I begyndelsen af 2021 fik Solaleh Vogdrup-Schmidt, som er Head of People & Culture and Compliance hos TimeLog, til opgave at forøge virksomhedens GDPR-compliance.
TimeLog havde vækstet over det seneste år og besluttede, at virksomheden skulle være endnu mere moden indenfor datasikkerhed:
“Vores mål var klart: Vi skulle have udarbejdet ISAE-erklæringer, herunder 3000 og 3402, for at forøge vores compliance med GDPR.”
Solaleh Vogdrup-Schmidt
Head of People & Culture and Compliance hos TimeLog
Der var flere grunde til, at TimeLog valgte at skærpe deres fokus på deres niveau af datasikkerhed.
For det første havde Kapitalfonden, der havde investeret i TimeLog, udtrykt et ønske om højere sikkerhed i takt med, at TimeLog vækstede.
Derudover var der en øget efterspørgsel og interesse i TimeLogs datasikkerhed blandt kunderne:
“Der var rigtig mange virksomheder, der stillede de samme spørgsmål omkring, hvordan vi behandlede deres data hos os. Jeg skulle derfor svare på de samme spørgsmål igen og igen, og det stjal meget af min tid.”
Solaleh Vogdrup-Schmidt
For at kunne dokumentere TimeLogs compliance overfor potentielle kunder samt ledelsen ville en ISAE 3402-erklæring være guld værd for Solaleh Vogdrup-Schmidt.
Erklæringen ville også spare hende en masse tid.
For så skulle hun ikke lave dokumentationen fra gang til gang, men ville have den klar på forhånd.
En ISAE-erklæring er en rapport og bliver udarbejdet af en uafhængig revisor, der evaluerer en virksomheds interne kontrolmiljø og processer. Virksomheder bruger ISAE-erklæringer til at demonstrere, at de har effektive kontroller på plads for at kunne håndtere risici og opfylde reguleringsmæssige krav som fx GDPR.
Behovet var stort, men tiden var knap
Solaleh Vogdrup-Schmidt og teamet begyndte at lede efter en løsning, der kunne understøtte deres ISAE 3000-erklæring. Men tiden til at finde denne var knap:
“Jeg var presset på tid, fordi jeg havde en deadline på fire måneder til at få al dokumentation og alle politikker på plads.”
Solaleh Vogdrup-Schmidt
Udover ISAE-erklæringerne var Solaleh Vogdrup-Schmidt på udkig efter en løsning, der generelt kunne styrke det daglige arbejde med GDPR.
Fx var der i stigende grad efterspørgsel fra kunder på, hvordan TimeLogs data i nogle tilfælde blev behandlet udenfor EU’s grænser.
Derfor skulle Solaleh Vogdrup-Schmidt også sikre en TIA (Transfer Impact Assessment).
En TIA (Transfer Impact Assessment) er en proces, hvor man vurderer, hvordan det påvirker datasikkerheden, når man deler personoplysninger med et land uden for EU/EØS. Det handler om at sikre, at persondata er beskyttet, når de sendes til lande, der måske ikke har de samme databeskyttelseslove som EU.
Det var tydeligt for TimeLog, at der var behov for juridisk hjælp, men at det ville kræve store omkostninger at skulle udarbejde ISAE-erklæringerne, lave TIA’er fra bunden og udføre alment GDPR-arbejde.
Derfor begyndte Solaleh Vogdrup-Schimdt at undersøge løsningerne på markedet.
Dokumenter ‘on-demand’ blev afgørende
TimeLog undersøgte forskellige muligheder for at komme i mål med at øge deres modenhedsniveau.
De indså dog hurtigt, at det ville blive for dyrt at benytte juridiske konsulenter, så de begyndte at kigge efter IT-løsninger som alternativ.
Solaleh Vogdrup-Schmidt vidste, at de skulle udarbejde et væld af forskellige GDPR-dokumenter og ledte derfor efter en løsning, der bl.a. kunne bruges til at lave juridisk GDPR-dokumentation.
Det endelige valg faldt på ComplyCloud, da Solaleh Vogdrup-Schmidt så størst værdi for pengene hér.
Derudover så hun ComplyCloud som den eneste løsning på markedet, der automatisk kunne generere juridisk dokumentation:
“Jeg kan se, at vores kunder efterspørger juridisk dokumentation, så jeg har brug for at have dokumenterne i ComplyCloud for at kunne stå stærkere i kundernes øjne.”
Solaleh Vogdrup-Schmidt
Store besparelser
Timelog valgte ComplyCloud som deres GDPR-løsning på grund af flere faktorer:
Udover at kunne styrke Solaleh Vogdrup-Schmidt i sit daglige GDPR-arbejde med at automatisere databehandleraftaler, risikovurderinger og andre vigtige dokumenter, gav løsningen også en tryghed i at overholde lovgivningsmæssige krav.
Med denne standardiserede tilgang kunne de imødekomme kundebehov og opbygge tillid gennem compliance-dokumentation, bl.a. TIA’er:
“Normalt har man brug for advokathjælp for at kunne lave TIA’er, men det koster 50-100.000 kroner at få advokater til at lave en TIA – nu kan jeg selv trække den ud af ComplyCloud. Dét understøtter en stor del af mit compliance-arbejde.”
Solaleh Vogdrup-Schmidt
Solaleh Vogdrup-Schmidt lægger også vægt på den juridiske rådgivning samt antallet af arbejdstimer, som TimeLog sparer ved at bruge ComplyCloud:
“Det er tydeligt, at ComplyCloud er bygget af juridiske eksperter – og dét giver mig en kæmpe ro og selvtillid, at jeg laver mit GDPR-arbejde korrekt. Min vurdering er, at jeg sparer 5 timer om ugen på GDPR-arbejdet ved at bruge ComplyCloud.”
Solaleh Vogdrup-Schmidt
Vil du blive klogere på, hvordan vi også kan hjælpe din organisation med at blive GDPR-compliant? Få sat et møde op med os her.