Har innført internkontroll for sikkerhet

Heidi Martens-Lea er informasjonssikkerhetsansvarlig (ISA) og personvernombud i Pindena. For omtrent 4 år siden startet hun på arbeidet med å innføre et system for informasjonssikkerhet. Det var en krevende oppgave som tok godt over et halvt år.
– Vi hadde mye av dokumentene, men det var ikke organisert slik det burde vært. Det var litt krevende å sette seg inn i det, samtidig som jeg gjorde mine daglige arbeidsoppgaver, forklarer Heidi.

Underveis fikk hun hjelp av Rolf Haavik i Habberstad, som har erfaring med å innføre internkontrollsystemer i bedrifter. Han var opptatt å legge sikkerhetsarbeidet på et nivå som er gjennomførbart.
– Rolf hjalp meg å se hvor bra det faktisk kunne bli. Selv om vi hadde databehandleravtale, personvernerklæring og slikt på plass, er det en trygghet å ha organisert arbeidet nærmest som en ISO 27001 standard. Vi har fått mye bedre oversikt og kontroll, mener Heidi.

Gode rutiner for persondata er alfa og omega

Pindena har månedlige sikkerhetsmøter hvor vi går gjennom risikoanalysen og prøver å løse eventuelle saker. Det er alltid rom for forbedring, og hyppige møter gjør at de ansatte alltid har sikkerhet friskt i minne.
– Det kontinuerlige arbeidet med sikkerhet tror jeg er det viktigste vi gjør. Det er tiltakene mot eventuelle sårbarheter vi oppdager som utgjør en forskjell. Som ISA følger jeg ofte med på kurs og webinarer for å holde meg oppdatert og få mer kunnskap, sier Heidi.

Pindena er et lite selskap som ikke har opplevd sikkerhetsproblemer. Det var derfor mye nytt når internkontrollsystem kom på plass. Men etter det Heidi erfarer er det et svært nyttig verktøy for å skape gode rutiner.
– Om noe skulle skje nå, er vi bedre rustet til å bistå med hva det måtte være, smiler hun.

Et påmeldingssystem med person i alle ledd

En av de viktige oppgavene ovenfor kundene er å informere om hvordan man kan beskytte personopplysninger i Pindena. Det gjøres gjennom artikler på hjelpesiden, video, webinar og små hjelpetekster i systemet som “Husk å ikke dele personopplysningene med uvedkommende”. 
– Vi har ikke mulighet til å kontrollere hvilke opplysninger som samles inn i skjema. Derfor har vi en rekke sikkerhetstiltak i systemet som kundene våre kan benytte seg av. Blant annet er det veldig enkelt å legge inn personvernerklæring i systemet, og det er samtykke i alle skjemaer. 

Et av de viktigste tiltakene kundene kan gjøre for å hindre at personopplysninger kommer på avveie, er å aktivere automatisk sletting av deltagerdata. Funksjonen ble laget i 2019, da GDPR var på agendaen hos mange bedrifter.
Et annet viktig og veldig effektivt tiltak er muligheten for å aktivere tofaktorautentisering.
– Vi har hatt et mål å øke bevisstheten hos kundene våre, men til syvende og sist må de selv finne ut hvilke funksjoner de vil ta i bruk, sier Heidi.

Vil du vite mer om Pindena påmeldingssystem og hvordan vi beskytter dine deltagerdata?

Send oss en e-post ved å fylle ut skjema, så hører du fra oss 🙂