Åke Andersson er informationssikkerhedsansvarlig i PostNord Strålfors. Han bestemmer f.eks., hvem der har adgang til hvad i systemerne, hvad der skal krypteres, og hvordan data lagres.
– Jeg samarbejder med salgsorganisationen om at opfylde alle kundernes krav, fortæller han.
PostNord Strålfors har en række færdige løsninger som f.eks. Mobilfaktura, Dynamisk kommunikation og We Mail, for blot at nævne et par eksempler.
– Her er alle processerne til hver enkelt løsning på plads. Når en kunde køber dem, ved vi, hvordan vi skal håndtere sikkerheden, siger Åke Andersson.
Hvis der er tale om en mere kompleks kundeløsning, er PostNord Strålfors og kunden nødt til at sætte sig ned og definere opgaven sammen.
– Vi har ændret alle vores processer, så de er i overensstemmelse med ISO 27001-reglerne, alle dokumenter, policy, registre og procedurer er gennemgået og dokumenteret, fortæller Åke Andersson.
ISO-certificeringen har gjort alting lettere
Der er mange, der taler om cybersikkerhed i dag, men det har længe været et centralt emne i PostNord Strålfors.
– Siden årsskiftet har vi arbejdet strategisk med at opbygge en compliance-afdeling, der kan håndtere dette på et centralt niveau i organisationen, siger Åke Andersson.
Se alle PostNord Strålfors' certifikater

Alle PostNord Strålfors' forskellige IT-løsninger, der håndterer kundernes data, er i dag certificerede i henhold til informationssikkerhedsstandarden ISO 27001.
– For os betyder det, at det er meget nemmere at opfylde vores kunders krav, fordi deres krav til os i ni ud af 10 tilfælde er baseret på samme standard, siger Åke Andersson og fortsætter:
– ISO er som en lille bibel for os i vores arbejde. Det er noget, som hjælper os med alt, siger Åke Andersson.
Men det var et omfattende arbejde. Det tog PostNord Strålfors omkring 20 måneder at blive certificeret.
– Vi har ændret alle vores processer, så de er i overensstemmelse med ISO 27001-reglerne, alle dokumenter, policy, registre og procedurer er gennemgået og dokumenteret, fortæller Åke Andersson.
ePrivacy-direktivet og GDPR
En af mange forbedringer efter persondataforordningen GDPR er, at alle processer er blevet kigget godt efter i sømmene, og at alle svage led er fjernet. Åke Andersson synes også, at der efter GDPR er sket store forbedringer i forbindelse med aftaler.
– Meget af vores arbejde styres af ISO 27001 og 27002, men efter GDPR indgås der som noget nyt en DPA (Data Processing Agreement – databehandleraftale) med hver enkelt kunde. DPA er et centralt dokument i alle aftaler. Det specificerer, hvad de kræver af os, og hvad vi forventes at levere til dem, siger Åke Andersson og fortsætter:
– Nu har vi gennemgået DPA'erne, og vi har verificeret, at alle medarbejdere har en NDA (Non Disclosure Agreement – fortrolighedsaftale).
Nye regler vil også snart erstatte det gamle ePrivacy-direktiv fra 2002. De nye regler vil supplere GDPR og gælder for både fysiske og juridiske personer.
– Den nye ePrivacy-forordning vil påvirke alle, der har nogen som helst form for elektronisk kommunikation, siger Åke Andersson og peger på kravene om deling af og samtykke til f.eks. cookies.
Der findes mange forskellige regler, der løbende opdateres, og det betyder, at PostNord Strålfors hele tiden er nødt til at opdatere sine rutiner. Åke Andersson giver et andet eksempel:
– Vi har NIS-direktivet, som stiller krav til sikkerheden i netværk og informationssystemer. Det bliver erstattet af NIS2, som omfatter mange flere aktører, der derfor skal overholde direktivet og har fået større krav om kryptering.
– Vi har opbygget vores infrastruktur på samme måde overalt, så vi nemt kan flytte produktionen fra ét fysisk sted til et andet, siger Åke Andersson.
Hvis der sker noget uforudset
Åke Andersson fortæller, at hans job består af rigtig meget skrivebordsarbejde og mange møder. Alligevel er der ikke to dage, der er ens.
– Jeg er meget i dialog med virksomheden. Der er meget, der skal være styr på.
– I vores aftaler med kunderne indgår reguleret revision. Det vil sige, at vi regelmæssigt mødes og følger op på, at alt fungerer, som det skal.
Revisionen kan dreje sig om alt muligt – f.eks. den fysiske sikkerhed, hvordan infrastruktur og informationssikkerhed er opbygget, eller hvordan vores sikre netværk er opbygget.
– Det afhænger simpelthen af, hvad kunden ønsker at vide, siger Åke Andersson.
PostNord Strålfors har også planer parat til brug i forbindelse med både større og mindre uregelmæssigheder.
– Vi har opbygget vores infrastruktur på samme måde overalt, så vi nemt kan flytte produktionen fra ét fysisk sted til et andet, siger Åke Andersson.
– Men vores BCP (Business Continuity Plan) er så veletableret og færdig, at det slet ikke er sikkert, at jeg bliver indblandet, hvis der sker noget.
Åke Andersson informeres til gengæld om de fleste IT-relaterede hændelser. Og skulle der mod forventning indtræffe større problemer, aktiveres PostNord Strålfors' DRP (Disaster Recovery Plan).
– Så har vi fuldt fokus på at sikre og flytte data, så vi hurtigt får gang i virksomheden igen.
GDPR har gjort en stor forskel

Lars Lundström fra PostNord Strålfors beskriver indførelsen af GDPR-reglerne i 2018 som et wakeupcall.
– I dag overvejer alle, hvilke data de har brug for. Sådan har det ikke altid været, siger han.
Lars Lundström er ansvarlig for PostNord Strålfors Nordic Customer Implementation og håndterer mange spørgsmål om, hvordan kunderne skal arbejde med data og arkivering. Han bruger som eksempel kundeservice i virksomheder, som før GDPR kunne have arkiver med en enorm historik – data, som ingen havde brug for.
– Intet blev slettet. Med GDPR er der en standardisering som fundament, og i stedet diskuterer man afvigelser. Resultatet er sundere arkiveringsvaner og bedre datahåndtering, siger han og fortsætter:
– Det grundlæggende er, at vi efter GDPR har været nødt til at ændre vores måde at arbejde på. GDPR stiller rigtig mange krav ud fra et IT- og informationsperspektiv, siger Lars Lundström.