Så säkerställer Solid Försäkring sitt dataskydd med itm8

 Solid Försäkring 

Dataskydd som tjänst - ett flexibelt och nära samarbete 

Många företag och organisationer måste enlig lag ha ett dataskyddsombud, men istället för att anställa ett valde Solid Försäkring en annan väg. Här delar bolagets Head of Legal Jonatan Heberlein med sig av sina erfarenheter av att samarbeta med en extern part kring sitt dataskydd.  

Kunden 

Solid Försäkring är ett av Nordens ledande nischförsäkringsbolag inom sakförsäkringar med segmenten Produkt, Trygghet och Assistans. Kunderna är framför allt privatpersoner som köper produkter eller tjänster. 

”Vi brukar säga att våra försäkringar är ovanligt okrångliga, ” säger Jonatan Heberlein. ”Enkla att förstå och teckna, utformade efter kundens behov.”

Jonatan har bland annat hand om bolagets avtal med samarbetspartners och leverantörer och arbetar även med dataskyddsfrågor. 

Utmaningen 

Säkerställa kundernas integritet 

Dataskydd handlar om att säkerställa att alla registrerade personers rättigheter tillvaratas genom att deras personuppgifter hanteras på ett säkert sätt – vilket inte minst innebär att säkerställa att dataskyddsförordningen GDPR efterlevs. 

Företag och organisationer som behandlar personuppgifter i stor omfattning måste enligt GDPR ha ett utsett dataskyddsombud - även kallat Data Protection Officer (DPO) - som också ska registreras hos integritetsskyddsmyndigheten (IMY). DPO:ns huvudansvar är enkelt uttryckt att övervaka att GDPR efterlevs och att på ett oberoende och självständigt sätt i bestämma för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Utöver detta ska DPO:n säkerställa att de registrerades rättigheter tillvaratas samt ge råd och stöd till organisationen i olika personuppgiftsfrågor. 

I praktiken sker detta genom att DPO:n samlar in information om hur organisationen behandlar personuppgifter och kontrollerar att organisationen följer bestämmelser och interna styrdokument. I rollen ingår också att bedöma konsekvenserna av att behandla olika personuppgifter. 

”Dataskyddsansvaret innebär ett ständigt arbete med att hålla sig ajour med nya regler och praxis,” säger Jonatan. 

En del företag anställer en egen DPO, som av resursskäl ofta får en delad roll som också omfattar ett personuppgiftsansvar.  

”Men det är inte optimalt att ha ansvar för datahanteringen och samtidigt bevaka den,” konstaterar Jonatan och tillägger att det är lite som att granska sig själv och samtidigt agera opartiskt. Med andra ord blir en delad roll problematisk med tanke på kravet på att en DPO ska verka oberoende och självständigt granska bolagets efterlevnad av dataskyddsreglerna.  

Det var delvis mot bakgrund av detta som Solid Försäkring valde att gå en annan väg: att köpa in dataskyddskonsulttjänster, inklusive DPO-rollen, som en extern tjänst. På så vis skulle bolaget erhålla en lösning som tryggar DPOs oberoende och samtidigt uppnå resurseffektivitet.   

Lösningen 

Itm8s Dataskyddstjänster 

Kompletterar Solids kompetens  

Efter att tidigare haft tillgång till en DPO inom koncernen som Solid Försäkring tillhörde, och under en tid ha provat på en extern DPO, uppstod behovet av en tjänst som var mer anpassad till bolagets specifika behov. Och det var här itm8 kom in i bilden. 

itm8 kompletterade bolagets interna resurser med sin erfarenhet på flera områden: governance, informationssäkerhet, tekniska lösningar och verktyg. 

Jonatan: ”Jag uppskattar verkligen itm8:s lyhördhet och förståelse för verksamhetens behov och förutsättningar. De arbetar proaktivt och hittar lämpliga lösningar. Och de skalar upp eller ned sin insats utifrån vad som faktiskt behövs.” 

Förtroendet har byggts upp successivt och resulterat i ett nära samarbete. Det märks inte minst i itm8:s roll som rådgivare och bollplank för Solid Försäkrings avtalsansvariga. ”Kommunikationen mellan itm8 och Solid Försäkring har varit snabb och direkt,” säger Jens Johansson, konsult på itm8 och registrerad DPO för Solid Försäkring . ”Ett första steg är att lära känna verksamheten och sedan föreslås förbättringar.” 

Jonatan Heberlein menar att itm8 har anpassat sig till varje enskild medarbetare och dess förkunskaper, och därigenom lyckats tillgodose organisationens olika behov och krav.

Tydliga ansvar och hög medvetenhet i organisationen

 Så vilka lärdomar kan han dela med sig av när det gäller dataskydd? 

”Det gäller att ha öppet sinne och lära sig under arbetets gång. Att ständig förbättra sig och anpassa sig till det som sker.”

En annan framgångsfaktor var att de lade så mycket tid på att diskutera rollbeskrivningen och sätta rätt förväntningar. ”Alla hade en gemensam bild av tjänsten vilket gjorde onboardingen smidig.”

”Ansvarsfördelningen mellan DPO, personuppgiftsansvarig och extern dataskyddsspecialist (DPS) behöver vara tydligt definierad, bland annat eftersom respektive roll har olika intressen att beakta”, säger Hannes Edström, även han konsult på itm8 och extern DPS för Solid Försäkring. ”Det ska inte råda några oklarheter kring respektive rolls uppdrag, och om vem som ska svara på vad.”

Jonatan betonar att dataskyddet fungerar först när alla i verksamheten är medvetna om vad som krävs av dem och hur processen för dataskydd fungerar. När medarbetarna är med på tåget kan de be om hjälp i rätt läge och fånga upp riskerna i tid.

”Dataskyddet behöver genomsyra hela organisationen och ständigt vara på tapeten. Ställ den kritiska frågan: har vi lyckats implementera GDPR i våra processer?” 

Hannes Edström förklarar att en målsättning för itm8 inom DPO- och som i hans fall DPS-rollen, har varit att synas ute bland medarbetarna och att lära känna organisationen. Delta i möten, finnas på Teams och hjälpa till med utbildning.

Jonatan summerar: ”Nu har vi har en stabil process och en beprövad metodik som förhoppningsvis fungerar i de flesta lägen. Det är en trygghet.”