I stället för att söka syndabockar borde vi förstå att stora etiska överträdelser i företag ofta har föregåtts av en lång tid av små negligeringar av många människor och av en organisationskultur som hindrar öppen kommunikation och personligt ansvarstagan
När jag undervisar i personlig etik i företagskontext, använder jag ofta en fiktiv fallstudie där en ingenjör i ett företag har hört rykten om att det finns problem med datasäkerheten. Kruxet är bara att det inte går så bra för företaget och han vet att det skulle kosta cirka fem miljoner euro att fixa problemet, vilket är en stor summa i företagets omsättning. Vad ska han göra? Han är rädd att ansvaret och kostnaden hamnar på hans avdelning om han flaggar problemet. Hur sannolikt är det att risken förverkligas, kanske ingen ändå missbrukar data? Är det ens hans ansvar? Borde inte ledningen ta itu med det? Men om han talar med ledningen, kanske de tycker att han ställer till med problem, kanske till och med skjuter skulden på honom? Det är ju bara ett rykte, och han är ju inte dataexpert.
Lösningen på fallstudien är i korthet att det naturligtvis är hans ansvar och att det finns många sätt och verktyg för att flagga potentiella problem, utan att riskera sig själv och att konsekvenserna om man inte gör något kan vara är mycket värre. Det senare blev mycket tydligt med fallet Vastaamo där psykoterapicentrets patientjournaler och privatpersoners identitetsuppgifter blev stulna av en utpressare. Det har väckt rädslor, ilska och frågor kring såväl datasäkerhet som stigman kring terapi. Jag ska inte diskutera det senare mer än konstatera att jag inte känner en enda människa som inte skulle ha nytta av terapi och att den här typen av utpressning är det allra lägsta.
Datasäkerheten i EU förstärktes med Dataskyddsförordningen som satte hårdare krav på både ledningens ansvar och på processer för hantering av personuppgifter och register. För några år sedan hade Nokia en intern kampanj för datasäkerhet som hette Sec rity needs u. Ordleken var finurlig och idén var att börja skapa en kultur där alla i personalen förstår sitt personliga ansvar för datasäkerhet, så att man inte bara skjuter problemen på dataexperter eller ledningen.
Det här är viktigt, men inte helt enkelt. För när något sedan går fel i ett företag, när något oetiskt händer eller när känsliga data läcker ut, har vi en tendens att vilja hitta syndabockar. Vi vill hitta individen som har gjort något fel. Denna typ av tänkande inte bara simplifierar sättet på vilket företag vanligtvis hamnar i trubbel, men hindrar också enskilda individer från att påpeka små missar, i rädsla för negativa konsekvenser. Den separerar problemet från det dagliga arbetet och interaktionen mellan människor.
Jag vet inte vilken situationen på Vastaamo var, och det är helt klart att vd:n i slutändan är den som bär skulden och konsekvenserna. Men jag misstänker att vd:n inte var den enda som visste att det fanns problem i datasäkerheten. Så i stället för att söka syndabockar borde vi förstå att stora etiska överträdelser i företag ofta har föregåtts av en lång tid av små negligeringar av många människor och av en organisationskultur som hindrar öppen kommunikation och personligt ansvarstagande. Överträdelser är mycket oftare en konsekvens av systemfel i organisationen än en enskild individs ”oetiska” val.
”Överträdelser är mycket oftare en konsekvens av systemfel i organisationen än en enskild individs ’oetiska’ val.”