20. september 2019
Digitalisering, globalisering og personalisering af tjenester - fra booking af lægeaftaler til adgang til internetbanken - har ført til en større indsamling og behandling af personoplysninger end nogensinde før. Tendensen er voksende samtidig med, at nye digitale tjenester og muligheder opstår, og nye spillere kommer på markedet.
- De mange forskellige applikationer og platforme er blevet en del af folks daglige rutine, hvor personoplysninger indsamles. Det betyder, at vi jævnligt overleverer vores data uden at tænke over det. Som en konsekvens af den digitale udvikling har vi bl.a. fået GDPR, hvor et større ansvar placeres hos virksomheder og offentlige myndigheder, når de behandler persondata. Men GDPR giver ikke konkrete værktøjer til, hvordan man beskytter disse data. Her kan ledelsesstandarden ISO/IEC 27701 sætte scenen med krav og vejledning til processer og foranstaltninger, forklarer Anders Linde, chefkonsulent hos Dansk Standard.
Standarden bygger ovenpå organisationens eksisterende informationssikkerhed – en indsats, der ofte har sit udspring i standarderne for informationssikkerhed, ISO/IEC 27001 og ISO/IEC 27002.
ISO/IEC 27701 har til formål at stille krav og retningslinjer til styring af organisationens behandling af personoplysninger, men sætter denne indsats ind i en kontekst af det eksisterende arbejde med informationssikkerhed. Standarden giver desuden en indføring i de forskellige ansvarsområder, som ligger hos henholdsvis den dataansvarlige og databehandleren.
- Eftersom ISO/IEC 27701 er en kravstandard, kan man som organisation blive certificeret efter den, når man allerede har sit ledelsessystem for informationssikkerhed (ISMS) og en certificering efter ISO/IEC 27001 på plads. Det vil give organisationen en mulighed for at dokumentere og øge sin troværdighed i forhold til netop behandlingen af persondata, siger Anders Linde.
Som noget unikt for ISO-standarder indeholder ISO/IEC 27701 et anneks, der mapper standardens krav og anbefalinger op mod de forskellige artikler i GDPR-lovgivningen. Dermed giver standarden inspiration til, hvordan organisationer kan løse de gældende databeskyttelseskrav. Organisationer, som opererer internationalt og behandler persondata fra borgere uden for EU, har også gavn af ISO/IEC 27701. Standarden er nemlig tænkt som en best practice-ramme for persondatabeskyttelse, der kan inspirere og spille ind i anden lovgivning vedr. persondatabeskyttelse - hvad enten man befinder sig i Korea, Australien eller Kina.