5 måder at imødekomme GDPR på med ISO/IEC 27001

16 april 2018

EU's persondataforordning (GDPR) trådte i kraft den 25. maj. Forordningen skal beskytte privatpersoners personoplysninger og styrke deres rettigheder ved at give dem større kontrol over egne data.

Den omfattende forordning kan for mange virksomheder synes uoverskuelig. Men med hjælp fra den førende internationale standard for informationssikkerhed, ISO/IEC 27001, får du et ideelt grundlag til at overholde GDPR.

ISO/IEC 27001 opstiller en ramme til at beskytte organisationens værdifulde informationer - herunder persondata - på en sikker og troværdig måde. Standarden definerer kravene til et ledelsessystem for informationssikkerhed (ISMS) med det sigte at beskytte imod bl.a. sletning, læk eller tab af adgang til data. Samtidig sikrer den, at virksomheder fastholder en løbende sikkerhedsindsats, hvor vurdering af risici og håndtering af hændelser skaber en tidssvarende beskyttelse af informationer.

Det harmonerer med GDPR-lovteksten, som bl.a. kræver, at organisationer skal iværksætte passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der svarer til risikoen.

Nedenfor listes 5 områder, hvor ISO/IEC 27001 direkte imødekommer krav fra GDPR:

1. Dokumentation

Overgangen til GDPR betyder, at virksomheder nu skal kunne dokumentere deres efterlevelse af loven. Dette er ligeledes en grundpræmis for efterlevelse af kravene i ISO/IEC 27001 - hvis det ikke kan dokumenteres, anses kravene ikke for efterlevet. Ergo: der skal foreligge en oversigt over persondata, en rapport vedr. vurdering af risici, en log for hændelser osv.

2. Oversigt over persondata

Et overblik over virksomhedens kritiske og følsomme data er i ISO/IEC 27001 nøglen til at kunne udpege relevante sikkerhedsforanstaltninger. Dette er ligeledes et krav for persondata i GDPR med henblik på at kunne styre hvor, hvordan og hvor længe data er gemt, hvem der kan få adgang til dem osv.

3. Risikovurdering

GDPR stiller krav til, at virksomheder foretager risikovurderinger for at kunne identificere risici for kompromittering af EU-borgernes persondata. Det gælder også i forbindelse med implementering af nye systemer eller ved etablering af nye forretningsprocesser. Tilsvarende kræver ISO/IEC 27001, at virksomheder etablerer en relevant sikkerhedsindsats via risikostyring, dvs. vurdere sandsynligheden for forskellige hændelser og udpege den tilhørende konsekvens for de registreredes persondata.

4. Databrud

GDPR kræver, at virksomhederne skal underrette myndighederne inden for 72 timer efter et muligt databrud. Det kan også omfatte underretning til de registrerede. På samme måde stiller ISO/IEC 27001 krav om håndtering af afvigelse og giver forslag til processer for hændelseshåndtering.

5. Evaluering og løbende forbedringer

Det er en underliggende præmis for efterlevelsen af GDPR, at organisationer etablerer nogle arbejdsgange, som sikrer en vedblivende beskyttelse af persondata, uagtet at trusselsbilledet ændrer sig, nye behandlinger kommer til eller forretningsgangene ændres. Her giver ISO/IEC 27001 en værktøjskasse af aktiviteter, som skal sikre en passende beskyttelse af informationer, selv når konteksten ændrer sig. Evaluering af sikkerhedskontroller, interne audits og ledelsens evaluering er her centrale komponenter til at fastholde og løbende forbedre beskyttelsen af data.

Bliv klogere på informationssikkerhed – tag et diplomkursus om ISO 27001.

Læs også