Ålhytta: Sikkerhet og GDPR på hyttetur

| minutter å lese

Bakgrunn for prosjektet 

Ålhytta produserer hytter som gjennom arkitekturen bringer oss nærmere naturen. Bedriften har vokst de siste årene, og hadde behov for å implementere en helhetlig systemstøtte (ERP, CRM og prosjektstyring). Dette innebar blant annet vurdering av IT-drift og support, samt etablering av styringsdokumentasjon for å vise at de etterlever GDPR-lovgivningen. Prosjektet foregikk med digitalt samarbeid mellom Ål og Stavanger, samtidig som andre deler av prosjektet hadde prosjektdeltagere i Oslo. 

Før dette prosjektet startet, var det allerede gjort en gjennomgang av salgsprosessen, produksjonsprosessen og prosjektgjennomføring. Prosjektets mandat ble derfor å utarbeide konsept for helhetlig systemstøtte, samt se på økonomiske konsekvenser ved ulike valg​ gjennom å verifisere behov og dagens data/applikasjonsarkitektur, vurdere muligheter og anbefale veivalg.  

Hva bisto Sopra Steria med 

Sopra Steria utarbeidet sammen med Ålhytta, etterlevelsesdokumentasjon for personvern og informasjonssikkerhet. Dette innebar overordnet styringssystem (internkontroll), utkast til behandlingsprotokoll og intern personvernerklæring. Vi bidro også med intern policy for informasjonssikkerhet, ga generell rådgivning og bevisstgjorde ansatte gjennom workshops. Prosjektet hadde en risikobasert tilnærming. Det vil si at personopplysninger skal beskyttes etter risiko, for å sikre personopplysningenes konfidensialitet, tilgjengelighet og integritet. 

Hvordan skapte dette verdi for kunden 

Prosjektet het «Slik gjer me det i Ålhytta», og endte opp i en anbefaling for fremtidens systemportefølje. Dette innebar analyse av teknologi, økonomi og prosesser 

Ålhytta fikk altså støtte til å systematisere personvern- og informasjonssikkerhetsarbeidet sitt gjennom et overordnet styringssystem. De fikk bedre oversikt over sine behandlingsaktiviteter (hvordan de behandler personvernopplysninger), tydelig oppgave- og rollefordeling, bedre tilgangsstyring og tiltak for å redusere risiko.  

Å ha en behandlingsprotokoll er lovfestet i personopplysningsloven artikkel 30, og tiltakene gjorde at Ålhyttaetterlever lovpålagte krav. Kundene kan med dette være trygge på at de får oppfylt rettighetene sine 

De ansatte i Ålhyttahar fått anledning til å reflektere over egen arbeidshverdag – og komme med innspill på forbedring av rutiner som reduserer risikoen for brudd på sikkerhets- og GDPR-lovgivning. Ansatte har fått større forståelse for, og blitt mer bevisste på egne arbeidsprosesser, for eksempel ved utveksling av dokumenter internt. Prosjektet førte til bedre oversikt, bedre struktur, og lettere tilgang til lik informasjon. 

Etter endt prosjekt kunne Ålhytta selv forvalte sitt eget styringssystem med trygg kompetanse i egen organisasjon.  

Fakta 

  • Ålhytta tilbyr et modulsystem som gjør at du kan skreddersy din egen hytte til din tomt. I en kåring utført av Morgenbladet i forbindelse med årtusenskiftet, ble Ålhytta kåret til Norges 8. viktigste byggverk. Hovedkontoret og fabrikken befinner seg i Ål og selskapet har rundt 45 ansatte.  

  • Sopra Steria har levert tjenester knyttet til GDPR, informasjonssikkerhet, internkontroll, behandlingsprotokoll og personvernrådgivning. Prosjektet var en del av et større prosjekt innen digitalisering og helhetlig systemstøtte (ERP). 

 Bildene i saken er fra Ålhytta

Se alle prosjektene til Sopra Steria

Se alle