Gør certificering af databehandler til et krav!

2020-10-20-Gør-certificering-aaf-databehandler-til-et-krav

Sådan lyder opfordringen fra IBG ProReact, der netop har været igennem et større GDPR-complianceforløb. Arbejdet og vejen til at blive en certificeret databehandler har skabt så stor værdi, at virksomheden nu opfordrer alle kommuner til at gøre certificeringen til et krav.

DEBATINDLÆG: Af Jesper Seedorf Karlberg, direktør for IBG ProReact, og Jeppe Slot Stauning, Product Manager og partner i IBG ProReact.

GDPR opleves som et nødvendigt onde af mange digitale systemleverandører til det offentlige. I vores optik er GDPR ikke et “onde”, for arbejdet med GDPR kan give stor værdi til det produkt, du leverer.

Hos IBG ProReact har vi netop været igennem et øjenåbnende complianceforløb med BDO. Undervejs har vi erkendt, at værdien ikke ligger i selve certificeringen – men i den kvalitet, som vi fremadrettet kan tilbyde vores kunder.

Procedurer løfter kvaliteten
At komme med i førerfeltet inden for GDPR er en stor investering for mindre og mellemstore virksomheder og stiller mange krav til virksomhedens kompetencer og services. Som leverandør af digitale løsninger til danske kommuner og regioner er compliance ikke til at komme udenom. Og godt for det.

Hos IBG ProReact startede rejsen mod at blive ISAE 3000-certificeret databehandler for 18 måneder siden. Det har været en udfordrende rejse, men den har vist sig at være anstrengelserne værd. Da vi startede, havde vi ikke forudset det gennemgribende kvalitetsløft, vi stod over for.

Målet var selvfølgelig at blive compliant og opnå en certificering, men løbende opdagede vi, at den egentlige værdi lå i professionaliseringen af vores arbejdsgange. Vi har løftet kvaliteten i vores processer og er blevet bevidste om, at det er det egentlige mål for arbejdet med sikker håndtering af data. Selve certificeringen er en afledt effekt af kvalitetsløftet – ikke omvendt.

l forløbet fik vi styrket vores bevidsthed om, hvordan vi arbejder med data. Vi har udviklet en række faste procedurer for sikkerhed og kontrol, som vi følger slavisk. Det betyder, at vores processer i dag er klart definerede og mere effektive. Hver eneste gang, vi skaber ny kode, har vi faste procedurer for oprettelse, logning og test af data.

Medarbejderne ser værdien
Alle medarbejdere forstår værdien af skærpet omhyggelighed i omgangen med persondata, og de tager ansvar for at procedurerne følges. Det har givet os nye, sunde måder at arbejde på. Vi har øget gennemsigtigheden i vores data, og det har øget medarbejdernes digitale dannelse. Det gavner vores drift og udvikling af teknologi, men også vores support og implementering.

BDO: Troværdig og kompetent medspiller
Hele virksomheden har fået et sikkerhedseftersyn, og vores services er løftet til et helt nyt niveau frem mod tilegnelsen af revisorerklæringen. Det er BDO Risk & IT, der har forestået complianceforløbet. De har været en kompetent samarbejdspartner hele vejen og har hjulpet os med at forstå loven efter ordet – uden smutveje og kompromiser.

Vi valgte BDO primært ud fra to kriterier; deres professionelle tilgang og deres kundeportefølje. BDO reviderer mere end 60% af de danske kommuner. Flere af disse, som vi arbejder sammen med, har givet udtryk for, at de har stor tillid til en revisionserklæring fra netop BDO. At BDO desuden har leveret et progressivt og professionelt samspil, kan vi kun takke dem for.

Og så er vores GDPR-rejse endda kun lige begyndt. Vi gennemfører løbende egenkontroller for at kvalitetssikre vores arbejdsgange og for at bevare vores certificering, skal vi hvert år gennem en ekstern kontrol udført af BDO. BDO kommer igen til foråret, og de skal være velkommen!

Licence to (plug &) play
GDPR-certificeringen er en blåstempling af, at vi lever op til lovens krav, men den har tillige forbedret vores digitale produkter markant. Certificeringen sikrer, at vi som leverandør har styr på vores processer – også dem, der ikke direkte omhandler vores kunders personoplysninger. Det øgede fokus på datasikkerhed sidder på rygraden, og det hjælper os med at løfte niveauet i alle led i vores leverancer – og det kommer de danske kommuner til gode.

Fordelen ved at gøre certificering til et krav
For os er det afgørende at kunne levere en revisionserklæring til vores offentlige samarbejdspartnere. Som leverandør af digitale løsninger til det offentlige oplever vi en stigende efterspørgsel på datasikkerhed fra kommunernes IT- og compliance-afdelinger. Dette gælder også eksisterende aftaler – det er efter vores mening helt fair. Det er en omkostning, vi gerne tager.

Kommunerne bør arbejde systematisk med datasikkerhed allerede tidligt i en indkøbsproces. Hvis leverandører ikke kan levere gældende revisorerklæring på at GDPR og processer, der sikrer at GDPR lovgivningens mange krav efterleves, skal kommunerne selv foretage kontrol hos disse databehandlere. Det bliver dyrt for de danske kommuner og regioner – og dermed os alle.

Vi mener, der er indlysende fordele ved at blive certificeret som databehandler, og at kommunerne burde gøre det til et krav. Det er ikke bare en fordel for kommunerne, borgerne og skatteyderne. Det er også en fordel for leverandørerne, for det vil føre til et generelt kvalitetsløft hos deres databehandlere, og dermed forbedre branchen og dens troværdighed. Til alles fordel.

Vi ser, at mange kommuner gør en aktiv indsats på dette område. Der er potentiale i at samarbejde om videndeling på tværs, hvor et fælles sprog og retningslinjer kan være en fordel at etablere. Ligesom vi som virksomhed har forpligtelse til at hæve standarden igennem vores arbejde i klyngeorganisationer eller lignende.

Om IBG ProReact
IBG ProReact udvikler og leverer den digitale platform IBG til socialområdet. IBG står for Interaktiv BorgerGuide og er en app- og skærmbaseret løsning, som anvendes af borgere og medarbejdere på bo- og dagcentre til borgerkommunikation og planlægning.

IBG ProReact er medlem af Welfare Tech. Welfare Tech er partnere i Danish Healthtech.

Læs mere på ibg.social

Foto: IBG ProReact, Jeppe Slot Stauning, Product Manager og partner i IBG ProReact (tv) og Jesper Seedorf Karlberg, direktør for IBG ProReact (th).
Kontakt: Jesper Seedorf Karlberg, direktør, IBG ProReact ApS, +45 3615 0520, jsk@proreact.dk
Af: Jesper Seedorf Karlberg, direktørIBG ProReact og Jeppe Slot Stauning, product manager og partner i IBG ProReact

 

Del gerne

Del på facebook
Del på twitter
Del på linkedin
Del på email