1anders 1anders

Chefkonsulent Anders Linde, Dansk Standard: ISO 27001 er et godt sted at starte for It-organisationer, når de indfører GDPR

Oktober 2017
Af Flemming Kjærsdam


Den 25. maj 2018 træder EU's databeskyttelsesforordning (GDPR) i kraft. Fra den dato bliver forordningen en ny lov for databeskyttelse. Det overordnede mål er, at persondata skal behandles, opbevares og beskyttes bedre end tilfældet er i dag.

Keynote speaker Anders Linde, chefkonsulent hos Dansk Standard, åbner itSMF Danmarks konference i slutningen af oktober med et indlæg om EU´s nye persondataforordning (GDPR red).

”Hvis en IT-organisation allerede arbejder med et ledelsessystem for informationssikkerhed efter ISO 27001-standarden, så er GDPR en ny lovgivning, som kan køres ind i de eksisterende processer,” siger han.

Anders Linde giver det eksempel, at hvis en registreret person beder IT- eller HR-afdelingen om at slette vedkommende fra virksomhedens systemer, skal organisationen kunne tackle det.

”Når informationssikkerheden allerede er en indarbejdet størrelse i organisationen, som man løbende arbejder med og forbedrer på, vil et nyt stykke lovgivning for persondata naturligt føres ind i den samlede pakke af krav til virksomheden. Et andet område jeg vil nævne er dokumentation. Hvis en organisation arbejder med ISO 27001, er den vant til at dokumentere, hvad den gør i praksis. Det falder fuldstændig i tråd med forordningens krav,” siger Anders Linde.

I dag er der kun et par håndfulde danske virksomheder, der er certificeret efter ISO 27001 standarden. Men den ny forordning vil lægge et naturligt pres i den retning.

”Hvis en organisation ikke er gået i gang med at indføre persondataforordningen, er principperne i ISO 27001 en velegnet ramme at arbejde ud fra. De er sent ude, må jeg sige, hvis de ikke er i gang nu. Men 27001 sikrer, at beskyttelse af persondata bliver en del af den samlede indsats om informationssikkerhed og ikke mindst at indsatsen fastholdes og tilpasses også efter implementeringen af EU Persondataforordningens krav,” siger han.

Anders Linde ønsker med sit indlæg på itSMF konferencen at lave en naturlig kobling mellem ISO 27001 – standarden for informationssikkerhed – og de nye lovkrav fra EU om databeskyttelse. Ifølge Anders Linde hænger de fint sammen.

Virksomheder skal dokumentere, at loven er overholdt
Til forskel fra den nuværende persondatalovgivning, som forsvinder den 25. maj 2018, skal virksomhederne nu kunne dokumentere, at de overholder lovgivningen. Det kræver bl.a. et godt overblik over de behandlede persondata, formålet og grundlaget for behandling samt placeringen af data. Er det ikke dokumenteret, er det ikke gjort. Det nye krav til rapportering af mulige databrud til Datatilsynet inden 72 timer – og i visse tilfælde til den registrerede – indebærer ligeledes, at organisationen kan dokumentere forhold omkring et sikkerhedsbrud, f.eks. kategorier af involverede persondata, mulige konsekvenser samt dokumentere forslag til eller allerede gennemførte foranstaltninger.

Anders Lindes præsentation giver indsigt i, hvordan organisationer bedst muligt trækker på ISO/IEC 27001-standarden til at efterleve de nye lovkrav. Herunder inddrages de nyeste privacy-standarder ISO/IEC 29134 - Vejledning til Privacy Impact Assessment (PIA) samt ISO/IEC 29151 (Regelsæt for beskyttelse af personhenførbare informationer) som redskaber til henholdsvis risikostyring og udpegning af de vigtigste kontrolforanstaltninger.

Anders Linde nævner også, at kravene til konsekvensvurderinger i den nye forordning flugter med ledelsesstandarders fokus på risikostyring, herunder ISO 9000, ISO 20000 og ISO 27001.

”Enhver forretning bør via løbende risikostyring kende egne sårbarheder og mulige konsekvenser. Og er man en organisation, som gennemsyres af følsomme personoplysninger, f.eks. i sundhedssektoren eller forsikringsbranchen, ja så er det et direkte krav i forordningen, at man arbejder med konsekvensanalyser i forhold til sine persondata.

Blå Bog:
Anders Linde, chefkonsulent i Dansk Standard, har otte års erfaring med anvendelse og implementering af ledelsesstandarder i danske virksomheder, herunder ISO/IEC 27001 for informationssikkerhed og ISO 22301 vedr. Business Continuity. Anders Linde har hjulpet Arla, Forsvaret, Danmarks Domstole og Københavns Kommune med at forankre ledelsessystemer i organisationen.

.