ISO27701 - bättre stöd för GDPR

Henrik Petterson 12 september, 2019

Introduktion

Ledningssystem för ökad integritet och dataskydd

Ligg steget före konkurrenterna och certifiera din organisation inom personuppgiftsbehandling. Den nya standarden ISO27701 ger din organisation möjlighet att enklare visa på GDPR-efterlevnad. Sedan GDPR:s inträde den 25 maj år 2018, har företag, myndigheter och organisationer kämpat för att leva upp till kraven i GDPR. Trots en enorm satsning från offentliga och privata aktörer, har Datainspektionen både inlett ett stort antal granskningar och delat ut den första administrativa sanktionsavgiften. Detta bör ses som en tydlig indikation på att det fortfarande finns uppenbara svårigheter att på ett korrekt sätt implementera och efterleva GDPR.

Mot compliance

Hjälper till att efterleva kraven

Den nya standarden ISO27701 kan nu hjälpa dig att leva upp till de lagar och krav som finns; genom att jobba med ledningssystem får du en struktur och översyn som kan ledsaga arbetet. Ett problem som uppstår, där den nya ISO-standarden tydliggör, är hur tolkningen av GDPR ska göras. Dataskyddsförordningen är ett regelverk som är formulerat och utformat för att kunna appliceras inom samtliga EU-länder. Tyvärr innebär dess ”breda formulering”, att förordningen i många fall saknar detaljerade och konkreta specifikationer för att korrekt kunna efterleva kraven.

Ökar dataskyddet

En av de mer uppmärksammade och svårtolkade delarna i GDPR, är kravet om tekniska och organisatoriska säkerhetsåtgärder som uppmärksammas i förordningens artikel 25.  I artikelns två inledande stycken återges en kortfattad beskrivning av de säkerhetsåtgärder som både personuppgiftsansvariga och personuppgiftsbiträden måste uppfylla vid behandling av personuppgifter.

För att understödja att de tekniska och organisatoriska säkerhetsåtgärder faktiskt är uppfyllda kan företag presentera en tillförlitlig certifiering, något som under en längre tid ej funnits tillgänglig fram tills nu, genom ISO 27701. I GDPR:s artikel 42, uppmärksammas ”certifieringsmekanismer” för dataskydd. Genom att tillämpa ISO 27701, är det möjligt för både personuppgiftsansvariga och personuppgiftsbiträden, att uppfylla kraven på integritets- och informationssäkerhet i enlighet med GDPR och andra tillämpliga regelverk rörande dataskydd.

ISO 27701 har till syfte att specificera kraven för bland annat de säkerhetsåtåtgärder som följer av GDPR, samt ge tydlig vägledning för hur företag ska kunna upprätta, implementera, underhålla och ständigt förbättra dess behandling av personuppgifter. Organisationer som redan har implementerat den mer generella standarden inom informationssäkerhet, ISO 27001, kommer att kunna använda ISO 27701 för att utöka sina säkerhetsinsatser för att förbättra dess sekretesshantering, samt deras behandling av personuppgifter, vilket avsevärt kommer förbättra och förenkla efterlevnaden av GDPR.

Certifiering ISO 27701

Det interna arbetet mot certifiering varierar mycket i omfattning, beroende på företagets mognadsgrad rörande säker informationshantering (inte minst hantering av personuppgifter). Om ett företag står inför att digitalisera sin verksamhet kan en ISO-certifiering utgöra grunden för en säker övergång in i den digitaliserade världen.

Sammanfattningsvis kommer en implementering av ISO 27701, innebära att personuppgiftsansvariga och personuppgiftsbiträden får en möjlighet att kunna uppvisa en förtroendeingivande ”kvalitetsmärkning” för intressenter och tillsynsmyndigheter. Certifikatet är ett bevis på att organisationen följer internationell tillförlitlig praxis när det gäller säker behandling av personuppgifter.

Vi kan hjälpa din organisation att certifieras inom både ISO 27701 och ISO 27001
Kontakta oss så berättar vi mer.

Henrik Petterson
Senaste inläggen av Henrik Petterson