SENTORS 3-FASMETODIK HJÄLPER INSPLANET ATT EFTERLEVA GDPR

Transkript

1 SENTORS 3-FASMETODIK HJÄLPER INSPLANET ATT EFTERLEVA GDPR

2 Sentors 3-fasmetodik hjälper Insplanet att efterleva GDPR Insplanet befinner sig i slutskedet av att anpassa verksamheten till GDPR som ersätter personuppgiftslagen i maj nästa år. Genom att identifiera och inventera befintliga personuppgifter, genomföra konsekvensbedömningar och implementera relevanta kontroller med hjälp av Sentors konsulter och metodik beräknas företaget efterleva lagen i god tid före den träder i kraft. Försäkringsförmedlaren Insplanet utvecklar och driver digitala konsumenttjänster och varumärken med huvudsaklig inriktning mot hemförsäkringar, personförsäkringar, bilförsäkringar och privatlån. Företaget är lokaliserat i Stockholm och har drygt 80 anställda. Johan Andersson, CIO på Insplanet, beskriver företagets säkerhetstänk som kundfokuserat och med en sund syn på teknik: - Vi ser säkerhet som en bolagsfråga snarare än en IT-fråga. Min filosofi är att teknik ska stödja verksamheten, det är inte ett självändamål. Det finns mycket man ska ha men egentligen inte behöver. Vi frågar oss alltid vad vi kan åstadkomma manuellt innan vi överväger att ta in tekniska lösningar förvånansvärt mycket går att lösa direkt i Excel eller på papper. En stor omställning som kräver kompetens och resurser Johan påbörjade arbetet med att anpassa Insplanets IT-arkitektur efter den nya Dataskyddsförordningen redan förra hösten. Antalet system, integrationspunkter, samarbetspartner och leverantörer som är inblandade i IT-miljön kan dock göra arbetet till en komplex och tidskrävande process som är svår att genomföra på egen hand. För att stärka organisationens GDPR-arbete beslutade Johan och hans kollegor sig för att ta in extern hjälp från Sentor. - Att försöka efterleva GDPR är som att jobba under någon form av odefinierat hot, vi vet fortfarande inte vad som kommer hända efter 25 maj. Men jag tror vi står inför ett intensivt år, och det hade känts oansvarigt av mig att inte ta in hjälp. Vi har helt enkelt inte kompetensen och resurserna för att bedriva dessa projekt på egen hand, och vi kan inte ha beslutsgångar som enbart bygger på interna erfarenheter det står för mycket på spel för att chansa. När vi väl började träffa potentiella samarbetspartners visade Sentors konsulter en pragmatisk inställning, dessutom använde de inte rädsla och skräckpropaganda för att sälja, menar Johan.

3 Bild: Johan Andersson, Insplanet 3 faser som täcker hela processen För att hjälpa Insplanet och andra företag att uppnå GDPR-efterlevnad har Sentor utvecklat en iterativ process i tre faser. Utgångspunkten för att möta GDPR-kraven, och således första fasen i processen, är att identifiera och inventera befintliga personuppgifter genom att se över alla system, arbetsprocesser och leverantörsavtal. För att göra inventeringen möjlig utbildar Sentor även personalen om vad personuppgifter är. Den andra fasen består av en konsekvensbedömning (DPIA), enligt artikel 35 i GDPR, som baseras på resultaten från första fasen och syftar till att identifiera den information som måste skyddas. - Det viktigaste framsteget är att vi har börjat ifrågasätta vad ska vi faktiskt använder olika typer av data till. Vi har kommit fram att det är förvånansvärt lite personuppgifter som faktiskt är viktiga att behålla i slutändan. Egentligen vill vi hellre analysera beteendemönster och veta vad någon gör snarare än vem som faktiskt gör det. Kan man börja skala av oväsentliga och redundanta funktioner har man mycket att vinna, menar Johan.

4 Insplanet befinner sig just nu i den tredje och sista fasen som består av tre steg. Baserat på resultatet från fas två och vilken personlig information Insplanet behöver skydda har relevanta kontroller och processer definierats inför fasens andra steg som består av själva implementationen. För att efterleva GDPR måste skydd av personuppgifter inkluderas i alla system per default, i form av skyddsmekanismer för alla system som hanterar personlig information. Slutligen testas både kontroller och processer för att säkerställa att de fungerar som avsett. I Insplanets fall beräknas organisationen uppnå förordningens krav i slutet av januari. GDPR en attitydfråga framför allt annat Utöver IT-systemen behövde Insplanet även hjälp med att se över den organisatoriska medvetenheten och kompetensen som Johan inte upplevde fanns på plats en utmaning många företag står inför, tror han: - Enligt mig är GDPR i huvudsak ingen systemfråga, det är framförallt en attityd- och kompetensensfråga. På managementnivå är kunskapen stor, men sen är det ett stort glapp nedåt i organisationen. Det största hotet är inte externt, utan snarare hur många laptops som står olåsta på kontoret, infekterade mail som öppnas eller framförallt - hur personuppgifters hanteras i brist på bättre vetande. För att förankra säkerhetstänket i hela organisationen och göra den uppmärksam på den nya lagen höll Sentor både en introduktion till GDPR och utbildning för administrativ personal på Insplanet. Utöver det intervjuades även de olika avdelningarna separat för att adressera specifika behov och utmaningar bland de anställda. För Johan var det avgörande att alla i organisationen kände ett stort engagemang. - Sentor gjorde ett gediget arbete vilket gjorde att hela organisationen fick upp ögonen för GDPR och involverade sig i processen. Alla blev dessutom genuint glada när det kändes som att vi gjorde framsteg och var på rätt väg. Det är kul att arbeta med Sentors konsulter, och det är inte något man får uppleva varje dag, speciellt inte när man arbetar med IT, avslutar Johan. Vill du veta hur Sentor kan hjälpa er? Med ett team av konsulter av konsulter inom informationssäkerhet står vi redo att stötta er organisation i arbetet med att efterleva GDPR. Kontakta oss genom att skicka ett mail till eller genom att slå oss en signal på.

5 Huvudkontoret Regionkontor Syd Sentor MSS AB Björn Trädgårdsgränd Stockholm +46 (0) Sentor MSS AB Adelgatan Malmö +46 (0)