Skab sammenhæng mellem GDPR og informationssikkerhed

20. september 2019

Skab sammenhæng mellem GDPR og informationssikkerhed

En systematisk og sikker behandling af persondata er i dag en forudsætning for organisationens virke. Den nye standard ISO/IEC 27701 giver konkrete værktøjer til, hvordan man beskytter data og lever op til de gældende databeskyttelseskrav.

Digitalisering, globalisering og personalisering af tjenester - fra booking af lægeaftaler til adgang til internetbanken - har ført til en større indsamling og behandling af personoplysninger end nogensinde før. Tendensen er voksende samtidig med, at nye digitale tjenester og muligheder opstår, og nye spillere kommer på markedet.

- De mange forskellige applikationer og platforme er blevet en del af folks daglige rutine, hvor personoplysninger indsamles. Det betyder, at vi jævnligt overleverer vores data uden at tænke over det. Som en konsekvens af den digitale udvikling har vi bl.a. fået GDPR, hvor et større ansvar placeres hos virksomheder og offentlige myndigheder, når de behandler persondata. Men GDPR giver ikke konkrete værktøjer til, hvordan man beskytter disse data. Her kan ledelsesstandarden ISO/IEC 27701 sætte scenen med krav og vejledning til processer og foranstaltninger, forklarer Anders Linde, chefkonsulent hos Dansk Standard.

Standarden bygger ovenpå organisationens eksisterende informationssikkerhed – en indsats, der ofte har sit udspring i standarderne for informationssikkerhed, ISO/IEC 27001 og ISO/IEC 27002.

Styrk virksomhedens troværdighed med ISO/IEC 27701

ISO/IEC 27701 har til formål at stille krav og retningslinjer til styring af organisationens behandling af personoplysninger, men sætter denne indsats ind i en kontekst af det eksisterende arbejde med informationssikkerhed. Standarden giver desuden en indføring i de forskellige ansvarsområder, som ligger hos henholdsvis den dataansvarlige og databehandleren.

- Eftersom ISO/IEC 27701 er en kravstandard, kan man som organisation blive certificeret efter den, når man allerede har sit ledelsessystem for informationssikkerhed (ISMS) og en certificering efter ISO/IEC 27001 på plads. Det vil give organisationen en mulighed for at dokumentere og øge sin troværdighed i forhold til netop behandlingen af persondata, siger Anders Linde.

Europæisk og international relevans

Som noget unikt for ISO-standarder indeholder ISO/IEC 27701 et anneks, der mapper standardens krav og anbefalinger op mod de forskellige artikler i GDPR-lovgivningen. Dermed giver standarden inspiration til, hvordan organisationer kan løse de gældende databeskyttelseskrav. Organisationer, som opererer internationalt og behandler persondata fra borgere uden for EU, har også gavn af ISO/IEC 27701. Standarden er nemlig tænkt som en best practice-ramme for persondatabeskyttelse, der kan inspirere og spille ind i anden lovgivning vedr. persondatabeskyttelse - hvad enten man befinder sig i Korea, Australien eller Kina.

Læs også

 

Kontakt