“Complychain gav os komplet compliance overblik og betydelig tidsbesparelse” - Plan2Learn

"Tag Complychain i brug hvis du er en lille til mellemstor virksomhed med eksisterende ISAE 3402 og 3000 krav eller skal til at i gang med egentlig certificering. Har svært ved at se et lettere og mere effektivt redskab til denne rejse for virksomheder med den størrelse og i gang med denne proces."

Om Plan2Learn

Plan2Learn er en danskudviklet læringsstyringsplatform (LMS), som samler al kursus-administration, e-learning, onboarding og in-person-arrangementer i ét automatiseret workflow. Med digitale læringsmoduler, automatiske påmindelser og avanceret rapportering giver systemet både private virksomheder og offentlige organisationer fuld kontrol og overblik over deres læringsaktiviteter. Over én million brugere er aktive i platformen, og al data hostes on-premise i Danmark med årlige ISAE-revisioner.

Udfordringen.

Da compliancekravene begyndte at vokse eksplosivt, blev de reelt et license-to-operate for Plan2Learn. Arbejdet var spredt ud i talrige regneark, og det var tidskrævende at holde styr på seneste version af kontroller, forbedringsopgaver og DBA-aftaler. Kun et lille team kunne afsætte tid til opgaven, og det endte ofte med at trække fokus væk fra den daglige drift.

"Excel-setuppet blev mere og mere komplekst, og databehandleraftalerne på tværs af kunder var en stigende hovedpine." - Bertel Grau, Head of IT, Plan2Learn

Derfor valgte vi Complychain.

Teamet ledte efter et værktøj, som var lige så enkelt at gå til som deres nuværende regneark - men som samtidig kunne håndtere både ISAE 3402/3000, ISO 27001:2022 og de kommende NIS2-krav. Complychain skilte sig ud ved at gøre alt compliancearbejdet tilgængeligt i én samlet oversigt og samtidig tilbyde automatiserede kontroller, klare deadlines og en vision om indbyggede AI-hjælpeværktøjer.

Fra opstart til hverdag.

On-boardingen begyndte med en grundig indtastning af det eksisterende ISO-rammeværk. Men så snart data var importeret, stod gevinsterne tydeligt frem:

• Et fælles sandhedsgrundlag: Revisoren fik direkte adgang og kunne følge kontroller og evidens ét sted

  
  

• Nem status: Dashboards viste straks, hvor der manglede handling, og hvilke opgaver der stod for at udløbe: "Efter tastearbejdet var det let at bruge til kontroludførsel samt se, hvor hullerne i osten var."

  
  

• Central dokumentstyring: OneDrive-links sikrede, at alle arbejdede med seneste versioner.

Hverdagen med Complychain.

I det daglige kredser arbejdet hos PLan2Learn om fire nøglemoduler, og Bobby Brix og Bertel Grau forklarer selv, hvorfor netup disse et blevet uundværlige:

Objekter

"Objekterne - fordi det er centralt at have et arkiv for vores aktiver og leverandører" fortæller de. Med ét samlet register kan teamet hurtigt finde frem til alt fra server-ejere til underdatabehandlere, og dét sparer tid hver gang der skal hentes dokumentation.

Dokumenter

Når politikker, procedurer og kontrakter skal opdateres, slipper de nu for at lede efter den rigtige fil: "Dokumenter - linker til vores OneDrive samt eksplicitte kontroller, så det altid er lige ved hånden og nyeste version" forklarer Plan2Learn. Version styringen er dermed indbygget i hverdagen.

Frameworks

For at holde styr på både ISAE 3402 og 3000 bruger de Complychains frameworks: "ISAE 3402 og 3000 gennemført i Complychain med fuld SoA-coverage. Super til den praktiske audit-gennemførsel samt sikring af, at opgaver løses til tiden" lyder det. Det betyder, at auditoren har én fælles indgang til alle kontroller - og at teamet kan rette kursen hurtigt, hvis noget sakker bagud.

Risikovurderinger

Endelig samler Risikostyrings modulet alle fremtidige tiltag på ét sted: "Godt overblik og nemt at planlægge fremtidige tiltag" siger Plan2Learn. Risiko-ejer, handling og deadline er tydelig for alle, så opgaver aldrig falder ned mellem to stole.

Resultater.

Allerede i løbet af det første år oplevede Plan2Learn:

• Tidsbesparelse på audit og kontroller
  "Vores årlige audit og den store opgave med at gennemføre kontroller og få dem dokumenteret til den enkelte foranstaltning. Her har vi sparet mange timer."

  
  

• Højere kvalitet
  "Højere kvalitet i vores interne arbejde med compliance ligesom vi hurtigt har fået opgraderet mange af vores elementer som viste sig for outdated."

  
  

• Professionelt udtryk udadtil
  "Professionelt udtryk med vores revisor og senere forhåbentlig mod vores kunder."

  
  

• Strategisk løft til ISO 27001:2022
  "Opkvalificering af vores gamle ramme fra ISO 27001 2013 til 2022 der har givet et markant løft både internet og eksternt i vores certificering."

Fremadrettet potentiale.

Når Plan2Learn ser frem, tegner der sig tre klare spor for, hvordan Complychain skal understøtte den videre rejse. Først og fremmest vil de “forsat effektivisere og forbedre kvaliteten af vores ISAE-rammer,” så de eksisterende kontroller bliver både skarpere og lettere at arbejde med.

Dernæst står NIS2 højt på dagsordenen: “Opgradering til NIS2 efterlevelse i vores ISAE-ramme. Essentielt at Complychain kan lette denne efterlevelse og lade den spille sammen med vores eksisterende ISAE-ramme i 3402.”

Parallelt forventer teamet at høste gevinster af de kommende AI-funktioner: “Udnyt potentiale i AI motoren til at skabe tværgående overbliks over DBA-indhold som er kritisk at være ajour med.”