Cases

Hesehus X CyberPilot

Skrevet af Anders Bryde Thornild | 12-01-2023 09:00:23

Hvem er Hesehus?  

Hesehus er et konsulenthus med speciale i e-handel. De hjælper deres kunder med at få top-of-the-class e-handelsløsninger, og de har 14 gange vundet Guld til E-handelsprisen. Derudover er de blevet kåret som Danmarks bedste bureau til e-commerce. Og hvis de selv skulle sige det, så er deres e-handelsplatform en af de mest komplette e-handelsplatforme på markedet. 

Hesehus har over 200 ansatte, hvor omkring 180 af dem er in-house udviklere og digitale designere. De modtager awareness-træning fra Cyberpilot, og derfor har vi har snakket med Dennis Benneballe Arnold-Grade, som er Compliance Officer & Legal Assistant i Hesehus, for at høre mere om deres GDPR-arbejde.  

 

Rundt om Dennis Benneballe Arnold-Grade

Navn: Dennis Benneballe Arnold-Grade 

Stilling: Compliance Officer & Legal Assistant 

Uddannelse: Cand.mag. fra 2015 i tysk og filosofi & har siden 2021 læst jeg jura på deltid ved siden af fuldtidsarbejdet.

CV:

2019-2022: Arbejdet med GDPR og anden compliance, samt adskillige juridiske opgaver siden

2022-frem: Arbejdet i Hesehus.  

Dennis og Hesehus’ udfordring  

Dennis er ansvarlig for GDPR-arbejdet hos Hesehus. GDPR og compliance er vigtigt for Hesehus, da de sidder med mange kunder og meget persondata. I en virksomhed som Hesehus er GDPR dog ikke en fuldtidsstilling, så som Dennis selv nævner, kommer han vidt omkring i virksomheden.   

”Udover GDPR- og især ISAE 3000 relaterede opgaver, arbejder jeg med ESG, kontraktstyring og -udarbejdelse, især de kommercielle kontrakter til kunder, assisterer ledelsen med andre juridiske opgaver og involverer mig i GDPR-kredsene – webinarer, artikler, oplæg, blogindlæg, podcasts, konferencer, m.fl.”  

Dennis har mange hatte på, hvilket vi kan forestille os at andre GDPR-ansvarlige kan nikke genkendende til. I denne artikel vil vi dog fokusere på Dennis’ GDPR-arbejde og springe let og elegant over ESG og andre emner.   

ISAE 3000 giver konkurrencefordel til Hesehus   

Dennis og Hesehus gennemfører hvert år en ISAE 3000 virksomhedsrevision. 

”Jeg er ansvarlig for, at vi gennemfører alle ISAE 3000 relaterede opgaver, hvilket jeg har erfaring med fra tidligere ansættelse - både den tidspunkt-erklæring som skal gennemføres første gang, og periodeerklæringen, som først kan laves et år efter gennemført tidspunkt-erklæringen”  

ISAE 3000 er en erklæring, der fungerer som et stempel for, at du og de systemer, som du bruger, behandler data korrekt og i overensstemmelse med GDPR. Man får først en tidspunkts-erklæring, der viser, at ens virksomhed har de korrekte kontroller og procedurer, mens periodeerklæringen reviderer, at disse procedurer og politikker efterleves hele året rundt, og at dette kan bevises.  Det minder altså om det, som man i SOC 2 kalder ”type I” og ”type II”.   

ISAE 3000 beviser, at Hesehus gør det godt  

En ting er at få den første erklæring, men at bevise det år efter år giver stor værdi udover, at det selvfølgelig tvinger ens virksomhed til at følge gode GDPR-processer.   

ISAE 3000 er for Dennis ikke kun en juridisk og bureaukratisk opgave, men noget der kan bruges som en fordel på tværs af hele forretningen. Han peger på forskellige dynamikker:  

”F.eks. mellem salg og compliance, når det handler om at gøre salgsprocessen hurtigere ved at have tilgængeligt materiale til hver en tid. Eller ved at markedsføre os med compliance som et parameter. Eller at optimere kontraktuniverset til at have GDPR compliance som medfødt element i DPA’erne – GDPR compliance og ISAE 3000 revisorerklæringer kan være et vigtigt og afgørende værktøj til at tiltrække nye kunder, ikke at skræmme dem væk under salgsprocessen, at holde på kunder og at være sikre mod klager eller tilsyn fra Datatilsynet. Kort sagt: ISAE 3000 gør, at Hesehus kan bruge mere tid på det, vi er bedst til, nemlig at skabe prisvindende e-handelsløsninger.”  

 ISAE 3000 er et godt eksempel på, at GDPR ikke behøver være et nødvendigt onde for at beskytte persondata, men også kan bruges aktivt til at differentiere sig fra konkurrenter. Det er win-win-win for alle parter, fra slutbruger til kunder til Hesehus.  

Hesehus modtager awareness-træning  

En del af GDPR-arbejdet består også i at undervise og gøre medarbejdere opmærksom på GDPR. Da Dennis sidder med mange opgaver, som kræver fordybelse i andre områder end GDPR-undervisning, har Hesehus teamet op med os. 

”Det fantastisk at have et værktøj som Cyberpilot til at varetage awareness-kurserne. Vi har sammensat en ”læseplan” til vores ansatte baseret på deres roller, funktioner og ansvarsområder, som de månedligt gennemgår.”  

Udover blot at modtage kurserne har Dennis tilpasset læseplanen således at vigtige kurser bliver repeteret en gang om året og igen, hvis der er et relevant tidspunkt.   

Vi har fordelt kurserne sådan, at hvert enkelt kursus som minimum repeteres årligt, og har fordelt dem således, at de passer ind i året og især de typiske tidspunkter for trusler, der søges afværget ved hjælp af awareness – eksempelvis awareness omkring phishing lige inden juletiden.”  

Awareness-træningen bruges aktivt og ikke blot til at kunne opnå compliance.  Som Dennis forklarer, så får  

“de ansatte, hver måned en ny pakke med kurser, som de skal gennemføre. Derved kan vi sikre, at vi ikke kun giver vores ansatte det bedste udgangspunkt til at forblive compliant, men kan også dokumentere det nemt overfor vores revisorer.” 

Awareness-træningen gør det nemt at dokumentere undervisningen af medarbejderne, hvilket hjælper Hesehus med at opnå deres ISAE 3000 revisorerklæring samtidig med at det skaber mere sikkerhed. 

Træningen hjælper de ansatte med at tale samme sprog  

Awareness-træningen hjælper med at skabe et fælles sprog for hele virksomheden. Dennis nævner, at det hjælper ham, da han ikke altid skal starte fra bunden i sin kommunikation.   

”Alle kan tale og referere til samme viden fra Cyberpilot-kurserne, hvilket gør, at jeg i mit arbejde kan tage udgangspunkt i et højere niveau end at starte helt fra bunden, når der er en sag. ”  

Det er vigtigt at få et fælles sprog for GDPR og IT-sikkerhed, da man skal kunne snakke om trusler og sager, før man kan agere på dem. Et fælles sprog er derfor et vigtigt skridt, hvis man skal skabe en IT-sikkerhedskultur.  

Awareness-træning bliver skabt sammen    

Udover at modtage vores kurser, så bruger Dennis også CyberPilots security-platform til at oprette sine egne kurser.  

“Dette giver uendelig mange muligheder for at køre en ensartet, underholdende, lærerig og pædagogisk tilgang til awareness, hvilket vi er utrolig glade for.”   

Muligheden for at lave egne kurser og teste sine ansatte i ens retningslinjer, politikker og procedurer er altså med til at koble den generelle awareness-træning sammen med specifikke procedurer i Hesehus. Det kan hjælpe med at gøre awareness-tiltagene mere konkrete og dagligdagsnært.   

CyberPilot lytter til feedback, så viden ikke bliver statisk  

Udover træningens effekt, nævner Dennis, at han er glad for samarbejdet, da vi lytter til feedback og er hjælpsomme.   

”Jeg har været glad for samarbejdet med CyberPilot indtil videre. Hurtig hjælp og ydmyg modtagelse af input, feedback, ros og kritik, med flere har været fremherskende i kommunikationen med CyberPilot. På den måde lægger CyberPilot op til at viden ikke bliver statisk, ukritisk eller uopdateret. Udover at have opdateret viden i deres kurser, hvilket i sig selv er en stor opgave, givet at vi så hurtigt ser udviklinger og ændringer i GDPR-forståelsen, så giver CyberPilot mulighed for at enhver ”kursist” (dvs. de ansatte, der gennemfører kurserne) kan give tilbagemelding omkring, hvordan de har oplevet kurset. Derved åbner CyberPilot ikke kun for at modtage værdifuldt input til faglige aspekter, men også omkring brugeroplevelsen, pædagogikken, forståelse, og så videre.”  

Inputs fra vores kunder er en vigtig del af vores udvælgelse af kursusemner. Vi laver kurser, der skal hjælpe alle virksomheders virkelighed og ikke blot blive teoretisk fluff. Derfor er feedback fra kunders virkelighed essentiel.  

Løbende feedback i vores kursusudvikling  

En ting er at få ønsker til kurser, men vi er også så heldige, at vores kunder gerne vil hjælpe med at udvikle vores kurser. Dette har Dennis også hjulpet med.  

”Kataloget af færdig-oprettede kurser i Cyberpilot er stor og vokser konstant. Jeg har selv været med til at evaluere og give input til kurser, samt foreslå flere kurser. De færdige kurser har underholdende animationer, som understøtter læringen, og mindre tests, så vi kan være sikker på, at den pågældende ansatte ikke blot har klikket sig igennem.”  

Det er altafgørende for os at få denne løbende feedback, da det sikrer, at vi ikke blot udvikler kurser ud fra vores egen virkelighed, men hele tiden får input om, hvordan andre ser og løser udfordringer indenfor IT-sikkerhed og GDPR.   

CyberPilots blog får en ros med på vejen  

Kundecasen eller udtalelsen her skulle egentlig ”bare” handle om vores produkt, og Hesehus’ GDPR-arbejde. Men da Dennis også kastede sig ud i at rose vores blog og marketing initiativer, så tager vi chancen og udnytter det til lidt ekstra ananas i egen juice. Dennis kom nemlig med disse flotte ord:  

”Udover at have en simpel men overskuelig platform til awareness-kurser med et stort katalog af færdige kurser, og med mulighed for at lave sine egne kurser, har Cyberpilot også en utrolig og overraskende god blog. Det er ikke ofte, at man kan rose en SaaS-services blog som værende andet end god markedsføring til eget produkt. Men Cyberpilot har taget det et skridt længere, og har i deres deep-dive blogindlæg en masse viden omkring enkelte GDPR-områder, der typisk bliver overset, selv af de bedste. Jeg beskæftiger mig og har tidligere beskæftiget mig med artikel 25 ”Databeskyttelse by Design og Standardindstillinger”. I den forbindelse er jeg stødt på meget uvidenhed på området. Cyberpilot er en af de få, der både har taget emnet op, dykket dybt ned i det, og samtidig har en god forståelse for emnet. ”  

Det er ord, der varmer. Dennis pointerer at denne slags fri tilgængelig viden er essentiel for arbejdet med compliance.  

”At dele viden på den måde, uden nogen form for aflønning, er et af de stærkeste våben, virksomheder har i kampen om at blive eller forblive compliant med GDPR. Derfor er det fremragende, at Cyberpilot er så passioneret omkring GDPR-vidensformidling, at der både er høj faglighed og pædagogisk tilgang. GDPR er svært stof for mange, og god formidling er derfor essentielt for at kunne lykkes med compliance. ”  

Og med de flotte ord fra Dennis, vil vi runde af. Er du blevet nysgerrig på vores kurser eller vores blog, så kan du prøve 3 af vores kurser helt gratis i 14 dage, eller måske tage et kig på blogindlægget om Databeskyttelse by Design, som Dennis nævner.