Kundcase

Hesehus X CyberPilot

Skriven av Anders Bryde Thornild | 2023-feb-08 09:53:09

Lite om Hesehus 

Hesehus är ett konsultföretag som specialiserar sig på e-handel. De hjälper sina kunde få förstklassiga e-handelslösningar, och de har vunnit guld i e-handelpriset hela 14 gånger. Dessutom har de utsetts till Danmarks bästa byrå för e-handel. Och om de får säga det själva, så är deras e-handelsplattform en av de mest kompletta e-handelsplattformarna på marknaden.  

Hesehus har över 200 anställda, varav cirka 180 är in-houseutvecklare och digitala designers. De utbildas i medvetenhetsträning från CyberPilot, vilket är varför vi har pratat med Dennis Benneballe Arnold-Grade, som är en Compliance Officer & Legal Assistant på Hesehus, för att höra mer om deras arbete med GDPR.  

 

Om Dennis Benneballe Arnold-Grade 

Namn: Dennis Benneballe Arnold-Grade 

Position:: Compliance Officer & Legal Assistant 

Utbildning: Cand.mag. från 2015 i tyska och filosofi. Har studerat juridik på halvtid utöver hans heltidsjobb sedan 2021

CV: 2019-2022: Arbetat med GDPR och efterlevnad, såväl som juridik-relaterade uppgifter

2022-nu: Jobbar på Hesehus

Dennis roll som GDPR-ansvarig på Hesehus  

Dennis ansvarar för allt arbete kring GDPR hos Hesehus. GDPR och efterlevnad är viktigt för Hesehus eftersom de har många kunder och en hel del personuppgifter att hantera. I ett företag som Hesehus är ansvaret för GDPR däremot inte en heltidstjänst, som Dennis nämner arbetar han med många olika uppgifter . 

“Utöver uppgifter som relaterar till GDPR, och särskilt ISAE 3000, jobbar jag med ESG, kontraktshantering och kontraktsutformning, särskilt vad gäller kommersiella kontrakt för klienter, jag hjälper ledningen med andra juridiska uppgifter och deltar i GDPR-kretsar – webbinarium, artiklar, presentationer, blogginlägg, podcasts, konferenser osv.”  

 Dennis har många bollar i luften. Vi inbillar oss att andra dataskyddsombud inte riktigt ansvarar för lika många områden som Dennis. I den här artikeln kommer vi däremot fokusera på Dennis arbete kring GDPR och på ett elegant sätt förbise ESG och de andra ämnena.  

ISAE 3000 ger Hesehus en konkurrensfördel 

Varje år genomför Dennis en ISAE 3000-rapport åt Hesehus. 

“Jag ansvarar för att genomföra alla ISAE 3000-relaterade uppgifter, vilket jag har erfarenhet av från en tidigare anställning - både tidsredovisningen som måste fyllas i första gången, och periodredovisningen, som endast kan fyllas i ett år efter det att tidsredovisningen har fyllts i.”  

ISAE 3000 är en rapport som fungerar som en stämpel på att du, och de system du använder, behandlar data på korrekt sätt och i överensstämmelse med GDPR. Man börjar med en tidsredovisning som visar att din verksamhet har de rätta kontroller och procedurer på plats. Periodsredovisningen visar därefter att dessa procedurer och policys följs året om och att det kan bevisas. Det påminner alltså om det som i SOC 2 kallas för “typ I” och “typ II”.  

ISAE 3000 är ett bevis för att det går bra för Hesehu

Det är en sak att få den första rapporten, men att fortsätta bevisa en viss standard år efter år ger stort värde, utöver såklart att det tvingar din verksamhet att följa goda GDPR-processer.  

För Dennis är ISAE 3000 inte endast en juridisk och byråkratisk uppgift, utan något som kan användas som en fördel genom hela organisationen. Han lyfter fram olika dynamiker:  

“T.ex. mellan sälj och compliance när det handlar om att påskynda säljprocessen genom att ha material tillgängligt hela tiden. Eller genom att marknadsföra oss med efterlevnad som en parameter. Eller optimera avtalsuniversumet så att GDPR-överenstämmelse är en naturlig del av dataskyddsavtalen. GDPR-överenstämmelse och ISAE 3000 intygen kan vara ett viktigt och avgörande verktyg för att locka nya kunder, istället för att skrämma bort dem under säljprocessen, samt för att behålla kunderna och för att vara säker på att slippa klagomål från dataskyddsmyndigheten. Kort sagt, ISAE 3000 gör det möjligt för Hesehus att ägna mer tid åt det vi är bäst på, nämligen att skapa prisbelönta e-handelslösningar.” 

ISAE 3000 är ett bra exempel på hur GDPR inte behöver ses som något nödvändigt ont för skydda personuppgifter, det kan även aktivt användas för att urskilja sig från konkurrenter. Det är win-win för alla parter, inklusive slutkonsumenterna och Hesehus kunder.   

Hesehus använder sig av medvetenhetsträning  

En del av Hesehus arbete med GDPR består av lärande för att anställda ska bli medvetna om GDPR. Eftersom Dennis har en massa andra uppgifter som kräver hans uppmärksamhet utöver GDPR, har Hesehus teamat upp sig med oss.  

“Det är fantastiskt att ha ett verktyg som CyberPilot som tar hand om medvetenhetskurserna. Vi har satt ihop en “läroplan” för våra anställda baserat på deras roller, funktioner och ansvarsområden, och de ser över den varje månad.”

Utöver att bara ta del av kurserna har Dennis också anpassat utbildningsplanen så att viktiga kurser upprepas en gång om året, och vid ytterligare tillfällen om behovet finns vid en viss relevant tidpunkt.  

“Vi har lagt upp kurserna på ett sådant sätt att varje enskild kurs upprepas minst en gång årligen. Vi har även schemalagt dem på ett sådant sätt att de passar in i året och är anpassade enligt de typiska tidpunkterna för hot som vi försöker undvika med hjälp av medvetenhet - till exempel medvetenhet om nätfiske strax före jul.”

Medvetenhetsträningen används aktivt, och inte endast för att uppnå efterlevnad. Som Dennis förklarar:  

“Varje månad får de anställda ett nytt kurspaket som de ska genomföra. På så sätt kan vi se till att vi inte bara ger våra anställda den bästa utgångspunkten för att fortsätta att följa reglerna, utan vi kan också dokumentera det enkelt för våra revisorer.” 

Medvetenhetsträning gör det enkelt att dokumentera utbildningen av anställda, vilket hjälper Hesehus att uppnå deras ISAE 3000-rapport och samtidigt skapa en starkare säkerhet.  

Utbildningen hjälper anställda tala samma språk 

Medvetenhetsträningen hjälper till att skapa ett gemensamt språk för hela organisationen. Dennis säger att det är till hjälp eftersom han inte alltid måste börja från grunden när han kommunicerar.  

“Alla kan prata om och referera till samma kunskap från CyberPilot-kurserna, vilket innebär att jag kan börja från en högre nivå i mitt arbete istället för att börja från scratch när en incident händer.” 

Det är viktigt att ha ett gemensamt språk för GDPR och arbetet kring IT-säkerhet eftersom man måste kunna diskutera hot och incidenter innan man kan börja agera. Att ha ett gemensamt språk är därmed ett viktigt steg för att skapa en IT-säkerhetskultur.

Medvetenhetsträning är något som skapas tillsammans  

Förutom att ta del av CyberPilots kurser använder Dennis också vår säkerhetsplattform för att skapa egna kurser. 

“Detta ger oändliga möjligheter att driva en enhetlig, underhållande, läroinriktad och pedagogisk strategi för att öka medvetenheten, vilket vi är otroligt glada över.”  

Möjligheten att skapa egna kurser och testa anställda om organisationens egna riktlinjer, policys och processer hjälper länka den allmänna medvetenhetsträningen till specifika procedurer hos Hesehus. Det kan vara fördelaktigt att ha mer konkreta medvetenhetsmått som bättre reflekterar vardagen för anställda.  

CyberPilot lyssnar på feedback för att skapa kurser som efterliknad verkligheten 

Förutom effekten av utbildningen nämner Dennis att han är nöjd med samarbetet med CyberPilot, eftersom vi lyssnar på feedback och är hjälpsamma.

“Jag har varit nöjd med samarbetet med CyberPilot hittills. Snabb hjälp och ett ödmjukt mottagande av input, feedback, beröm och kritik med mera har varit vanligt förekommande i kommunikationen med CyberPilot. På så sätt ser CyberPilot till att kunskapen inte blir statisk, okritisk eller föråldrad. Förutom att ha uppdaterad kunskap i sina kurser, vilket i sig är en stor uppgift med tanke på att vi ser utveckling och förändringar i förståelsen av GDPR mycket snabbt, gör CyberPilot det möjligt för varje "kursdeltagare" (dvs. de anställda som genomför kurserna) att ge feedback om hur de upplevde kursen. På så sätt öppnar CyberPilot inte bara upp för att ta emot värdefull input om yrkesmässiga aspekter, utan även om användarupplevelsen, pedagogiken, förståelsen och så vidare."  

Input från våra kunder är en viktig del i vårt val av kursämnen. Vi skapar kurser som bidrar till alla företags verklighet och inte bara bli teoretiskt flum. Därför är feedback från våra kunder viktigt. 

Löpande feedback i vår utveckling av kurser  

Det är en sak att få förfrågningar om kurser, men vi har också turen att våra kunder hjälper oss utveckla våra kurser. Dennis har också hjälpt till med detta. 

“Katalogen med färdiga kurser från CyberPilot är stor och växter ständigt. Personligen har jag varit med och utvärderat och gett input till kurser, samt föreslagit fler kurser. De färdiga kurserna har underhållande animationer som stöder inlärningen och små tester, så att vi kan vara säkra på att den anställde i fråga inte bara snabbt har klickat sig igenom kursen.” 

Det är viktigt för oss att få denna kontinuerliga feedback, eftersom det säkerställer att vi inte bara utvecklar kurser baserade på vår egen verklighet, utan också ständigt får input om hur andra ser och löser utmaningar inom cybersäkerhet och GDPR. 

CyberPilots blogg får beröm längs med vägen   

Det här kundcaset var “bara” menat att handla om vår produkt och Hesehus arbete med GDPR.  Men längst vägen började Dennis också berömma vår blogg och marknadsföringsinitiativ. Vi tar därmed tillfället i akt och utnyttjar möjligheten för att promota oss själva lite. Dennis gav oss dessa vackra ord under vårt samtal med honom: 

"CyberPilot har inte bara en enkel och lätthanterlig plattform för kurser i medvetenhet med en stor katalog av färdiga kurser, och med möjlighet att skapa egna kurser, utan har också en otroligt och överraskande bra blogg. Det är inte ofta man kan berömma en blogg för en SaaS-tjänst som något annat än bra marknadsföring för den egna produkten. Men CyberPilot har tagit det ett steg längre, och deras djupgående blogginlägg har mycket kunskap om enskilda GDPR-områden som vanligtvis förbises, även av de bästa. Jag sysslar med och har sysslat med artikel 25 "Data Protection by Design and Default Settings" och jag har stött på mycket okunskap på detta område. CyberPilot är en av de få som har tagit sig an ämnet, gjort en djupdykning och samtidigt har en god förståelse för ämnet." 

Den här typen av ord värmer våra hjärtan. Dennis lyfter även fram hur gratis kunskap är väsentligt för att jobba med GDPR-efterlevnad.  

“Att dela kunskap på det här sättet, utan någon form av betalning, är ett av de starkaste vapnen som företagen har i kampen för att börja eller fortsätta efterleva GDPR. Det är utmärkt att CyberPilot är så passionerad när det gäller att kommunicera om GDPR och att det finns en hög grad av professionalism samt ett pedagogiskt förhållningssätt. GDPR är en svår fråga för de flesta. Bra kommunikation är avgörande för att lyckas med efterlevnaden." 

Och med dessa vänliga ord från Dennis rundar vi av för den här gången. Om du är nyfiken på våra kurser eller vår blogg kan du prova tre av våra medvetenhetskurser helt gratis i 14 dagar, eller kanske ta en titt på blogginlägget som Dennis nämner om Data Protection by Design