For Vest Administrationen blev persondataforordningen en katalysator til at få kigget nærmere på forretningen og øge sikkerheden. Det længe ventede kvalitetsstempel kom i efteråret 2020, hvor administrationsvirksomheden fik en ISO27001-certificering – en international standard for, hvordan man som virksomhed kan styre sin informationssikkerhed.
”Med ISO27001 har vi fået en ramme, der giver os overblik over, hvor sikkerheden med fordel kan skærpes. Samtidig har vi fået værktøjerne til at sikre, at der hele tiden er styr på de interne processer,” siger Kent Friis Petersen, direktør i Vest Administrationen.
Han sammenligner ISO med det at køre over for grønt lys.
”Du begrænser din risiko dér, hvor det er farligt. Du sikrer, at der er grønt lys, der hvor du gerne vil køre.”
Fordelen ved at tage udgangspunkt i en international standard er ifølge Vest Administrationen, at der er tale om en gennemarbejdet ramme, hvor virksomheden ikke selv skal opfinde den dybe tallerken. Med ISO27001 kommer man hele vejen rundt om sin forretning og det, som skaber værdi for både virksomheden selv og især kunderne.
Sikkerhed og tryghed
En øget sikkerhed til gavn for kunderne har været det vigtigste mål.
”At være en god ejendomsadministrator handler om at skabe tryghed og sikkerhed for kunderne. Som kunde overlader man et stort ansvar til sin ejendomsadministrator, så der skal være styr på de interne processer. Nu har vi dokumentation for, at vi har styr på alle processer helt ned i detaljen,” siger Kent Friis Petersen.
Interne processer kan for eksempel handle om, hvordan man som virksomhed håndterer personfølsomme oplysninger, der kommer ind via e-mails. Her har Vest Administrationen fået oprettet en særlig mappe. De ansatte vurderer løbende, hvilke mails der skal arkiveres her.
Det kan også handle om, hvordan man som virksomhed håndterer hvidvaskloven, eller hvordan man øger sikkerheden på sine servere. Hos Vest Administrationen fandt de hurtigt ud af, at netop serverne var sårbare over for ubudne gæster.
”Vi har valgt at sætte en lille lås på vores server med kode, efter at vi blev gjort opmærksom på, at folk udefra nemt kan tappe information fra serveren. Det har vi aldrig tænkt over. Det næste vi kommer til at se på, er vores netstik. Indtil nu har vores gæster frit kunnet få adgang. Fremover vil vores gæster ikke kunne koble på vores servere, medmindre de er godkendt,” siger Kent Friis Petersen.
Kom på kursus
Huller i osten
Hvor ISO27001 beskriver den overordnede ramme til at få styr på sine risici, har Vest Administrationen hentet inspiration i ISO27002, som er en vejledning til, hvilke sikkerhedsforanstaltninger en organisation kan vælge at indføre. ISO27002 oplister 15 områder med 114 kontroller, som virksomhederne kan tage fat på. Det er op til den enkelte virksomhed at udvælge de områder fra kataloget, som giver mening – og det kan være meget individuelt, påpeger Kent Friis Petersen.
”At finde ud af, hvilke kontroller, der skal indgå i den enkelte virksomhed, tager tid. Som virksomhed har vi vurderet vores processer og forretning ud fra en risikovurdering: Hvad er vigtigt for vores kunder og vores virksomhed? Hvad er risikoen og konsekvensen, hvis vi ikke foretager os noget, og hvad koster det? Har vi ikke kunnet acceptere risikoen, har vi indført en procedure.”
Ud over procedurer for personfølsomme e-mails har Vest Administrationen blandt meget andet også indført procedure for, hvordan medarbejdere skal reagere, hvis en mappe med dokumenter er blevet slettet i det interne system ved en fejl.
”Først og fremmest får vi en advarsel, så vi kan nå at gendanne mappen. Samtidig har vi mulighed for at registrere, at der er sket en fejl. Sker samme fejl mange gange i løbet af en måned, bør vi måske overveje, om vi kan gøre noget for at forbedre processen. Derfor er det også en måde for os at skabe klarhed over, hvor der er huller i osten.”
Gør vi, som vi siger?
Endelig har Vest Administrationen indført løbende kontroller af, at de mange nye processer bliver fulgt. Kontrollerne foretages af udvalgte medarbejdere hen over året og kaldes for en intern audit. Den interne auditors opgave er at sikre, at systemet er effektivt, og at ledelsen holder fokus. Men som en del af certificeringen følger også en uvildig, ekstern audit.
”Den eksterne auditor kommer forbi og kontrollerer systemet. Auditoren udvælger nogle nedslagspunkter og taler med et par af medarbejderne for at tjekke, om vi kan dokumentere, at vi fortsat gør, som vi siger,” oplyser Kent Friis Petersen.
Gode råd til branchen
- Overvej at begynde med ISO9001, før ISO27001. ISO9001 er en certificering inden for kvalitetsledelse, der lægger vægt på blandt andet effektivitet og kundetilfredshed igennem optimerede processer
- Igangsæt en planlægningsproces i ledelsen
- Overvej en ekstern konsulent, som kan være tovholder og støtte for ledelsen
- Kontakt gerne (tidligt) et bureau, som efterfølgende kan certificere jeres ledelsessystem
- Sæt tid af og evaluer løbende, om processen er, som den skal være. Vest Administrationens proces har taget ca. 2½ år.