Alinea får GDPR-revisionserklæring
Alineas kunder indenfor skolesektoren skal som dataansvarlige dokumentere, at deres leverandører og underleverandører lever op til kravene i GDPR.
Med hjælp fra Globeteam udarbejdede Alinea en ISAE 3000 GDPR-revisionserklæring, som blev gennemset og godkendt af Alineas revisionsfirma.
Alinea står bedre rustet til fremtiden og kan overfor skoler, myndigheder og offentligheden dokumentere, at de og deres underleverandører håndterer persondata forsvarligt.
“Vi skal ikke gøre for meget. Vi skal gøre det, der er nødvendigt”
Med en revisionserklæring kan forlaget Alinea dokumentere overfor kunder og myndigheder, at de lever op til kravene i GDPR. Det giver ikke bare ledelsen og medarbejderne en tryghed at vide, at de håndterer persondata forsvarligt. Det fremtidssikrer også forretningen og styrker konkurrenceevnen.
Med en revisionserklæring kan forlaget Alinea dokumentere overfor kunder og myndigheder, at de lever op til kravene i GDPR. Det giver ikke bare ledelsen og medarbejderne en tryghed at vide, at de håndterer persondata forsvarligt. Det fremtidssikrer også forretningen og styrker konkurrenceevnen.
På baggrund af rådgivning fra Globeteam besluttede Alinea derfor at slå to fluer med ét smæk ved at udarbejde en såkaldt ISAE 3000 GDPR-revisionserklæring. Erklæringen indeholder beskrivelser af, hvordan Alinea håndterer, opbevarer og behandler deres persondata. Og når en revisor sætter sin underskrift på erklæringen, fungerer den samtidig som dokumentation for, at ikke bare Alinea, men også Alineas underleverandører efterlever GDPR. Det vil sige, at Alinea fremadrettet kunne bruge ISAE 3000 GDPR-revisionserklæringen til at række ud til deres kunder og betrygge dem i, at der nu var helt styr på Alineas rolle som leverandør og databehandler.
Bred og dyb brancheerfaring
Som en del af den indledende proces gik Globeteam i dialog med både den digitale afdeling og direktionen i Alinea og drøftede strategiske og praktiske overvejelser. En central del af overvejelserne var bl.a. at definere, hvad der var et acceptabelt sikkerhedsniveau for Alinea. På den ene side var forlaget nødt til at dække nogle risikoområder af, som ville gøre meget stor skade på forretningen og forretningens omdømme, hvis der mod forventning skete en sikkerhedshændelse. På den anden side var tilgangen også, at der ikke var grund til at investere tid eller penge i et sikkerhedsniveau, der lå over det, man kan forvente.
“Der er forskellige ISAE 3000 GDPR-revisionserklæringer, og vi valgte i samråd med Globeteam at begynde på et niveau, der var markedssvarende,” siger Thomas Olsen, digital udviklingschef i Alinea.
“Vi er temmelig sikre på, at kommunerne og for den sags skyld myndighederne vil acceptere det niveau. Det vil højst sandsynligt ændre sig med tiden, og vi er også i dialog med Globeteam og vores revisionsfirma om at implementere en mere omfattende ISAE 3000 GDPR-erklæring. Men vores udgangspunkt var og er stadig, at vi ikke skal gøre for meget. Vi skal gøre det, der er nødvendigt.”
Gik omvendt til værks
Som en del af rådgivningen foretog Globeteam også risikovurderinger i samarbejde med ledelse og revisor, og de hjalp med udarbejdelse af dokumenter og beskrivelser af de processer, der skulle bringe Alinea i mål med revisionserklæringen. Her støttede man sig primært til metodikken fra ISO27000-standarden, som konkretiserer opgaveudførelsen og adresserer kravene i GDPR.
Undervejs hæftede Thomas Olsen sig særligt ved, at Globeteam gik omvendt til værks. I stedet for at beskrive processer og procedurer fra A til Z tog konsulenten udgangspunkt i det, han vidste, et revisionsfirma ville fokusere på.
"Vores konsulent fra Globeteam har en fortid indenfor it-revision, så han vidste, hvad de ville lægge vægt på. Han hjalp os med at lave en liste over de ting, vi skulle have styr på. Han hjalp også med at lave et review af de politikker og procedurer, vi selv havde formuleret. Og da det var på plads, hjalp han med at styre dialogen med vores revisionsfirma,” siger han.
Tværgående procesoptimering
Alinea har altid haft godt styr på den tekniske it-sikkerhed i deres digitale løsninger. Det nye er, at de i arbejdet med at opnå ISAE 3000 GDPR-revisionserklæringen har givet deres processer og arbejdsgange et tiltrængt serviceeftersyn og skabt et øget fokus på persondatasikkerhed i organisationen.
“Det vigtigste er faktisk ikke, at vi kan demonstrere et højt it-sikkerhedsniveau. Det vigtigste er, at vi kan vise, at vi kan finde ud af at håndtere vores it-sikkerhed, hvis der sker et eller andet utilsigtet,” siger Thomas Olsen og slutter:
“Den helt store forretningsværdi er, at vi med en revisionserklæring står stærkere som virksomhed. Der vil være forlag, der ikke kan være leverandør til det offentlige, fordi de ikke kan understøtte GDPR. Det har vi nu papir på, at vi gør, og det giver os en stor tryghed,” slutter han.
Kan jeg hjælpe?
Vil du høre mere om, hvordan Globeteam kan hjælpe dig med en lignende løsning, så kontakt mig gerne på +45 4245 8797 eller hgs@globeteam.com
Nyhedsbrev
Få vores nyhedsbrev
Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler