Kundecase

Hvordan Novicell forblir GDPR compliant med over 400 ansatte som håndterer persondata hver dag

Skrevet av Anders Bryde Thornild | 28.mar.2022 13:48:51

Novicell fokuserer mye på GDPR fordi det både er et krav fra kundene og det er et lovlig krav. Novicell er et IT-selskap som har mange konsulenter som arbeider hos kunder, og hos kundene må de håndtere store mengder persondata. Det er derfor utrolig viktig med en god prosess for håndtering av data og at de ansatte vet hva de må være bevisste på i jobbhverdagen. Mye handler om å ta en kompleks lovtekst og å gjøre den til enkle og forståelige handlinger for de ansatte i deres daglige oppgaver.

Les hele casen eller gå rett til hvordan Anne har brukt vår bevissthetstrening.


Hvem er Novicell?

    • IT-selskap - Digitale konsulenter
    • Ansatte: 400 i 6 forskjellige land
    • Founded: 1997
    • Acquired: 2005

Hvem er Anne?

Anne er ansvarlig for GDPR-arbeidet til Novicell.


  • Anne Mølgaard Brøndum
  • Head of Legal at Novicell
  • Ansvarlig for samsvar med GDPR
  • Master i rettsvitenskap – Hun skrev masteroppgave om ansettelseslover og persondata.

 

Table of content

Hvem er Novicell og Anne?

Novicell er et IT-selskap som tilbyr digitale forretningsutviklingstjenester til andre selskaper. Dette betyr at Novicell hjelper selskaper med et bredt spekter av oppgaver. Blant annet kan de hjelpe med webutvikling, E-handel, digitale strategier, digital markedsføring, UX (brukererfaring) og mye mer. Man kan si de er eksperter i digital forretningsutvikling. De har gjort stor suksess de siste tiårene, og har nå over 400 ansatte spredd over seks land med hovedkontorer i Danmark.

En av de over 400 ansatte er Anne Mølgaard Brøndum. Anne har tittelen Head of Legal Novicell, det betyr at hun har ansvar for at Novicell er i samsvar med GDPR. Anne skrev masteroppgaven sin om ansettelseslover og persondata, som er en fin start for å forstå GDPR.

Hvordan lage en strategi for ditt GDPR arbeid

GDPR er her for å bli. Vi vet alle reglene, men de fleste av oss er fortsatt litt usikre på hvordan man følger de korrekt på grunn av lite eksempler med hva å gjøre og hva å ikke gjøre. Mange av reglene er veldig like som de var før GDPR, men det GDPR har gjort er å sikre at selskaper prioriterer dem.

Anne har oppgaven med å sørge for at Novicell er GDPR compliant. Det er vanskelig å generalisere en konkret strategi, men det er to ting som Anne alltid gjør. En av de er å få en ISAE 3000 rapport hvert år, denne rapporten får de hvis de utfører prosesser etter visse lover og standarder. Det andre Anne gjør er å følge med på hva andre selskaper gjør og nye regler og anbefalinger fra datatilsynet. Hun gjør dette for å få inspirasjon og for å holde seg oppdatert. Hun tilpasser og oppdaterer prosessene til Novicell slik at de følger de beste praksisene.

Anne sier selv at:

“Det kommer alltid nye ting, og mye handler om å få med seg alt. Det kommer nye retningslinjer fra datatilsynet. Nye rettssaker. Nye anbefalinger. Vi prøver å tilpasse oss og være oppdatert med alt som skjer.”  

Og selvfølgelig er dette med på å lede den siste delen av “strategien”, som er å gjøre de ansatte bevisste på logikken bak hvorfor de trenger å beskytte persondata hver eneste dag.

ISAE 3000 er et rammeverk for deres GDPR arbeid

Novicell har valgt å få en revisorrapport hvert år. Anne sier at dette skaper flere oppgaver fordi revisorrapporten krever at flere standarder er på plass når det kommer til håndtering av persondata. På denne måten virker ISAE 300 som et rammeverk for Novicell sitt GDPR arbeid.

I starten da Novicell skulle få sin første revisorrapport ble det laget mange oppgaver som har hjulpet dem med å styrke sikkerheten deres. Nå er rapporten mer en årlig bekreftelse på at de fortsatt er GDPR compliant. Derfor er ikke rapporten lenger hovedfokuset for deres hverdags GDPR arbeid, men den er selvfølgelig fortsatt verdifull. Rapporten har eksterne revisorer som kommer og sjekker, og som kan komme med anbefalinger for ting som kan forbedres.

“Den eksterne revisoren gjør kontroller og sjekker oss fra A-Å en gang hvert år. Hvert år kommer det nye utfordringer fra sjekken, og den lager nye oppgaver for oss.”

I tillegg til oppgavene den årlige sjekken lager, det at en revisor besøker hvert år sørger for at Anne legger inn en stor innsats.

Novicell startet med type 1 revisorrapport før de fikk en type 2 rapport

Det første året Novicell fikk en revisorrapport gikk de for en type 1 rapport. En type 1 rapport er grunnmuren for det videre arbeidet. Type 1 rapport består av prosedyrer og kontroller som organisasjonen har implementert, men ikke hvordan de blir utført. Dette er ofte en god start da den er billigere og mindre arbeid enn en type 2 rapport.

I 2020 og 2021 fikk Novicell en type 2 rapport, der er det ikke lenger nok med bare prosedyrer og kontroller implementert, men man trenger bevis for at de blir utført i henhold til rapporten, og dette blir revidert av en ekstern revisor som går igjennom prosedyrene. Dette er mye arbeid, men det er også en sikker måte å bekrefte at arbeidet selskapet ditt gjør er bra. Anne sier:

“Det er mest utfordrende første gangen fordi den gir deg innsikt om du har tolket loven korrekt eller ikke. Det var godt å få en bekreftelse fra revisorene at det var en av de beste oppsettene de hadde sett. Det gir meg ro i sjelen og den bekreftelsen på at vi gjør de riktige tingene.”

Revisorrapporten er type godkjennelsesstempel på at organisasjonen din behandler persondata korrekt og i samsvar med GDPR.

En revisorrapport er også en konkurransefordel

Utenom å styrke sikkerheten din ved å forsikre deg om at du behandler persondata korrekt gir ISAE 3000 også fordeler når det kommer til branding. Det er et salgspunkt som Novicell kan vise til kunder at de er verifisert, og at de behandler persondata i samsvar med GDPR. Det viser at de tar GDPR seriøst og at de bruker seriøse ressurser for å sørge for at de er GDPR compliant.

“Det er en stor konkurransefordel. Det skaper sikkerhet for våre ansatte og oss. Det skaper sikkerhet for meg og Novicell å vite at det er en ekstern tredjepart som sjekker arbeidet vårt. Det er ikke bare oss selv som sier at vi har alt på plass.”

Novicell ser at det skaper verdi, siden det skaper tillit og gjør kunder og partnere rolige når de vet at Novicell vet hva de gjør når de behandler persondata.

Holde seg oppdatert med GDPR miljøet

Den andre delen av strategien til Anne er å holde seg oppdatert og å justere seg etter dette. Grunnen til dette er at GDPR oppdateres og fornyes hele tiden. Dette betyr at man må følge med på rettsaker og anbefalinger for å sørge at man holder seg oppdatert. Rettssaker skaper presedens som kan hjelpe deg med å forstå hvor mye eller lite du trenger å gjøre for å være compliant.

Enkelt forklart, vi lærer på veien.

Anne er klar over dette, og det betyr en stor del av jobben hennes er å holde seg oppdatert med datatilsynet i Danmark, industriledere (selskaper som bare jobber med GDPR) og hva andre selskaper gjør. Anne vurderer alltid om informasjonen hun leser er relevant for Novicell. Hvis den er relevant, er neste steg å sette det ut i praksis. Hun trenger å være fleksibel når det kommer til GDPR arbeidet sitt siden det er område  som forandrer seg hele tiden.

Ta nyheter og sett det ut i praksis for alle ansatte

Det tar en god del arbeid å evaluere nyheter og anbefalinger og å gjøre det handlingsdyktig for ansatte. Man kan bryte denne prosessen ned i tre veldig forenklede steg:

  • Samle inn informasjon/inspirasjon fra nyheter/selskaper/rettssaker

  • Forstå lov aspektene (Hva betyr dette i sammenheng med GDPR)

  • Ta loven og inspirasjonen og lag en pragmatisk tilnærming (praktisk gjennomføring)

Men hvordan gjør man dette?

Du har kanskje funnet ut at du trenger en IT-sikkerhetspolicy. Denne er god å ha, men hvordan hjelper den de ansatte som kanskje tenker denne er irrelevant for deres daglige arbeid? Anne har funnet en løsning, hun har sett igjennom Novicell sin IT-sikkerhetspolicy og plukket ut det som er relevant for de ansatte og laget en liten håndbok med det relevante og med de handlingene de ansatte vil bruke i jobbhverdagen sin. På denne måten har hun sørget for at et strategisk dokument har blitt nyttig for alle de ansatte.

Jeg vil komme tilbake til denne håndboken senere, siden det er en sentral del av Annes arbeid.

Den største utfordringen er kommunikasjon

Den virkelige utfordringen er å skape en kultur for hele organisasjonen som sørger for at Novicell er GDPR compliant. Det er kanskje Anne som vet hva som må gjøres, men hun kan ikke gjøre alt arbeidet selv. Alle ansatte må bidra for at Novicell skal forbli GDPR compliant. Derfor er en av de største utfordringene til Anne kommunikasjon. Hun må ta den komplekse informasjonen om GDPR og forenkle og videreformidle det til enkle og forståelige handlinger for de andre ansatte. Ved siden av det må hun opplyse de andre ansatte om hvorfor de må prioritere samsvar med GDPR i en travel arbeidsdag for å sørge for at de følger prosessene. Ansatte trenger ikke å vite alt, men de trenger å vite hva de skal gjøre og de hva de må være oppmerksomme på.

“Vår største utfordring er å holde oss oppdatert hele tiden. Det er umulig å gjøre hele tiden. Det er en vanskelig oppgave å vite om de ansatte prioriterer å fullføre kurs og trening i en travel arbeidsdag hvor kalendere er fylt opp med kundemøter, frister og lanseringer.”

Effektiv kommunikasjon er løsningen.

En GDPR håndbok og bevissthetstrening for ansatte er nøkkelen

GDPR lovene er ikke tiltrekkende og engasjerer ofte ikke de ansatte. Mange blir litt slitne bare de hører ordet GDPR, siden de ser på det som ekstra arbeid i den allerede travle arbeidsdagen:

“Jeg har brukt mye tid på kommunikasjon for å gjøre at GDPR ikke er skummelt, men heller blir assosiert med noe positivt. I starten sa mange til meg ‘Hva er alle disse ekstratiltakene’ eller ‘Dette ser komplisert ut.’ Etter det prøvde jeg å vise hvordan vi kan håndtere dette med mange små steg.”

Selv om GDPR er en juridisk utfordring handler mye om kommunikasjon, prosess og få folk til å forstå. Anne har fokusert på hvordan hun beskrev utfordringene, og hvordan hun snakket om det for å gjøre det mer tilgjengelig og positivt. Anne har implementert to store ting som sørger for at det viktige blir kommunisert på en effektiv måte. Hun har laget en GDPR håndbok for alle de ansatte + innført bevissthetstrening for alle de ansatte.

Vi starter med håndboken.

GDPR håndbok for alle de ansatte

Jeg har tidligere nevnt GDPR håndboken som Anne har laget med et par kolleger for alle de ansatte i selskapet. Håndboken er en av de små komponentene for de ansattes GDPR arbeid. Det er en liten guide hvor de ansatte kan søke etter hva å gjøre når de er usikre om noe angående persondata. Man kan si det er en ansatte-guide.

La oss si at noen er ferdig med et prosjekt og Novicell trenger å slette all persondata fra dette prosjektet. Da kan det være nyttig med en håndbok som man kan bla igjennom og lese hvordan man starter denne prosessen. Ofte er første steg av en prosess for de ansatte å kontakte Anne eller en annen person for å gjøre de oppmerksomme på at de må starte en prosess. Etter dette er ikke ansvaret på den ansatte lenger. Håndboken viser de ansatte hva de må gjøre uten å gå for mye i dybden med hva som skjer etterpå - det trenger de ikke å vite.

“Det viktigste er å starte prosessen. Det er ikke du som må gjøre arbeidet, men du må gjøre meg bevisst, så kan jeg starte prosessen.”    

Hvis de ansatte trengte å vite hele prosessen ville det blitt en byrde for dem, siden det er masse informasjon å forstå. De fleste har nok med det de har fra før av, og at de vet det første steget i prosessen er mer enn nok.

Fordeler med håndboken

Anne nevner at an av fordelene ved håndboken er at alt er samlet på et sted. Det er viktig å nevne at den er bare er fylt med relevant informasjon, slik at det er lett og raskt for de ansatte å finne det de trenger. Håndboken er lik for alle ansatte, men noen deler er mer relevant for noen, for eksempel for enten utviklere eller prosjektledere. Håndboken til Anne er på noen sider. Den referer til mange andre dokumenter, men disse er ikke nødvendig for de ansatte å lese, de trenger bare å vite at de eksisterer hvis de noen gang får bruk for dem.

“Det er enklere å kommunisere når det bare er et par sider med korte sjekkpunkt for hvert område. Da kan vi si ‘Ok, alle prosjektledere må være ekstra oppmerksomme på side 2, fordi det som står der er viktig for deres arbeid.’ Man kan enkelt skrive 200 sider om hvordan å håndtere persondata og gi dette til de ansatte, og så forvente at de følger reglene. Men i praksis fungerer selvfølgelig ikke dette. For å sørge for at alle følger reglene må de kommuniseres på en effektiv måte, uten at det blir for mye informasjon å ta inn over seg.”

Ved å holde det kort og konsist blir det ikke en stor oppgave for ansatte å sjekke ting. Du kan ikke forvente at ansatte skal være i stand til å navigere gjennom masse informasjon som forandrer seg hver uke. Når det kommer til GDPR sier man “keep it simple, stupid” på engelsk som blir noe sånt som “Hold det enkelt, dumming” på norsk.

Håndboken utvikles hele tiden

Det er viktig å nevne at det ikke bare er å lage en håndbok med en rekke retningslinjer, sende den ut, og så bare lene seg tilbake og tenke at jobben er gjort.

Anne oppdaterer boken jevnlig og passer på at den er oppdatert med de nyeste av reglene og anbefalingene. Hvis datatilsynet lager nye retningslinjer, så vil hun tilpasse håndboken etter disse. Håndboken er nummer en referanse for alle de ansatte, så det er viktig at informasjonen i den er nyttig og oppdatert.  

Hvordan sørge for at folk bruker håndboken

Første utfordringen er å lage håndboken. Den andre utfordringen er å sørge for at de ansatte tilpasser seg etter den og bruker den som en referanse.

“Vi har en kontroll. Prosjektlederen er ansvarlig for at håndboken blir implementert i arbeidet til teamet. Lederen kan selvfølgelig spørre om hjelp. Noen ganger har jeg et morgenmøte der jeg snakker til teamet om håndboken. Dette er relevant hvis man for eksempel har gjort noen forandringer i boken.”

Prosjektledere og Anne sørger for at de andre ansatte forstår viktigheten av håndboken, og kommuniserer når den har blitt oppdatert. Ved siden av dette er håndboken en del av nye ansattes opplæringsprosess.

Håndboken er avgjørende for Novicells GDPR arbeid

Som du kanskje forstår nå, så er håndboken alle ansattes go-to skriv når det kommer til håndtering av persondata. Hvis de ikke finner svaret i håndboken vet de ansatte at det er Anne de må spørre om hjelp. På denne måten får de klar kommunikasjon, og alle vet hva de må gjøre.

Håndboken er ikke det eneste initiativet Novicell har implementert.

Novicell bruker CyberPilots bevissthetstrening

Et annet viktig initiativ Novicell har implementert er Cyberpilot sin bevissthetstrening. Det er en ting å vite hva å gjøre og å vite hvorfor du må gjøre det. Det er viktig at de ansatte vet hvorfor ting er viktig. På samme måte som Anne prøver å holde seg oppdatert må også de ansatte holde seg oppdatert når det kommer til cybersikkerhet og GDPR. Men igjen, de ansatte trenger ikke å være eksperter, men de må vite hvorfor det er viktig og hva de må være bevisst over. Det er her bevissthetstrening kommer inn i bildet, Anne sier:

“Kanskje kommer det en ny anbefaling rundt samtykke. En enkel utvei er å si “Du må gjøre sånn her” til alle de ansatte, men hva betyr det og hvordan gjør vi det i praksis? Det er her bevissthetstreningen kommer inn. Det er videoer som beskriver hvorfor og hvordan samtidig som de beskriver hva den sikrer. De forskjellige kursene forklarer hvordan vi kan beskytte persondata på best mulig måte med eksempler man kan relatere til”

Bevissthetstreningen er den andre delen av det å kommunisere GDPR.

Det er vanskelig å holde seg oppdatert med alt

Anne sammen med teamet hennes lagde den lille guiden selv, så hvorfor ikke lage bevissthetstrening selv også? Det enkle svaret er at man kan ikke gjøre alt selv.

“Det kommer nye GDPR anbefalinger hele tiden, og det stilles mange krav til bevissthetstreningen og du må også vite hvilket tema man har lyst til å bli mer bevisst rundt. Det er derfor vi har valgt å samarbeide med dere. Bevissthetstreningen sørger for at alle de ansatte blir jevnlig oppdatert, og jeg har inntrykk av at dere i CyberPilot er oppdatert med det nyeste innenfor Cybersikkerhet. Hvis det er en stor sak i mediene eller at datatilsynet kommer med noe nytt kan vi forvente et nytt kurs.”

Ved å samarbeide med oss i CyberPilot trenger ikke alt fokuset til Anne å gå til å vite hva de ansatte trenger å vite. I stedet kan hun fokusere mer på interne prosesser og kommunikasjon om de. Hun synes bevissthetstrening er en god måte for de ansatte å holde seg oppdatert.

“I mine øyne er det den beste løsningen. På dette området kan du aldri ligge foran. Du må hele tiden holde deg oppdatert.”

Anne mener at god bevissthetstrening handler om at de ansatte blir oppdatert med det nyeste innfor cybersikkerhet og GDPR.

Viktigheten med jevnlig trening, og det å holde seg oppdatert er en av grunnene til hvorfor CyberPilots bevissthetstrening har nye kurs jevnlig og ikke bare en gang i året.

Bevissthetstreningen viser eksempler fra hverdagen

En av tingene bevissthetstreningen hjelper med som GDPR håndboken og de interne prosessene ikke gjør, og det er at den har temaer og situasjoner som påvirker hverdagen. Eksemplene hjelper med å sette prosessene i perspektiv rundt hvorfor det er så viktig å ha en sterk sikkerhet. Det er dette bevissthetstrening gjør - putter prosessene i perspektiv ved å forklare hvorfor de er viktige. Anne beskriver bevissthetstrening slik:

“Det har fungert veldig bra. Det at kursene er oppdaterte og relevante betyr mye for meg. Det gir oss en forsikring på at de ansatte er oppdatert på hva som er viktig her og nå. Den gir oss praktiske eksempler. Du kan ha mange to-do's i hodet, men det er viktig med forklaringer og eksempler til ‘Dette er hvordan du unngår sikkerhetsbrudd’ eller ‘Hva å gjøre når skaden allerede har skjedd.’ Vi har hatt kurs om phishing og spam e-poster. Det er fint å ha konkrete og forståelige kurs om hva som er viktig.”

Konkrete eksempler og beskrivelser er det som gjør at bevissthetstreningen fungerer så godt. Den gjør tunge GDPR lover og regler om til konkrete handlinger eller ting du må være obs på i hverdagen din.

GDPR håndboken og bevissthetstreningen fungerer godt sammen

Alle kan nok kjenne seg igjen – det er noen regler du vet du skal følge, men du vet ikke helt hvorfor så du dropper å følge de.

GDPR håndboken sammen med bevissthetstreningen gjør at man vet hvorfor man skal følge regler og prosesser. Håndboken forklarer kommunikasjon rundt interne prosesser og hva ansatte bør gjøre i sine daglige oppgaver. Bevissthetstrening dekker kunnskap på et mer grunnleggende nivå og kommuniserer viktigheten ved at alle ansatte er bevisste hele tiden.

Bevisthetstreningen er hvorfor mens håndboken er hva.

Sammen er håndboken og bevissthetstreningen med å sette cybersikkerhet og GDPR på agendaen hele tiden uten at man må bruke masse tid på det. Det er et fint steg for å skape en sterk cybersikkerhetskultur.

Starten er alltid vanskelig

Det er alltid vanskelig å formidle en beskjed i starten.

«Vi har mange kunders persondata som vi vil beskytte, så i starten var læringskurven bratt. Det var mange forskrifter for rådgiverne og utviklerne, men de forstod viktigheten.»

Dette er en av grunnene til at Anne og Novicell brukte mye tid og ressurser i starten. Det var viktig for dem at sikkerhet var en del av mentaliteten. En ting de gjorde var å bruke fysisk bevissthet.

De lagde klistremerker med påminnelser om sikkerhetsrutiner.

«Vi hadde klistremerker for å gjøre de ansatte mer bevisste. For eksempel hvis vi så noen som glemte å låse skjermen sin når de gikk vekk fra pulten sin puttet vi et klistremerke på skjermen eller tastaturet. Vi gjorde masse av dette i starten fordi det skapte blest rundt håndboken og dens veiledning.»

Det er viktig å få en god start, og å få de ansatte med om bord. For oss var klistremerker måten vår å gjøre det.

Det er mange måter å skape fysisk bevissthet på

Anne brukte klistremerker for å skape bevissthet hos Novicell. En måte kan være budskap på kopper, t-skjorter, plakater og mange andre ting på kontoret. Hos oss i CyberPilot har vi laget flere plakater som du kan finne her og bruke hos ditt selskap. Det er enkelt og raskt og en fin start uten at du trenger å designe noe selv.

3 raske råd for andre bedrifter å følge

Vi spurte Anne om 3 raske råd som andre bedrifter kan følge. Heldigvis hadde hun det, og det er bare å notere de ned.

1. Bli sertifisert eller få en revisorerklæring

Første råd er å bli sertifisert. Ikke bare er det et konkurransefortrinn, men det er også en plan. Denne planen vil hjelpe deg med å lage prosesser og dokumentasjon i ditt GDPR arbeid. Vi har skrevet en bloggpost som snakker om ISO 27001 sertifisering og en ISAE 3402 rapport.

2. Få et overblikk over hvordan du dokumenterer prosessen din og hvem som er ansvarlige

Dokumentasjon høres kanskje kjedelig ut, men det gir egentlig veldig mye mening. Dokumentasjon og hvem som er ansvarlige er viktig for å sørge for at prosesser blir utført korrekt og alt er tatt hånd om.

«Du trenger å vite hvilken data du skal behandle og hvordan den skal behandles. Hvis et sikkerhetsbrudd skjer, må vi ha et overblikk over vår dokumentasjon og prosedyrer før vi kontakter den relevante kunden. Vi har kontroller på alle våre prosedyrer for å sørge for at de kjører som de skal.»

Selv om dokumentasjon ikke er så spennende, er det bare å få det gjort.

3. Ha verktøy som gjør arbeidsoppgaver enklere

Det er mange arbeidsoppgaver når du prøver å sørge for at selskapet ditt er GDPR compliant.

Hvorfor ikke få all den hjelpen du kan få for å gjøre det enklere?

Det er kanskje mulig å finne verktøy som hjelper deg i arbeidshverdagen, og noen verktøy kan spare deg for massevis av tid.

Hvordan Anne ser på fremtiden til GDPR

Mange av oss liker sci-fi filmer, så hva er fremtiden til GDPR? Hvor vil vi være om fem til ti år når det kommer til GDPR? Det er et godt spørsmål, og selv Anna må bruke litt tid før hun svarer.

«Jeg tror vi vil ha flere eksempler å henvise til. Det vil mest sannsynlig være flere ferdige rettsaker som man kan se på og si ‘Ok, dette er konsekvensene av disse handlingene.’ Jeg tror også vi vil se flere som tilbyr systemer og verktøy som kan hjelpe oss i hverdagen.»

Det høres kanskje ut som det blir enklere og mer håndterbart, men jeg tror ikke vi bør ha for store forhåpninger.

«Når alt kommer til alt, når vi snakker om personvern og datasikkerhet på et høyere nivå, så blir det veldig komplisert. Det er tyngre og mer vanskelig å forstå enn mange andre lover enn for eksempel arbeidsloven hvor du kan si «Hvis dette, så gjør dette her.» Mens datasikkerhet og personvern er et stort felt som utvikler seg hele tiden.»

Selv om vi får flere rettsaker og eksempler å henvise til er det ingen garanti for at det som er korrekt i dag er korrekt i morgen. Det kan bety at mengden initiativ som kreves i dag kan være mye større i fremtiden.

En ting er sikkert, GDPR vil sørge for at det ikke skjer det samme som i filmen Minory Report når det kommer til håndtering av persondata i fremtiden.

Bevisste ansatte er grunnmuren

GDPR arbeidet er kanskje i utvikling hele tiden, og ser forskjellig ut fra dag til dag, men Anne og Novicells arbeid viser at cybersikkerhetskultur er viktig hos en bedrift. Hvis de ansatte forstår viktigheten ved å beskytte persondata blir alt enklere. Bevisste ansatte som forstår viktigheten ved å følge de korrekte prosessene og ha riktig tilnærming til nye forandringer med et positivt tankesett. De ansattes bevissthet og en sterk cybersikkerhetskultur er grunnmuren for gode datasikkerhetspraksiser.