Om Globeteam

“Vi skal ikke gøre for meget. Vi skal gøre det, der er nødvendigt”

Med en revisionserklæring kan forlaget Alinea dokumentere overfor kunder og myndigheder, at de lever op til kravene i GDPR. Det giver ikke bare ledelsen og medarbejderne en tryghed at vide, at de håndterer persondata forsvarligt. Det fremtidssikrer også forretningen og styrker konkurrenceevnen.

Egmont uret

Indførelsen af GDPR havde konsekvenser for alle virksomheder og organisationer, da forordningen trådte i kraft i foråret 2018. Særligt tiden op til skæringsdatoen var præget af hektisk aktivitet. Det var også tilfældet hos forlaget Alinea – en del af Egmont-koncernen – der udvikler trykte og digitale læremidler til grundskolen. I månederne op til den 25. maj strømmede det bl.a. ind med henvendelser fra en række kommuner, der bruger Alinea som leverandør og ville have forlaget til at underskrive netop deres version af en databehandleraftale. Det gjorde Alinea, men for det første var det ressourcetungt og uoverskueligt at forholde sig til kundernes forskellige udlægninger af databehandleransvaret, og for det andet hjalp det ikke Alinea med at afklare, hvordan de selv ønskede at efterleve forordningen.

Download case: “Vi skal ikke gøre for meget. Vi skal gøre det, der er nødvendigt”

På baggrund af rådgivning fra Globeteam besluttede Alinea derfor at slå to fluer med ét smæk ved at udarbejde en såkaldt ISAE 3000 GDPR-revisionserklæring. Erklæringen indeholder beskrivelser af, hvordan Alinea håndterer, opbevarer og behandler deres persondata. Og når en revisor sætter sin underskrift på erklæringen, fungerer den samtidig som dokumentation for, at ikke bare Alinea, men også Alineas underleverandører efterlever GDPR. Det vil sige, at Alinea fremadrettet kunne bruge ISAE 3000 GDPR-revisionserklæringen til at række ud til deres kunder og betrygge dem i, at der nu var helt styr på Alineas rolle som leverandør og databehandler.

Bred og dyb brancheerfaring

Som en del af den indledende proces gik Globeteam i dialog med både den digitale afdeling og direktionen i Alinea og drøftede strategiske og praktiske overvejelser. En central del af overvejelserne var bl.a. at definere, hvad der var et acceptabelt sikkerhedsniveau for Alinea. På den ene side var forlaget nødt til at dække nogle risikoområder af, som ville gøre meget stor skade på forretningen og forretningens omdømme, hvis der mod forventning skete en sikkerhedshændelse. På den anden side var tilgangen også, at der ikke var grund til at investere tid eller penge i et sikkerhedsniveau, der lå over det, man kan forvente.

“Der er forskellige ISAE 3000 GDPR-revisionserklæringer, og vi valgte i samråd med Globeteam at begynde på et niveau, der var markedssvarende,” siger Thomas Olsen, digital udviklingschef i Alinea.

“Vi er temmelig sikre på, at kommunerne og for den sags skyld myndighederne vil acceptere det niveau. Det vil højst sandsynligt ændre sig med tiden, og vi er også i dialog med Globeteam og vores revisionsfirma om at implementere en mere omfattende ISAE 3000 GDPR-erklæring. Men vores udgangspunkt var og er stadig, at vi ikke skal gøre for meget. Vi skal gøre det, der er nødvendigt.”

Gik omvendt til værks

Thomas Olsen, Digital Udviklingschef i AlineaSom en del af rådgivningen foretog Globeteam også risikovurderinger i samarbejde med ledelse og revisor, og de hjalp med udarbejdelse af dokumenter og beskrivelser af de processer, der skulle bringe Alinea i mål med revisionserklæringen. Her støttede man sig primært til metodikken fra ISO27000-standarden, som konkretiserer opgaveudførelsen og adresserer kravene i GDPR.

Undervejs hæftede Thomas Olsen sig særligt ved, at Globeteam gik omvendt til værks. I stedet for at beskrive processer og procedurer fra A til Z tog konsulenten udgangspunkt i det, han vidste, et revisionsfirma ville fokusere på.

Vores konsulent fra Globeteam har en fortid indenfor it-revision, så han vidste, hvad de ville lægge vægt på. Han hjalp os med at lave en liste over de ting, vi skulle have styr på. Han hjalp også med at lave et review af de politikker og procedurer, vi selv havde formuleret. Og da det var på plads, hjalp han med at styre dialogen med vores revisionsfirma,” siger han.

Tværgående procesoptimering

Alinea har altid haft godt styr på den tekniske it-sikkerhed i deres digitale løsninger. Det nye er, at de i arbejdet med at opnå ISAE 3000 GDPR-revisionserklæringen har givet deres processer og arbejdsgange et tiltrængt serviceeftersyn og skabt et øget fokus på persondatasikkerhed i organisationen.

“Det vigtigste er faktisk ikke, at vi kan demonstrere et højt it-sikkerhedsniveau. Det vigtigste er, at vi kan vise, at vi kan finde ud af at håndtere vores it-sikkerhed, hvis der sker et eller andet utilsigtet,” siger Thomas Olsen og slutter:

Den helt store forretningsværdi er, at vi med en revisionserklæring står stærkere som virksomhed. Der vil være forlag, der ikke kan være leverandør til det offentlige, fordi de ikke kan understøtte GDPR. Det har vi nu papir på, at vi gør, og det giver os en stor tryghed,” slutter han.

 

Udfordring

Alineas kunder indenfor skolesektoren skal som dataansvarlige dokumentere, at deres leverandører og underleverandører lever op til kravene i GDPR.

Løsning

Med hjælp fra Globeteam udarbejdede Alinea en ISAE 3000 GDPR-revisionserklæring, som blev gennemset og godkendt af Alineas revisionsfirma.

Resultat

Alinea står bedre rustet til fremtiden og kan overfor skoler, myndigheder og offentligheden dokumentere, at de og deres underleverandører håndterer persondata forsvarligt.

 

Få vores nyhedsbrev

Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler

Tilmeld

Optimer din forretning og dine it-investeringer

Er du interesseret i at vide mere om Globeteams ydelser, og hvordan vi kan hjælpe netop din forretning?