Le politiche e le procedure, gli accordi di riservatezza e, ove necessario, gli accordi di non concorrenza sono fondamentali per proteggere le informazioni riservate nelle imprese di qualsiasi dimensione. Tuttavia, richiedere semplicemente ai dipendenti di firmare una serie di accordi e includere una sezione sulla riservatezza in un manuale per i dipendenti potrebbe non essere sufficiente per ottenere il buy-in necessario per il successo. Sia la nuova assunzione che la formazione continua sulla riservatezza che include una revisione politica e legislativa, nonché un gioco di ruolo e una sessione di domande e risposte, possono aumentare la partecipazione, il che a sua volta rende più efficaci politiche e procedure.
Curriculum di base
Un curriculum di base dovrebbe trattare argomenti che riguardano specificamente la tua attività. Argomenti comuni includono business plan, rapporti di lavoro e file del personale, informazioni sui clienti, dati archiviati in file informatici, strategie di ricerca e sviluppo, informazioni finanziarie, strategie di marketing e pricing e informazioni sui fornitori. Ogni argomento di formazione dovrebbe aiutare i dipendenti a capire perché la riservatezza è importante e quali potenziali conseguenze di non conformità possono comportare, definire eventuali limiti alla riservatezza e insegnare ai dipendenti come gestire i dilemmi di riservatezza.
Formazione procedurale
La maggior parte della formazione si concentra sulla spiegazione di politiche e procedure di riservatezza. Ad esempio, un modulo di sicurezza può definire il significato di "necessità di sapere" e descrivere le procedure per proteggere i computer quando si esce da una workstation, anche solo per un momento. Un modulo di comunicazione può identificare modi autorizzati e non autorizzati per identificare e trasmettere informazioni riservate. Un modulo di smaltimento delle informazioni può descrivere procedure per distruggere documenti cartacei o cancellare dati da file di computer o distruggere un disco rigido prima di smaltire un vecchio computer.
Requisiti legali
Le imprese soggette alla Portabilità e alla Legge sull'assicurazione malattia del 1996 devono includere le politiche e le procedure HIPAA in materia di formazione sulla riservatezza dei nuovi assunti. Secondo l'American Psychological Association, la formazione deve fornire ai dipendenti le informazioni di cui hanno bisogno per svolgere i loro compiti, non fornire ogni dettaglio su HIPAA e sulla privacy dei pazienti. Gli argomenti riguardano la raccolta di informazioni, la gestione delle richieste di informazioni, la conservazione dei record e l'accesso e la gestione delle situazioni di violazione della riservatezza. La maggior parte delle aziende conclude la formazione con un quiz a scelta multipla o a risposta breve per garantire che i dipendenti padroneggino il materiale.
Attività pratiche di formazione
Le attività di piccoli gruppi sono utili per illustrare i concetti di formazione e migliorare le capacità di risoluzione dei problemi. Ad esempio, le sessioni di brainstorming di piccoli gruppi possono essere basate su diversi scenari, come conversazioni di raffreddamento dell'acqua, persone non autorizzate che richiedono o accedono a informazioni aziendali private e divulgano informazioni di ricerca e sviluppo a concorrenti che includono rischi di riservatezza. La discussione e il gioco di ruolo possono incoraggiare i partecipanti a identificare le conseguenze che una violazione della riservatezza potrebbe generare. Una volta completata l'attività, l'intero gruppo torna insieme e discute i risultati.