Detta är det tredje blogginlägget i en serie om fyra inlägg där vi delar våra diskussioner och insikter från den internationella dataskyddsdagen som vi på Knowit firade genom ett internt webbinarium den 28 januari. Bland annat samlades jurister, informationssäkerhets-specialister, analytiker, psykologer, utvecklare och UX-designers för att prata om dataskydd från fyra olika perspektiv.
Det tredje perspektivet presenterades av Alkisti Nikolayidis Linderholm, senior organisationspsykolog och Jannika Törnqvist, senior dataskyddsjurist. Under samtalets gång funderade de på följande tre teman:
En generation av 10 000
Till att börja med har människor funnits i uppskattningsvis 200 000 år, delat i ungefär 10 000 generationer. Det betyder att ungefär 6 generationer av 10 000 haft tillgång till el medan endast en enda generation har vuxit upp med elektronik i form av t.ex. en iPhone eller dator. Vår hjärna är alltså skapt för att leva på ett annat sätt och det är viktigt att ha det i åtanke när vi jobbar med hur vi ska förändra oss till nya sammanhang, som dataskydd och digital säkerhet.
Överlevnad genom tillit
Det som neurovetenskapen alltmer visar på är att vår hjärna är mer social än vad som tidigare uppskattats och vi har utvecklats till att förhålla oss till varandra samt vara beroende av varandra för att överleva. Vi har därmed utvecklat omedvetna förhållningssätt, tankar som styr vårt agerande, s.k. bias. En konsekvens av vårt leverne har blivit något som hänvisas till som truth bias, det vill säga att vårt utgångsläge när det gäller samarbete är att lita på att andra människor talar sanning. Denna nedärvda mekanism går ut på att vi inte kan ifrågasätta precis allting människor säger och gör för det skulle vara både energikrävande och leda till passivitet. Vi är alltså förprogrammerade att tro på vad den information som presenteras för oss och ännu mer om dessutom om den andra inleder med något som är sanningsenligt, för då tror vi att resten som sägs också kommer att vara sant och ärligt. Kort och gott är vi programmerade att tro på varandra tills motsatsen är bevisad och detta är ett viktigt utgångsläge när det kommer till frågor om dataskydd, digital säkerhet m.m.
Utifrån inlärningsteori kan vi se att människor gör det som ger konsekvenser på deras beteenden, det kan t.ex. innebära att bli belönade för att svara på mail snabbt, hjälpa en kollega med en ”snabb fråga” o.s.v. Vi blir alltså inte uppmuntrade till att alltid jobba långsamt, vara noggranna och därmed tvivla på mail från kollegor m.m. Därför har vi en tendens att göra det vi blir belönade för och det ibland till och med på bekostnad av att inte vara lika noggranna.
Vi är energisnåla
Nobelpristagaren Daniel Kahneman kom fram till att vi oavsett belöning har två system som fungerar i vår hjärna: system 1 och system 2. Medan system 1 strävar efter att spara energi och det gör den genom att automatisera så mycket att vårt beteende som möjligt i form av t.ex. vanor så kräver system 2 väldigt mycket energi av oss genom att det kräver mer tankeverksamhet. Det var system 2 vi använde oss av när vi först lärde oss cykla, köra bil, multiplikationstabellen m.m. Detta system är för energikrävande för att ständigt upprätthålla samtidigt som detta system är kopplat till eftertänksamhet, noggrannhet och försiktighet. Slutsatsen kan dras här är alltså att vi behöver jobba med att aktivt välja de beteenden som vi vill belöna i den egna verksamheten men också ta i beaktande att inlärning är ansträngande och tidskrävande. Vi behöver knappast nämna nödvändigheten i att adressera stress.
Risk och konsekvens bygger på behovet av trygghet och inte statistik
Vår förmåga att bedöma risk och konsekvenser är alltså baserad på den utveckling som skett under de närmaste ca 200 000 åren och är starkt förankrat i vårt behov att känna trygghet. Det finns händelser, kontexter och situationer som gör att vi bedömer risken som högre eller lägre oavsett vad som är sant rent objektivt och/eller statiskt. Något som dessutom förstärker detta är att vi bedömer sannolikheten för att någon annan skulle råka ut för ngt som ngt högre än att det skulle hända oss själva, t.ex. när vi läser ett företag som blivit utsatt för en cyberattack samtidigt som vi tenderar att missbedöma sannolikheten att det skulle kunna hända den egna verksamheten. Allt detta pekar på svårigheterna med att uppfatta hot och risker i vår vardag och det är viktigt att tänka på dessa aspekter när vi jobbar med människors riskbeteende. Det är därför viktigt att kunna adressera dessa aspekter i verksamheten och verkligen kunna nå ut för att kunna bygga in beteendet i kulturen, för som vi har märkt är det inget som mänskligheten gör per automatik.
Att genomskåda lögner
Vi interagerar med varandra genom kommunikation och det är som bekant väldigt mycket mer än det som sägs som vi tar till oss, t.ex. i form av kroppsspråk, minspel, tonläge, kontext m.m. När någon ljuger för oss sker detta också genom någon form av interaktion och i vår digitala värld detta sker allt mindre öga-mot-öga. Det är fortfarande lättare för oss att upptäcka lögn via telefon och rösten, d.v.s. i 67% av fallen, medan detsamma endast är sant för 50 % av fallen när lögnen presenteras för oss genom endast visuella intryck. I cybervärlden har vi oftast inget annat att gå på i kommunikationsväg än t.ex. ett skrivet mejl. Ännu svårare blir det för oss när motparten härmar ett invant beteende eller situationer vid är vana vid. I 50 % av fallen kommer vi inte att upptäcka lögnen, t.ex. när det gäller nätfiske som skickats per mejl, men vi kan öka oddsen om vi övar oss.
Det är på inget sätt för sent. Historiskt har vi haft en tendens att i förändring, speciellt i samband med digitalisering, lägga så gott som allt fokus på tekniska lösningar, processer, regelefterlevnad m.m. och mer eller mindre fullständigt förbisett det som oftast hänvisas till som ”den mänskliga faktorn”, d.v.s. individerna. Med den kunskap som vi nu har fått så kan vi skifta fokus för att på ett mer informerat sätt ta oss an frågor som berör beteenden m.m. Trots att det pratas mycket om utbildning av personal visar forskning tydligt att utbildning minskar riskerna, speciellt när utbildningen fokuserar på att stärka önskvärda beteenden. Exempelvis finns det studier som visar på att anställda som genomgått en 15-minuters utbildning om nätfiske kommer att upptäcka försök till nätfiske mer än dubbelt så många gånger som personer som inte har blivit informerade.
Hur vi delar med oss av kunskap och lägger upp våra utbildningar spelar roll om vi vill att mottagaren ska minnas informationen så länge som möjligt. Minnesforskning visar att vi kanske minns statistik och siffror direkt efter en genomgång men efter en-två dagar är det främst historierna som berättades som vi fortfarande minns. Vi tror därför på att skapa ett språk och en bild som deltagarna kan ta till sig och att därför lägga lite mer tid på att utforma detta med hjälp av berättelser.
En annan intressant aspekt är att genom att vi som människor anställda i en organisation erkänner våra misstag så bidrar vi till att misstagen som över lag sker i organisationen minskar. Detta kallas för psykologisk trygghet och innebär att ju tryggare vi är i att medge våra misstag, desto mer benägna kommer vi att vara att göra det. På så vis kan organisationen bygga en kultur som uppmuntrar till att dela med sig av misstag få insikt om hur liknande misstag vanligen uppstår och implementera lösningar för att förebygga att sådana skulle komma att ske i framtiden. Här finns det en hel del tekniska lösningar som kan underlätta för oss att göra rätt (sa någon privacy by design?) t.ex. tydliga varningsmeddelanden som får användaren att vara noggrannare.
Framför allt är det viktigt att fundera på hur vi fungerar som människor och agera därefter. Vi behöver alltså lägga till vår egen mänsklighet i ekvationen, förstå hur våra benägenheter och bias påverkar oss i de beslut vi fattar och skapa nya vanor. Det är dags för en annan typ av berättelse om dataskydd.