Virksomheder har siden 2018 været forpligtet til at dokumentere deres behandling af personoplysninger i henhold til GDPR. Og i starten var der fart på: Informationsmøder, udformning af persondatapolitikker, nye processer og procedurer, databehandleraftaler og ikke mindst øjenkontakt med ledelsen, som også skulle prioritere indsatsen. Mange virksomheder kom også i mål – eller næsten i mål – med deres første implementering af GDPR, selvom det måtte ske i en tid, hvor ingen rigtigt for alvor kunne svare konkret på så meget om implementering.

Men GDPR var og er ikke en engangsindsats. Selvom baseline og intentionerne kom på plads, er der i mange virksomheder opstået en kløft mellem det lovpligtige og daglig praksis. Er der blevet lavet et årshjul for arbejdet og den jævnlige ajourføring? Er der en proces, som sikrer, at nye informationsaktiver med persondata bliver identificeret? Laves der tilsyn med de involverede databehandlere? Er der ført kontrol med sletteprocedurer?

Mange steder er svaret nej. Der er ikke et kontinuerligt arbejde med GDPR. Resultatet er “papir-compliance”: Alt ser pænt ud på overfladen, men det vil ikke holde i praksis. Compliance-indsatsen er at krydse fingre for, at ingen kommer på besøg og stiller spørgsmål. Derfor er der behov for en tilgang, hvor GDPR ikke er en særskilt øvelse, men en integreret del af hverdagen.

Mange opfatter måske stadig GDPR som et reguleringsmæssigt vadehav, men det gør ikke GDPR ret. Det er en nødvendig byrde, der heldigvis smitter grundigt af på andre dele af forretningen. Faktisk kan en struktureret tilgang til GDPR forbedre ikke bare det nødvendige overblik over systemer og persondata, men også virksomhedens informationssikkerhed og risikostyring. Det er med til at underbygge tilliden hos kunder, samarbejdspartnere og myndigheder.

Ja, styrke hele forretningen med gennemsigtighed og kontrol.
Arbejdet med GDPR handler nemlig ikke kun om at have dokumentation – men om at bruge den aktivt. Præcis som i enhver ledelsesstandard. GDPR bliver først til compliance, når registreringer omsættes til løbende handling og kobles med audit, leverandørstyring og risikovurdering.

Måske det er tid til at kigge på at strukturere GDPR-arbejdet mere, så der opnås et samlet overblik og værdifuld læring i organisationen?

Administrér procedurer, roller og opgaver ét sted – med tydelige sammenhænge mellem politik, praksis og ansvar.
Etablér en struktur til det lovpligtige Artikel 30 register, hvor informationsaktiver, systemer og risikovurderinger løbende opdateres.
Gem al dokumentation med automatisk versionsstyring og tydelig historik – og gør det søgbart og tilgængeligt for relevante medarbejdere.
Tildel ansvar og opgaver direkte i IPW, og følg op med automatiske notifikationer, så intet bliver glemt – heller ikke årshjul og regelmæssige revurderinger.
Registrér hændelser og afvigelser, og kobl dem direkte til forbedringsforslag og opdaterede procedurer.

Når der opstår fejl og afvigelser, er en grundig årsagsanalyse afgørende for at sikre, at problemerne ikke gentager sig. Men selve analysen er kun første skridt. Den virkelige værdi ligger i, hvordan du som kvalitetsansvarlig arbejder med outputtet: hvordan du identificerer løsninger, sikrer sporbarhed og implementerer handlingsplaner, der fører til varige forbedringer.

Så lad os se på, hvordan du bedst kan omsætte resultater fra en årsagsanalyse til målrettet handling – og hvordan IPW kan understøtte processen.

Det er selvfølgelig, set fra min stol som senior solution specialist, indlysende smart at integrere handlingsplaner på årsagsanalyse i IPW-systemet.

1. For det første sikrer den automatiserede sporbarhed, at processen på konkrete, handlingsorienterede indsatser bliver gennemført og uden risiko for, at opgaver går tabt – med en deadline, en entydig ansvarlig, og automatiske notifikationer og opgavelister, hjælper systemet dig med at følge op på de sager, hvor fremskridt mangler, og ved at vise de relevante lister frem af opgaver der på en eller anden grund får brug for opmærksomhed.
2. For det andet kan du integrere risikovurdering på foreslåede løsninger. Du kan opsætte risikovurdering før og efter løsningen, så du kan sikre dokumentation af risikoreduktion over tid. Du kan også integrere opfølgning, så der følges op på, om løsninger faktisk har virket.

Der er ikke en decideret proces på årsagsanalyse i IPW, da analysen kan gennemføres på mange forskellige måder og med forskellige metoder. Men uanset den valgte metode kan årsagsanalysen og den relaterede handlingsplan ligge inde i systemet på din registrering, så du hele tiden har adgang til de relevante oplysninger.

En årsagsanalyse bør selvsagt ikke være en statisk øvelse, men en dynamisk proces, der fører til varige forbedringer. Og der skal naturligvis følges op med data for at sikre, at en løsning faktisk virker – fx ved at opsætte KPI’er for forbedringer, automatisere dataindsamling fra sensorer eller systemer og skaffe realtidsindsigt i kvalitetsniveauet.

Men pointen er enkel: Der er guldgruber at udnytte ved at være rageknivsskarp på, hvordan årsagsanalyse kan blive en integreret del af dit kvalitetsarbejde.

Hvilke strategiske grundregler bør ethvert ledelsessystem hvile på? Hvad er vigtigst at eksekvere på undervejs i et implementeringsforløb – og hvad gør du klogt i at undgå?

Det er spørgsmål, jeg godt gad have haft what-to-do og what-not-to-do svar på forud for de implementeringer, jeg har stået til måls for. Så her får du mine gode (og mindre gode) erfaringer med, hvordan du holder fast i vejgrebet på jeres proces.

• BUSINESS CASE – Beskriv krav, forventninger, succeskriterier og risici ved udskiftning af system. Det kan blive et godt opslagsværk til senere brug.
• INVITÈR LEDELSEN TIL STYREGRUPPEMØDE – Fremsend din business case forud for mødet og afstem dine forventninger til mødets udfald.
• GODKENDELSE – Når projektet er godkendt, så sørg for at holde ledelsen op på de ressourcer, der er givet til projektet.

Mit bedste råd i denne fase er nok; vent ikke for længe med at gå i gang. Det er nu, du har momentum og milepælsfornemmelser.

Et ledelsessystem kan meget, og der skal tages stilling til indhold, relevans og til, hvordan det optimeres uden at inkludere unødvendige elementer:

• PROJEKTGRUPPE – Brug tid på at finde ud af, hvordan systemet skal bygges op. Det er vigtigt, at strukturen er på plads.
• BRUG IPW – Introkurser og sparring er vigtigt i starten. Jo bedre forberedelse, desto nemmere bliver selve arbejdet.
• GÅ PÅ OPDAGELSE I SYSTEMET– Prøv systemet af og lær funktionerne bedre at kende. Det er nemmere at gøre, når du er i opbygningsfasen.
• TÆNK PÅ BRUGERNE – Jo bedre opsætning du kan lave til brugerne, jo nemmere får du ved at lave en succesfuld implementering sidenhen.
• INVOLVÈR DINE INTERESSENTER – Spørg afdelingerne, hvordan de vil have opsætningen (her er det en god idé først at have nogenlunde styr på overblikmenuer, dokumentlister mv.)

Jeg har også erfaret, hvor stor betydning brugerinvolvering har for at øge accepten af det nye system og mindske modstand mod forandringer. Det er, groft sagt, afgørende at få så mange som muligt i mål.

DO’S

• Forberedelse er altafgørende for succes!
• Vær realistisk i din tidshorisont.
• Inddrag afdelinger, så de kan medskabe deres egen platform
• Tag elefanten i bidder. Opdel implementeringen i faser (dokumentstyring, interne afvigelser, leverandørstyring, reklamationsstyring, kompetencestyring, datavisualisering etc.

DONT’S

• Det er svært at komme tilbage med ’Kan jeg få flere penge, tak.’ Husk at sætte lidt ekstra af til implementering. Hvorfor? Fordi du får brug for et klippekort på support den første tid.
• Forsøg ikke at lege helt! Vær obs på at uddelegere opgaver.
• Sørg for, at flere i organisationen kan ændre/udvikle i systemet. En opsigelse kan skabe akut mangel på ressourcer.
• Brugergrupper ER vigtige. Det er træls at lave noget fundamentalt om sidenhen.

Og så bare lige: Rigtig god fornøjelse med at holde projektet i hånden. Husk, det er en langsigtet indsats, der kræver tålmodighed, opbakning og stor involvering af brugerne (det havde jeg lige brug for at gentage), inden I sammen surfer succesfuldt hen over målstregen.

Der er nok af udfordringer at få øje på og forholde sig til i det nye år, som vil påvirke hele virksomheden ret markant. Så det giver mening at træde et skridt tilbage og afklare prioriteterne, mens der stadig er tid.

Hvad skal der ske med kvalitetsledelsen? Hvad er det vigtigste, vi skal tage stilling til – og hvad skal vi gøre ved det?

På den store 2025-dagsorden er der særligt tre hovedtemaer:

1. Stigende lovkrav til compliance-workflow

2. Ny, transformerende teknologi vælter ind over os

3. Krav om bæredygtighed vil kun vokse

Så hvad skal du prioritere? (hint: En digital strategi er vigtigere end nogensinde)

Det spørgsmål, du vil stille dig selv, er naturligvis: Har du nok ressourcer? Har medarbejderne de kompetencer, der skal til for at navigere i en bæredygtighedsfokuseret fremtid?

Og selvfølgelig handler det om ressourcer. Men det er mere end det.

Fordi både lovkrav og mængden af data vokser så stærkt, er dit faglige ansvar ikke længere kun kvalitetsledelse. Det er også at tage rollen som en datadrevet, strategisk leder, der kalibrerer perspektiverne for, hvordan AI-løsninger kan styrke virksomhedens kvalitetskultur:

1# Hav enøjet fokus på kerneopgaven

Som absolut topprioritet. Tilpas strategier til at udnytte teknologiens potentiale på virksomhedens kerneprocesser.

Tænk over:

• Hvad er de vigtigste kerneopgaver i vores forretning?
• Hvad er egentlig vores digitale strategi?
• Hvad kan vi lære af data – anvender vi vores data værdifuldt?

2# Tag aktion på god risikoledelse

Også supervigtigt. Husk: Digitaliseret compliance reducerer risikoen for fejl, identificerer risici før de opstår, beskytter data og gør det muligt at håndtere dem effektivt.

Tænk over:

• Hvor er de største trusler mod kvalitet og compliance?
• Hvordan udnytter vi teknologi til at samle data på tværs af systemer?
• Hvordan skaber vi awareness blandt medarbejderne om hacking, phishing og datalækager?

3# Tilpas procedurerne

Ledestjernen er at overholde kvalitetskrav uden unødig kompleksitet. Følger I ISO-standarderne er I godt på vej, for så er I allerede inde i rutinen og processerne.

Tænk over:

• Har vi taget stilling til de praktiske konsekvenser af stigende dokumentationskrav?
• Hvordan skaber vi transparens i vores praksisser for datahåndtering, arbejdsforhold og miljøpåvirkning?
• Hvilke gevinster opnår vi med digitale procedurer?

Hent artiklen som pdf

Mange virksomheder er allerede godt i gang med grøn omstilling, mens andre lige nu tager deres første skridt mod en bæredygtig fremtid – presset af bl.a. CSRD-direktivet og kunder. Uanset hvor de er i processen, har de ESG-ansvarlige én ting til fælles: De kæmper med at få hverdagen til at hænge sammen med de ambitiøse bæredygtighedsmål.

I denne guide fortæller Senior Solution Specialist, Anton Weijsenfeld, om, hvordan din virksomhed kan håndtere nogle af de udfordringer, der følger med grøn omstilling.

Bliv klogere på, hvordan I kan tage kontrol over jeres bæredygtighedsinitiativer:

ESG/Bæredygtighed og IPW

Der er næppe tvivl om, at it-sikkerhed er blevet mere aktuelt end nogensinde. Vi er dybt afhængige af it og vi er derfor også potentielt sårbare, når et stigende antal mennesker med onde hensigter vil forsøge at ramme os. Derfor efterspørger it-ansvarlige, hvordan de kan bruge deres IPW-system som et redskab til arbejdet med it-sikkerhed. De er også nysgerrige på, hvordan vi selv, internt i IPW, arbejder med it-sikkerhed.

Hvorfor ISO 27001? Kan man ikke bare have en god it-sikkerhedsprocedure?

Jo, det kan man sikkert. Men der er mange – og gode – grunde til at arbejde hen imod en ISO 27001-certificering. ISO 27001 er en international standard, som ikke kun fokuserer på det tekniske – hardware og software – men også på mennesker og processer. Teknisk sikkerhed er meget lidt værd, hvis der ikke er kontrol over det menneskelige aspekt.

Hvordan anvender vi vores software til ISO 27001?

Hos IPW er vi selv godt i vej med at træde ombord i ISO 27001. Som virksomhed skal vi certificeres i ISO 27001 i 2024 som erstatning for vores nuværende ISAE 3402.

Vi har valgt ISO 27001, fordi den er globalt anerkendt best practice, og er det naturlige næste skridt for os som moden organisation. Det øger tilliden fra kunder og samarbejdspartnere og er et godt signal overfor især større organisationer.

Som andre virksomheder, der aktivt arbejder med it-sikkerhed, skal vi have et fleksibelt informationssikkerhedssystem, der sikrer, at vi ikke kun har kontrol og er i fremdrift, men at vi også kan dokumentere begge dele.

Som alle øvrige ledelsesstandarder er reviderede politikker, producerer og vejledninger et nødvendigt udgangspunkt for ISO 27001. Alle redskaber til dette findes ud af boksen i vores software. Det er sådan, vi entydigt dokumenterer og kommunikerer vores regler om, hvad man må og ikke må, hvad enten det handler om kodeordspolitik, opbevaring af data, håndtering af persondata eller anvendelse af tredjeparters løsninger.

Præcis som med de øvrige ledelsesstandarder, så skal vi ikke kun udstikke regler. Vi skal også kontrollere, at de efterleves og har den tiltænkte effekt, og vi skal løbende evaluere, om de skal udvides med yderligere tiltag.

Registrering af findings

Til dette formål har vi bygget en findings-formular, hvor vi registrerer fundne svagheder eller måske blot observationer, der kan styrke planen yderligere. Hvad har vi fundet hvor, hvem er ansvarlig for at rette op på det, og inden hvornår skal det udbedres?

Findings-formularen hjælper til at identificere områder, der kræver forbedring, og vi kan samtidig dokumentere, at vi auditerer vores procedurer med jævne mellemrum og håndterer eventuelle udfald.

Overblik over informationsaktiver

I arbejdet med it-sikkerhed er det nødvendigt at få det fulde overblik over virksomhedens informationsaktiver – altså groft sagt alle de systemer, hvori virksomhedens data opbevares og bearbejdes.

Hertil har vi bygget en formular til informationsaktiver. Her kan vi blandt andet vurdere det enkelte informationsaktivs score på de centrale begreber i it-sikkerhed: Fortrolighed, integritet og tilgængelighed. På baggrund af blandt andet dette, kan vi nemt identificere og dokumentere, hvilke informationsaktiver der er kritiske forretningssystemer. Det er også her, vi dokumenterer det interne ejerskab af informationsaktivet, har kobling til vores leverandørstyring, leverandørevaluering, vores risikovurdering og ikke mindst eventuelle GDPR artikel 30-registreringer på informationaktivet.

Dokumentation af SoA’en

Har man kendskab til ISO 27001, så vil man også være stødt på begrebet SoA – Statement of Applicability. Dette er listen over centrale it-sikkerhedsrelaterede kontroller, man skal have taget stilling til og – med få undtagelser – have implementeret.

Dette er også oprettet som en formular i vores eget ISMS. Her har listet alle SoA’ens punkter sammen med vurderingen af vores implementeringsgrad af det enkelte punkt. For at gøre det nemt at auditere er hvert enkelt punkt også knyttet sammen med alle ressourcer, der kan dokumentere vores implementering. Det kan fx være links til relevante politikker og producerer, eller være links til de andre formularer, hvor kontrollen håndteres og dokumenteres.

Awarenesstræning

Et eksempel på en sådan formular er planlægning og dokumentation af awarenesstræning. I ISO 27001 – og for den sags skyld enhver it-sikkerhedsstandard – kommer man
ikke uden om struktureret at arbejde med træning af medarbejderne. Med
registreringerne i vores formular til dette kan vi dokumentere ikke kun den allerede
udførte træning, men også give et samlet overblik over planerne for det kommende år.
Inklusive beskrivelse af træningen, hvem den er tiltænkt og hvem der er ansvarlig for
udførelse.

Samlet plan for interne og eksterne audits

Noget tilsvarende gælder for auditering. Heller ikke her adskiller it-sikkerhedsarbejdet sig fra øvrige ledelsesstandarder. Der skal løbende auditeres både internt og eksternt, og det er nødvendigt at have en dokumenteret plan for dette. Dette etableres også nemt som en formular i IPW, så det kan vises, at årets auditarbejde spænder bredt over itsikkerhedsarbejdets forskellige områder. Der er også her et overskueligt overblik over alle de forskellige typer ekstern auditering, der foretages, hvad enten det er auditbesøg fra kunder, vores eksterne samarbejdspartnere til sikkerhedsaudit, penetrationstest eller ekstern audit af vores egne leverandører. Dine audits også være kilden til findings, der skal viderebearbejdes.

Risikostyring på informationsaktiver

Som du måske kan fornemme, indeholder IPWs ISMS mange elementer. Dette er uundgåeligt i ISO 27001. En sidste ting, jeg også bør fremhæve, er formularen til
risikostyring. Risikostyring er et afgørende element i arbejdet med it-sikkerhed. For at etablere tilstrækkelige kontroller, er du nødt til at overveje, hvilke risici der findes.
Hos os er risikostyringen især knyttet til informationsaktiverne. Hvad er for eksempel risikoen, og hvordan håndterer vi det, hvis Microsoft 365 eller vores datacenter ikke er
tilgængeligt eller bliver kompromitteret.

En god kilde til inspiration til risici er naturligvis at kigge på tidligere sikkerhedshændelser. Også indsamlingen af sikkerhedshændelser – og deres efterfølgende behandling – kan
naurligvis bygges i IPW-systemet.