Hesehus er et konsulentselskap som spesialiserer seg på netthandel. De hjelper kundene sine med å få førsteklasses netthandelsløsninger og de har vunnet gull under
E-handelsprisen hele 14 ganger. I tillegg har de blitt kåret til Danmarks beste byrå for netthandel. Og om de skal få si det selv, er deres netthandelsplattform en av de mest komplette netthandelsplattformene på markedet.
Hesehus har over 200 ansatte, og omtrent 180 av disse er fast ansatte utviklere og digitale designere. Disse mottar bevissthetstrening fra CyberPilot. Derfor har vi snakket med Dennis Benneballe Arnold-Grade, som er Compliance Officer & Legal Assistant hos Hesehus, for å høre mer om deres arbeid med personvern.
Om Dennis Benneballe Arnold-Grade |
Navn: Dennis Benneballe Arnold-Grade Stilling:: Compliance Officer & Legal Assistant Utdannelse: Cand.mag. fra 2015 i tysk og filosofi. Har studert jus ved siden av sin fulltidsjobb siden 2021 CV: 2019-2022: Arbeidet med GDPR og compliance, i tillegg til ulike jus-relaterte oppgaver 2022-nå: Ansatt i Hesehus |
Dennis er ansvarlig for arbeidet med personvern hos Hesehus. Personvernforordningen (GDPR) og overholdelse av denne er viktig for Hesehus, siden de har mange kunder og mye persondata å håndtere. I et selskap som Hesehus er personvern likevel ikke en fulltidsjobb, så Dennis har flere andre arbeidsoppgaver også:
«Utover GDPR- og spesielt ISAE 3000-relaterte oppgavre, arbeider jeg med ESG, kontraktstyring og -utforming, særlig de kommersielle kontraktene til kunder, assisterer ledelsen med andre juridiske oppgaver og involverer meg i GDPR-kretsene – webinarer, artikler, foredrag, blogginnlegg, podkaster, konferanser, med mer.»
Dennis har mange baller i luften, noe vi antar at mange andre personvernansvarlige kan nikke gjenkjennende til. I denne artikkelen vil vi dog fokusere på Dennis sitt arbeid med GDPR og vi hopper derfor elegant over ESG og de andre emnene.
Hvert år gjennomfører Dennis og Hesehus en ISAE 3000 bedriftsrevisjon.
«Jeg er ansvarlig for at vi gjennomfører alle ISAE 3000-relaterte oppgaver, hvilket jeg har erfaring med fra tidligere arbeidsforhold - både den tidspunkterklæringen som skal gjennomføres første gang og periodeerklæringen som først kan lages et år etter at tidspunkterklæringen er fullført.»
ISAE 3000 er en erklæring som fungerer som et stempel på at du og de systemene du bruker behandler data korrekt og i overensstemmelse med GDPR. Man får først en tidspunktserklæring som viser at ens bedrift har de korrekte kontroller og prosedyrer på plass, mens periodeerklæringen reviderer at disse prosedyrene og politikkene etterleves hele året rundt og at dette kan bevises. Det minner altså om det som i SOC 2 kalles “type I” og “type II”.
Én ting er å få den første erklæringen, men det å bevise det år etter år tilfører mye verdi utover at det selvfølgelig tvinger ens bedrift til å følge gode GDPR-prosedyrer.
For Dennis er ikke ISAE 3000 bare en juridisk og byråkratisk oppgave, men noe som kan brukes som en fordel på tvers av hele forretningen. Han peker på forskjellige dynamikker:
«For eksempel mellom salg og compliance, når det handler om å gjøre salgsprosessen raskere ved å ha tilgjengelig materiale til enhver tid. Eler ved å markedsføre oss med compliance som et parameter. Eller å optimalisere kontraktuniverset til å ha GDPR compliance som medfødt element i DPA-ene – GDPR compliance og ISAE 3000 revisorerklæringer kan være et viktig og avgjørende verktøy til å tiltrekke nye kunder, ikke skremme dem vekk under salgsprosessen, holde på kunder og være sikre mot klager eller tilsyn fra Datatilsynet. Kort sagt: ISAE 3000 gjør at Hesehus kan bruke mer tid på det vi er best til, nemlig å skape prisvinnnde netthandelsløsninger.»
ISAE 3000 er et godt eksempel på at GDPR ikke trenger å være et nødvendig onde for å beskytte persondata, men at det også kan brukes aktivt til å skille seg ut fra konkurrenter. Det er en vinn-vinn-vinn-situasjon for alle parter, fra sluttbruker til kunder til Hesehus.
En del av GDPR-arbeidet består også av å undervise de ansatte i og gjøre dem oppmerksomme på GDPR. Siden Dennis sitter med mange oppgaver som krever oppmerksomhet på andre områder enn GDPR-undervisning, har Hesehus teamet opp med oss.
«Det er fantastisk å ha et verktøy som CyberPilot til å ivareta bevissthetskursene. Vi har satt sammen en “leseplan” for våre ansatte basert på deres roller, funksjoner og ansvarsområder, som de gjennomgår hver måned.»
Utover å kun motta kursene, har Dennis tilpasset leseplanen slik at viktige kurs blir repetert en gang om året og mer, hvis det er et relevant tidspunkt.
«Vi har fordelt kursene slik at hvert enkelt kurs repeteres årlig som minimum, og fordeler dem slik at de passer inn i året og særlig de typiske tidspunktene for trusler, som forsøkes å avverges ved hjelp av bevisstgjøring – eksempelvis bevissthet om phishing rett før juletider.»
Bevissthetstreningen brukes aktivt og ikke kun for å oppnå compliance. Som Dennis forklarer:
«Hver måned mottar de ansatte en ny pakke med kurs som de skal fullføre. Dermed kan vi sikre at vi ikke bare gir våre ansatte det beste utgangspunktet for å forbli compliant, men vi kan også enkelt dokumentere det overfor våre revisorer.»
Bevissthetstrening gjør det enkelt å dokumentere opplæringen av de ansatte, hvilket hjelper Hesehus med å oppnå deres ISAE 3000 revisjonserklæring samtidig som at det skaper mer sikkerhet.
Bevissthetstreningen hjelper med å skape et felles språk for hele bedriften. Dennis nevner at dette hjelper han, da han ikke behøver å alltid starte fra bunnen av i sin kommunikasjon.
«Alle kan snakke og referere til den samme kunnskapen fra CyberPilot-kursene, hvilket gjør at jeg i mitt arbeid kan ta utgangspunkt i et høyere nivå enn å starte helt fra bunnen av når det er en sak.»
Det er viktig å ha et felles språk for GDPR og IT-sikkerhetsarbeid, da man må kunne snakke om trusler og hendelser før man kan agere på dem. Et felles språk er derfor et viktig steg hvis man skal skape en IT-sikkerhetskultur.
Utover å motta kursene våre, bruker Dennis også CyberPilot sin sikkerhetsplattform til å opprette sine egne kurs.
«Dette gir uendelig mange muligheter for å kjøre en ensartet, underholdende, lærerik og pedagogisk tilnærming til bevissthet, hvilket vi er utrolig glade for.»
Muligheten for å lage egne kurs og teste sine ansatte i ens retningslinjer, politikker og prosedyrer er altså med på å koble den generelle bevissthetstreningen sammen med spesifikke prosedyrer i Hesehus. Det kan bidra til å gjøre bevissthetstiltaktene mer konkrete og hverdagsnære.
I tillegg til effekten av treningen, nevner Dennis at han er glad for samarbeidet, da vi lytter til tilbakemeldinger og er hjelpsomme.
«Jeg har vært glad for samarbeidet med CyberPilot hittil. Rask hjelp og ydmyk mottakelse av input, feedback, ros og kritikk, med mer, har vært fremherskende i kommunikasjonen med CyberPilot. På den måten legger CyberPilot opp til at at kunnskap ikke blir statisk, ukritisk eller uoppdatert. Utover å ha oppdadert kunnskap i kursene deres, hvilket i seg selv er en stor oppgave, gitt at vi så raskt ser utviklinger og endringer i GDPR-forståelsen, så gir CyberPilot mulighet for at enhver kursdeltaker kan gi tilbakemelding om hvordan de har opplevd kurset. Dermed åpner CyberPilot ikke kun for å motta verdifullt input om faglige aspekter, men også omkring brukeropplevelsen, pedagogikken, forståelse, og så videre.»
Tilbakemeldinger fra kundene våre er en viktig del av utvelgelsen vår av kursemner. Vi lager kurs som skal hjelpe alle bedrifters virkelighet, og ikke bare bli teoretisk fluff. Derfor er tilbakemeldinger fra kundene våre essensielt.
Det er èn ting å få forespørsler om kurs, men vi er også så heldige at kundene våre gjerne vil hjelpe oss med å utvikle kursene våre. Dette har Dennis også hjulpet med.
«Katalogen av ferdigopprettete kurs fra CyberPilot er stor og vokser konstant. Jeg har selv vært med på å evaluere og gi input til kursene, samt foreslå flere kurs. De ferdige kursene har underholdende animasjoner som støtter opp om læringen, og mindre tester, slik at vi kan være sikre på at den ansatte ikke bare har klikket seg gjennom det.»
Det er avgjørende for oss å få denne løpende feedbacken, da det sikrer at vi ikke bare utvikler kurs ut fra vår egen virkelighet, men hele tiden får input om hvordan andre ser og løser utfordringer innen IT-sikkerhet og GDPR.
Denne kundesaken skulle egentlig «bare» handle om produktet vårt og Hesehus sitt GDPR-arbeid. Men siden Dennis også satte i gang med å rose bloggen og markedsføringsinitiativene våre, griper vi sjansen og utnytter muligheten til å promotere oss selv litt. Dennis kom nemlig med disse flotte ordene:
«I tillegg til å ha en enkel men overskuelig plattform for bevissthetskursene med en stor katalog av ferdige kurs og med muligheten til å lage dine egne kurs, har CyberPilot også en utrolig og overraskende god blogg. Det er ikke ofte at man kan rose en SaaS-blogg for å være annet enn god markedsføring av eget produkt. Men CyberPilot har tatt dette et steg lenger, og har i deres dyptgående blogginnlegg masse kunnskap om enkelte GDPR-områder som typisk blir oversett, selv av de beste. Jeg beskjeftiger meg og har tidligere beskjeftiget meg med artikkel 25 'Innebygd personvern og personvern som standardinnstilling'. I den forbindelse har jeg støtt på mye uvitenhet på området. CyberPilot er en av de få som både har tatt opp dette emnet, dukket dypt ned i det, og samtidig har en god forståelse for emnet.»
Dette er ord som varmer. Dennis poengterer at slik fri tilgjengelig kunnskap er essensielt for arbeidet med compliance:
«Å dele kunnskap på denne måten, uten noen form for betaling, er et av de sterkeste våpnene bedrifter har i kampen for å bli eller forbli compliant med GDPR. Derfor er det fremragende at CyberPilot er så lidenskapelig opptatt av kunnskapsformidling om GDPR, og at det både er høy faglighet og en pedagogisk tilnærming. GDPR er vanskelig stoff for de fleste og god formidling er derfor essensielt forå kunne lykkes med compliance.»
Og med de flotte ordene fra Dennis, runder vi av. Hvis du har blitt nysgjerrig på kursene våre eller bloggen vår, kan du prøve 3 av våre bevissthetskurs helt gratis i 14 dager eller kanskje ta en titt på blogginnlegget om innebygd personvern som Dennis nevnte.