøvelser
Fagpersoner som er tildelt roller, ansvar og oppgaver innen informasjonssikkerhet og personvern
Kompetanseheving hos fagpersoner forutsetter kontinuerlig vedlikehold, hvor det er nødvendig å hente kunnskap eksternt, samt være oppdatert på trusler og angrepsmetoder, sårbarheter, risikobildet og utviklingen i sikkerhetsfaget. Dette for at fagpersoner skal kunne tilpasse sikkerhetsarbeidet i virksomheten til de eksterne omgivelsene, og etter behov justere retningslinjer og opplæringsopplegg internt.
Forslag til virkemidler i opplæringen av fagpersoner:
- Eksterne kurs og seminarer.
- Delta i faglig nettverk for kompetanseoverføring både internt i helse- og omsorgssektoren, men også på andre relevante arenaer.
- Gjennomlesning av ferske rapporter, artikler og annet faglitteratur for kontinuerlig oppdatering av sin fagkompetanse.
