Novell fokuserar mycket på dataskyddsförordningen (GDPR) eftersom det både är efterfrågat av kunder och är ett krav som lagen ställer. Novicell är ett It-företag som erbjuder konsulttjänster åt många kunder, och hanterar därmed en stor mängd personuppgifter. Det har därav blivit mycket viktigt att ha goda processer för hantering av dessa uppgifter och att ha anställda som vet vad de bör vara medvetna om i deras dagliga arbetsliv. Det hela handlar om att göra om komplicerade lagtexter så att de blir handlingsbara för alla anställda i deras dagliga operationer.
Vi har prata med Anne, som är ansvaring för att se till att all detta händer. Hon måste säkerställa att Novicell har de rätta procedurerna och att anställda vet hur man följer dem. Läs hela caset eller hoppa direkt fram till hur Anne har använt vår medvetenhetsträning
Vem är Novicell? |
|
Anne är ansvarig för Novicells arbete med GDPR.
Anne Mølgaard Brøndum
Chefsjurist vid Novicell
Ansvarig för efterlevnad av GDPR
Cand.Merc (Jur.) – Skrev hennes masteruppsats om arbetsrätt och personuppgifter
Novicell är ett It-företag som erbjuder konsulttjänster för digital utveckling till andra företag. Det här innebär att Novicell hjälper företag med ett flertal saker. De hjälper med webbutveckling, E-handel, digitala strategier, digital marknadsföring, UX-design och mycket mer. Man kan säga att de är specialister inom digital affärsutveckling. De har gjort detta framgångsrikt under ett par årtionden och har nu mer än 400 anställda i 6 olika länder med deras huvudkontor beläget i Danmark.
En av de 400 anställda är Anne Mølgaard Brøndum. Anne är chefsjurist vi Novicell, vilket innebär att hon är ansvarig för att försäkra att Novicell efterlever GDPR och dess regler. Anne skrev sin masteruppsats inom arbetsrätt och personuppgifter, vilket på många sätt är en perfekt ingång till GDPR och dess många mysterier.
Vi har pratat med Anne om hennes arbete på Novicell och hur hon ser till att de efterlever GDPR.
Dataskyddförordningen är inte på väg någonstans. Vi känner alla till reglerna, men eftersom det saknas verkliga exempel på vad som är rätt och fel är vi fortfarande lite osäkra på hur de följs på ett korrekt sätt. I många aspekter är reglerna de samma som före GDPR, men GDPR har säkerställt att företag nu prioriterar dem.
Anne har uppgiften att se till att Novicell efterlever GDPR. Det är svårt att prata om en generell och konkret strategi för hur de arbetar med GDPR, istället gör Anne två olika saker som representerar arbetet på Novicell. Det första är att de årligen gör en ISAE 3000 granskning, vilket kräver att de möter vissa regler och standarder. Det andra är att Anne håller koll på vad andra företag gör och vilka nyheter som integritetsskyddsmyndigheter delar med sig av. Det här gör hon för att få inspiration och hålla sig uppdaterad. Hon anpassar Novicells processer för att försäkra sig om att de följer bästa praxis.
Som Anne uttrycker det:
“Det kommer alltid upp nya saker. Det handlar om att hålla fingret på pulsen. Det är nya uttalanden från integritetsskyddsmyndigheten. Nya rättsfall. Nya rekommendationer. Vi försöker att anpassa oss och hålla oss uppdaterade om vad som händer.”
Såklart leder båda dessa två sakerna till den sista delen av “strategin”, vilket är att se till att alla anställda förstår logiken bakom varför de dagligen måste skydda personuppgifter.
Novicell har valt att varje år bli granskade. Anne säger att detta skapar en hel del uppgifter eftersom granskningsprocessen innefattar många standarder som de måste möta när det gäller hanteringen av personuppgifter. På detta sätt fungerar ISAE 3000 som ett ramverk för deras arbete med GDPR.
I början, när Novicell blev granskade för första gången, hjälpte det dem att skaffa sig en strukturerad metod för hur man tar sig an GDPR och stärker sin IT-säkerhet. Vid det här laget handlar det mer om en årlig kontroll för att se till att de efterlever GDPR. Därmed är granskningen idag inte deras främsta drivkraft för deras dagliga arbete med GDPR.
Men det är fortfarande väldigt värdefullt. Det hjälper att få externa revisorer att årligen komma till företaget och ta en titt på företagets arbete, eftersom de alltid hittar små saker att förbättra:
“När de är här en gång per år gör de granskningar och kontrollerar oss A-Z. Varje år uppkommer nya utmaningar från dessa kontroller, så det skapar uppgifter för oss.”
Utöver de uppgifter som kontrollerna skapar, påvisar revisorernas årliga besök att Anne anstränger sig – vilket är något efterfrågas av henne.
Det första året som Novicell granskades skaffade de en typ-1 rapport. En typ-1 rapport är grunden, man kan säga att det är där man bygger husets stomme. Det här innebär att en typ-1 granskningsrapport tillhandahåller en rapport om de procedurer eller kontroller som organisationen har implementerat, men inte hur dessa utförs. Ofta är det här ett bra sätt att börja på eftersom det är billigare och innebär mindre arbete än typ-2 rapporten.
Läs detta inlägg för att ta reda på om din organisation också kan gynnas av ett ISAE 3000 certifikat
År 2020 och 2021 ordnade Novicell typ-2 rapporten som innebär att det inte räcker med att endast ha insatta procedurer och kontroller på plats, utan du behöver även bevis på att ditt arbetssätt fungerar i enlighet med dessa. Det här kontrolleras genom att låta en tredjepartsrevisor titta igenom din verksamhet. Det här kräver mycket arbete, men det är också ett bra sätt att kontrollera att saker går bra, som Anne uttrycker det:
“Den första gången är den mest utmanande eftersom det också ger en inblick i om du tolkar lagen rätt. Det kändes väldigt bra när revisorerna sa att vi hade en av de bästa setupen som de hade sett. Det ger mig sinnesro och en bekräftelse på att vi gör rätt saker.”
Granskningsrapporten är ett sätt att kontrollera det arbete som man gör i organisationen.
Förutom att stärka din säkerhet genom att försäkra dig om att du skyddar personuppgifter ordentlig,t, har ISAE 3000 även fördelar när det kommer till branding. Att Novicell kan visa sina kunder att de är certifierade och således demonstrera att de tar GDPR på allvar, har en positiv verkan på deras försäljning. Uppenbarligen vidtar de allvarliga åtgärder för att efterleva GDPR.
“Det är en enorm konkurrensfördel. Det skapar värde för våra kunder. Det skapar även värde för mig och Novicell att veta att en extern part har granskat vårt arbete. Det är inte bara vi själva som säger att vi har det under kontroll.”
Novicell kan se att granskningen skapar värde eftersom det bygger förtroende, det lugnar även kunder och partners när de får bevis på att Novicell vet vad de håller på med vid hantering av personuppgifter.
Den andra delen av Annes strategi är att hålla sig uppdaterad och justera allt eftersom. Anledningen till detta är att GDPR-landskapet utvecklas konstant. Detta innebär att man utöver själva förordningen i sig själ, även måste bevaka nya rättsfall och rekommendationer för att vara säker på att man är uppdaterad. Rättsfall skapar företräde, vilket hjälper en att veta hur mycket eller lite man måste göra för att hålla sig följsam.
Enkelt uttryck, vi lär oss alla hela tiden.
Anne är medveten om detta, och det innebär att en stor del av hennes arbete är att hålla sig uppdaterad om vad Datatilsynet (den danska Integritetsmyndigheten), ledare inom industrin (företag som endast jobbar med GDPR) och andra har för sig. Sedan måste hon fastställa om nyheterna är relevanta för Novicell. Om det är fallet, blir jobbet att sätta dem i verket. Hon måste därmed vara flexibel i hennes arbete med GDPR, då arbetsområdet hela tiden förändras.
Att utvärdera alla nyheter och rekommendationer och göra dem handlingsbara för anställda kräver mycket arbete. Vi kan bryta ner det i tre förenklade steg:
Samla information/inspiration från nyheter/företag/rättsfall
Applicera ett juridiskt perspektiv (vad säger GDPR om det)
Skapa ett pragmatiskt förhållningssätt utifrån lagen och inspirationen
Men hur gör man det?
T.ex., du kanske listar ut att du måste ha en IT-säkerhetspolicy. Okej, men hur hjälper det de anställda som upplever att policyn är irrelevant för deras dagliga arbete? Ja, då är det så att Anne har tagit deras policy och plockat ut alla de saker som är relevanta för anställda och skapat en liten guide/handbok med endast den relevanta och handlingsbara informationen för anställda. På så sätt ser hon till att det strategiska dokumentet blir användbart för alla.
Eftersom det är en väsentlig del av Annes arbete kommer jag återvända till den lilla handboken senare.
Granskningsrapporten och att hålla sig uppdaterad är grunden till mycket av det Anne gör, men vad går det hela ut på?
Den verkliga utmaningen är att skapa en omfattande organisationskultur som ser till att Novicell efterlever GDPR. Detta är fallet då även om Anne är den som vet vad som behövs göras, kan hon inte göra allt själv. Alla anställda måste hjälpa till med att få det att hända. Därmed är en av Annes största utmaningar god kommunikation. Hon måste översätta komplexiteten i GDPR till handlingsbara processer för anställda. För att se till att anställda alltid följer processerna, även under en hektisk arbetsdag, måste hon utöver det få anställda att förstå varför efterlevnad är viktigt. Anställda måste inte veta allt, men de måste veta vad de ska göra och vad de bör vara medvetna om.
“Vår största utmaning är att alltid hålla oss uppdaterade. Det är omöjligt att alltid göra det. Det är en svår utmaning att få anställda att prioritera slutförandet av utbildning och träning vid ett hektiskt vardagsliv där kalendrar är fyllda med kundmöten, deadlines och lanseringar.”
Effektiv kommunikation är lösningen.
GDPR är inte sexig och skapar ingen naturlig glädje för de anställda. De flesta människor blir trötta när de hör GDPR nämnas eftersom de ser det som ett hinder i deras arbetsliv:
“Jag spenderade mycket tid med att kommunicera för att se till att GDPR inte upplevdes som en läskig sak, utan för att istället associera det med något positivt. I början kunde jag höra många som sa ‘Men åh, vad är det här för extra krav’ eller ‘Det här blir verkligen komplicerat’. Därför har jag försökt att visa hur vi kan hantera det med många mindre steg.”
Trots att GDPR är en juridisk utmaning, handlar det även mycket om kommunikation, processer och att få personer att bli delaktiga. Anne fokuserar mycket på hur hon förmedlade utmaningarna och hur hon pratade om det för att göra det mer lättillgängligt och positivt. Anne har implementerat två stora saker för att försäkra sig om att de kommunicerar vikten av GDPR på ett effektivt sätt. Hon har implementerat en GDPR handbok för alla anställda + medvetenhetsträning för alla anställda.
Vi kommer börja med handboken.
Jag har redan kortfattat nämnt GDPR handboken som Anne skapade tillsammans med några kollegor för alla anställda i företaget. Denna handbok är en av grundkomponenterna för de anställdas arbete med GDPR. Den är en liten guide där de anställda kan slå upp vad de ska göra när de känner sig osäkra kring vad som helst relaterat till personuppgifter. Man skulle kunna kalla det en personalguide.
Låt oss säga att de är klara med ett projekt och Novicell behöver radera alla personuppgifter från projektet. Då kan de anställda första kolla igenom handboken för att ta reda på hur den här processen startas. Ofta är det första steget för anställda att meddela Anne eller någon annan person att processen måste påbörjas. Efter denna punkt ligger inte ansvaret hos de anställda längre. Handboken visar dem vad de ska göra utan att gå för djupt in i detalj om vad som händer hädanefter - för det behöver de inte veta.
“Det viktiga är att sätta igång processen. Det är inte du som måste göra arbetet, men du måste göra mig medveten så att jag kan starta processen.”
Om de anställda hade behövt känna till hela processen hade det blivit en börda för dem eftersom det är mycket information att komma ihåg. De är tillräckligt upptagna med annat. Så länge de känner till det första steget i processen fungerar allt bra.
Anne nämner att en av fördelarna med handboken är att allt finns samlat på ett ställe. Men det är även viktigt att den endast innehåller relevant information så att det går snabbt och enkelt för anställda att hitta vad de behöver. Handboken är den samma för alla anställda, men vissa delar kan vara mer relevanta än andra för t.ex. utvecklare eller projektledare. Totalt är handboken inte längre än några sidor. De har referenser till många andra dokument, men de anställda måste inte läsa dessa, de måste endast veta om att de finns ifall de en dag skulle behöva dem.
“Det är bara lättare att kommunicera när det endast är ett par sidor med snabba punkter för varje område. Då kan vi säga ‘Okej, alla projektledare måste vara extra medvetna om sida två, för de här sakerna är viktiga i ert arbete.’ Du kan lätt skriva 200 sidor om hantering av personuppgifter och ge det till alla anställda och förvänta dig att de följer reglerna. Men det skulle uppenbarligen inte funka. Vi måste se till att vi följer reglerna genom att kommunicera dem på ett effektivt sätt, utan att skapa en överbelastning med informationen.”
Genom att hålla det kort och lättsamt blir det inte en krävande uppgift för anställda att kolla upp saker. Man kan inte förvänta sig att de ska kunna navigera bland för mycket information som varje vecka förändras. När det kommer till GDPR gäller KISS-principen (Keep it simple, stupid).
Det är viktigt att nämna att man inte kan skapa en handbok med en uppsättning riktlinjer, skicka den till alla anställda och sedan luta sig tillbaka och säga “Jobbet är avklarat.”
Anne återvänder ofta till handboken för att se till att den är uppdaterad. Om den nationella dataskyddsstyrelsen i Danmark skapar nya rekommendationer anpassar hon handboken efter dessa. Eftersom handboken är den primära referensboken för alla anställda måste den vara användbar och uppdaterad.
Det är en sak att skapa handboken. En ytterligare utmaning är att se till så att hela teamet anpassar sig till den och använder den som en referensbok.
“Vi har en kontroll. Det är teamledaren som är ansvarig för att se till att handboken implementeras inom deras team. Däremot kan de alltid be om hjälp. Ibland håller jag ett morgonmöte med ett team för att prata om handboken. Det här är till exempel relevant ifall vi har gjort förändringar i den.”
Teamledarna och Anne ser alltid till att folk förstår vikten av handboken och att meddela när den har blivit uppdaterad. Utöver det är handboken även en del av varje nyanställds introduktionsprocess.
Som du kanske förstår vid det här laget är handboken varje anställds go-to kunskapshub när det gäller hantering av personuppgifter. Om de inte hittar svaret i handboken vet alla att Anne är rätt person att fråga. På så sätt får det tydlig kommunikation, och alla vet vad de ska göra.
Men handboken är inte det enda initiativet som Novicell har implementerat.
Ett ytterligare viktigt initiativ som Novicell har implementerat är CyberPilots kurser i medvetenhet. Det är en sak att veta vad man ska göra och var man kan slå upp det. Men anställda måste även veta varför det är viktigt. Precis som Anne försöker hålla sig uppdaterad, måste de anställda också vara uppdaterade när det gäller det viktigaste inom cybersäkerhet och GDPR. Åter igen, de måste inte vara experter, men de måste veta varför det är viktigt och vad de bör vara medvetna om. Där är här som medvetenhetsträningen kommer in, Anne säger:
“Det kanske kommer en ny rekommendation angående samtycke. Och jag kan enkelt säga “Du måste göra det här” till alla anställda, men vad innebär det och hur gör vi det i praktiken? Det är här som era kurser kommer till användning. De förklarar varför och hur, såväl som vad det skyddar. Kurserna förklarar hur vi skyddar personuppgifter på bästa sätt och använder några exempel som anställda kan känna igen sig i.”
Medvetenhetsträningen är den andra delen av kommunikationen om GDPR.
Anne och hennes team skapade själva handboken, så varför inte på egen hand även skapa medvetenhetsträningen? Det enkla svaret är att man som en endast en kvinna inte kan göra allt själv.
“Det kommer alltid nya rekommendationer kring GDPR från olika ställen. Det här ställer många krav på medvetenhetsträningen eftersom man först måste veta vad det är som man ska skapa medvetenhet om. Vilka ämnen bör vi täcka? Därför teamade vi upp med er. Medvetenhetsträningen säkerställer att alla anställda blir kontinuerligt utbildade. Och det är mitt intryck att ni har full koll på vad som sker. Om någonting kommer upp i media eller från integritetsskyddsmyndigheten kan vi inom en kort tid förvänta oss en kurs om det.”
Genom att teama upp med CyberPilot slipper Anne ha full koll på vad de anställda behöver veta. Istället kan hon fokusera på de interna processerna och kommunikationen om det. Hon tycker att medvetenhetsträning är ett bra sätt för att se till att anställda är uppdaterade.
“I mina ögon är det här det bästa sättet att göra det på. I det här området går det inte att ligga före utvecklingen. Man måste hålla fingret på pulsen.”
I Annes ögon handlar god medvetenhetsträning om att se till att de anställda är uppdaterade om nya och viktiga områden när det kommer till cybersäkerhet och GDPR.
Det faktum att träningen hjälper människor hålla sig uppdaterade är även en av anledningarna till varför CyberPilots medvetenhetsträning är fortlöpande och inte endast en ett-årig kurs.
En av de saker som medvetenhetsträning hjälper till med, som GDPR handboken och interna processer inte kan, är att ge exempel på hur olika ämnen och situationen påverkar livet i verkligheten. Eftersom exemplen visar vikten av stark säkerhet, hjälper de till att sätta processerna i perspektiv. Nyhetsvärdet med medvetenhetsträningen gör det samma - det sätter processerna i perspektiv och förklarar varför de är viktiga. När Anne beskriver medvetenhetsträningen säger hon:
“Det fungerar väldigt bra. Nyhetsvärdet betyder mycket för mig. Det ger mig en trygghet att veta att vi utbildar våra anställda om vad som är viktigt här och nu. Och sedan ger det oss även några praktiska exempel. Man kan ha många “att göra punkter” i huvudet, men det är viktigt med förklaringen och exempel på, ‘Såhär undviker du ett säkerhetsintrång’ eller ‘när skadan redan är skedd måste du göra det här.’ Vi har även täckt nätfiske- och spammejl. Det är bra med konkreta och förståeliga kurser om vad som är viktigt.”
De konkreta exempel och beskrivningar är vad som får det hela att fungera, eftersom det gör om abstrakt GDPR-prat till handlingar man måste vidta i din vardag. Eller åtminstone täcker det vad man måste vara medveten om i sin arbetsdag.
Vi känner alla till känslan av att en regel ofta verkar korkad om vi inte vet varför den särskilda regeln finns, så varför då följa den?
GDPR handboken och medvetenhetsträningen samarbetar för att se till att alla följer processerna. GDPR handboken hanterar kommunikationen om processerna och vad de anställda måste göra i deras dagliga arbete. Medvetenhetsträningen täcker den nödvändiga kunskapen och hjälper till med att kommunicera till anställda varför det är viktigt för dem att vara medvetna i deras dagliga liv.
Medvetenhetsträningen är “varför” och handboken är “vad”.
Tillsammans ser handboken och medvetenhetsträningen till att cybersäkerhet och GDPR ligger på agendan varje dag utan att vara för tidskrävande. Det är ett stort steg på vägen till att skapa en stark kultur kring cybersäkerhet.
Det är alltid svårt i början att få människor att ta till sig ett meddelade.
“Vi har mycket personuppgifter att skydda, så i början var inlärningskurvan väldigt brant. Det var en mängd bestämmelser för konsulterna och utvecklarna. Men de förstår vikten av det.”
Därför ansträngde sig Anne och Novicell extra mycket i början. De var tvungna att se till att teamet alltid hade säkerhet i deras bakhuvuden. Ett sätt de gjorde detta på var genom att använda fysisk medvetenhet.
De skapade merchandise t.ex. klistermärken för att påmina människor om goda säkerhetsvanor.
“Vi eggade på en del. Till exempel, om vi såg att en anställd glömde låsa deras skärm när de lämnade datorn satte vi ett klistermärke på datorskärmen eller tangentbordet. Vi gjorde det här mycket i början eftersom det också skapar medvetenhet om handboken och riktlinjerna.”
Det är viktigt att komma igång på ett bra sätt och få de anställda att bli delaktiga. Klistermärken är ett sätt att göra det här på.
Anne använde klistermärken för att skapa medvetenhet inom Novicell. Ett annat sätt att göra det på skulle kunna vara koppar, t-shirts, posters och många andra saker. Använd din fantasi, eller så kan du använda våra GDPR-posters som du gratis kan printa, och hänga upp på ditt företag. Det är ett snabbt sätt att komma igång på och du slipper designa något själv.
Vi frågade även Änne om hon hade tre snabba tips som andra företag kan följa. Som tur var hade hon det. Gör dig redo för att ta anteckningar.
Det första tipset är att bli certifierad. Inte endast är det en konkurrensfördel, det är även en plan. Planen kommer hjälpa er skapa de nödvändiga processer och dokumentation i ert arbete med GDPR.
Dokumentation kanske låter tråkigt, men det är även väldigt vettigt. Dokumentation och att veta vem som är ansvarig är viktigt för att säkerställa att processer följs och att allt blir omhändertaget.
“Du måste ha kontroll över vad för uppgifter du hanterar och hur. Om vi inte har en överblick över vår egen dokumentation och procedurer kan vi inte kontakta de relevanta kunderna om ett säkerhetsintrång skulle hända. Vi har kontroller kring alla våra procedurer för att vara säkra på att de fungerar som de ska.”
Trots att dokumentation är tråkigt måste man se till att få det gjort.
När du försöker se till att ditt företag efterlever GDPR finns det massor med uppgifter som uppstår.
Varför inte få all möjlig hjälp för att göra det enklare?
Det kan vara möjligt att hitta verktyg som hjälper dig i ditt dagliga arbetsliv. Vissa verktyg kan hjälpa dig spara mycket tid.
Alla älskar en bra sci-fi berättelse, så vad blir framtiden för GDPR? Hur kommer det se ut om fem tio år när det kommer till GDPR? Det är en bra fråga och något som även Anne tänker lite på.
“Jag tror vi kommer ha mer exempel att förlita oss på. Det kommer förmodligen även finnas fler avslutade rättsfall där du kommer kunna säga ‘Okej, så det här blir konsekvenserna för det här beteendet.’ Jag tror även att vi kommer se fler som erbjuder system och verktyg som kan hjälpa oss i vårt vardagliga arbete.”
Det låter som det endast kommer bli lättare och mer påtagligt, men vi borde fortfarande inte ha för höga förväntningar.
“I slutändan, när vi talar om integritet och informationssekretess på en högre nivå, kommer det alltid vara komplicerade saker. Det är abstrakt och svårare än andra lagar som t.ex. anställningslag där du kan säga “Om det är på så vis, händer det där.” När det gäller informationssekretess och integritet är det extremt abstrakt och området utvecklas konstant.”
Så även fast vi får mer rättsfall och exempel att förlita oss på finns det ingen garanti för att vad som är sant idag även är sant imorgon. Kraven och nivån på implementerade initiativ kan även bli större än vad det är idag.
Däremot är en sak säker, GDPR kommer se till så att vi inte blir som i Minority Report med hur vi i framtiden hanterar personuppgifter.
Trots att arbetet med GDPR i princip är under konstant utveckling och ser annorlunda ut från dag till dag, kan Anne och Novicells arbete visa oss att en del av arbetet är beständigt: kulturen kring cybersäkerhet.
Allt blir enklare om dina anställda förstår vikten av att skydda personuppgifter. Medvetna anställda som förstår denna vikt är mer troliga att följa de rätta processerna och att bemöta nya utmaningar med en positiv inställning. Du kan oröva våra e-kurser i medvetenhetsträning gratis. Ta kursen och få reda på vad de anställda bör känna till om personuppgifter.
De anställdas medvetenhet och en stark kultur kring cybersäkerhet är grunden till en god praxis för att skydda personuppgifter.