Persondatabeskyttelse og informationssikkerhed – standarden ISO/IEC 27701 binder det hele sammen

Ny standard binder persondatabeskyttelse og informationssikkerhed sammen og letter virksomheders og myndigheders byrde med at finde hoved og hale i den digitale tidsalders dataudfordringer.
Brødtekst

Virksomheder og myndigheder er i dag underlagt en lang række krav til beskyttelse af informationer. 

Indsatsen har typisk forplantet sig til to forskellige discipliner, hvor den ene varetager it-sikkerhed og tilhørende informationer ud fra forretningens interesse, og den anden fungerer som en juridisk foreteelse til beskyttelse af persondata ud fra hensynet til de registrerede, fx borgeres eller kunders data. 

Den nye standard ISO/IEC 27701 forener varetagelsen af disse krav – såvel den generelle informationssikkerhedsindsats som de særlige krav til persondatabeskyttelse (GDPR). 

Baggrunden for ISO/IEC 27701
Allerede for ti år siden åbnede den danske stat for en international ISO-standard til beskyttelse af informationer. ISO/IEC 27001 blev introduceret som alternativ til den danske sikkerhedsstandard, DS 484, som hidtil havde fungeret som en tjekliste for it-sikkerhed. 

27001-standarden lavede om på den del ved at bringe informationerne i centrum understøttet af it, medarbejdere og de fysiske rammer. Fokus blev flyttet fra foranstaltninger til processer og ikke mindst løbende forbedringer heraf. 

Nok fulgte et princip om dokumentation af de erklærede hensigter, men altså ikke en statisk manual til skuffen og ikke længere en 'one size fits all'-tjekliste. Anført af topledelsen skulle organisationen nu løbende forholde sig til, om indsatsen, når det gjaldt beskyttelse af informationer, var passende set i lyset af forretningens målsætninger. 

ISO/IEC 27001 er sidenhen blevet det talte sprog i både stat, regioner og kommuner som følge af digitaliserings- og cyberstrategier i perioden 2014-18, og også i den private sektor vinder standarden indpas som best practice, krav til leverandørleddet og konkurrenceparameter. 

Beskyttelsen af persondata fandt i samme periode sit udspring fra databeskyttelsesforordningen af 1995, som lod dansk lovgivning om at præcisere de specifikke foranstaltninger til sikring af privatlivets fred. Her fik vi den såkaldte Sikkerhedsbekendtgørelse, som var rettet mod den offentlige sektor, og som ikke ulig DS 484-standarden fastsatte en liste over de relevante sikkerhedstiltag. 

Og selvom formålet var at beskytte den registrerede, var listen over foranstaltninger på flere områder overlappende med de indsatser, som forretningen blev anvist i DS 484-standarden og senere ISO/IEC 27001. 

ISO/IEC skaber sammenhæng mellem GDPR og informationssikkerhed
Således har der længe været grobund for en integration af arbejdet med informationssikkerhed til gavn for forretningen og beskyttelsen af persondata. Det er dog først med GDPR, databeskyttelsesforordningen, som trådte i kraft i 2018, at synergierne blev bøjet i neon og i en sådan grad, at prominente advokathuse pegede på ISO/IEC 27001-standarden som en velegnet ramme til at håndtere de nye persondatakrav.

Dokumentation af compliance, løbende risikovurdering til udpegning af foranstaltninger og håndtering af hændelser er blot nogle af de aktiviteter, som genfindes på begge sider, og som derfor lægger op til en samordning ud fra de overordnede linjer til beskyttelse af informationer i ISO/IEC 27001. 

Og her er vi så fremme ved det nyeste skud på stammen: ISO/IEC 27701, som bygger videre på ISO/IEC 27001’s krav til beskyttelse af informationer ved at præcisere udvidede krav til privatlivsbeskyttelse. Sat på spidsen leverer standarden både krav og inspiration til, hvordan arbejdet med informationssikkerhed udbygges til gavn for den registrerede ved at iagttage de grundlæggende privacy-principper. 

Indholdet af ISO/IEC 27701
Indledningsvis udbygger standarden kravene fra ISO/IEC 27001, bl.a. i forhold til scope, interessentlandskab samt hensynet til den registrerede i risikovurderingsprocessen. Dernæst tygger standarden sig igennem samtlige 114 foranstaltninger fra ISO/IEC 27001’s Anneks A (jf. vejledningen ISO/IEC 27002) med supplerende kommentarer, hvor der er særlige privatlivshensyn at forholde sig til. 

Over de næste to kapitler fortsætter vejledningen i foranstaltninger, men denne gang ud fra henholdsvis den dataansvarlige og databehandlerens rolle. Der stilles skarpt på betingelserne for indsamling og behandling af persondata, forpligtelser for de registrerede, databeskyttelse gennem design og standardindstillinger samt deling, overførsel og videregivelse.  Samme struktur genfindes i de følgende to annekser (Anneks A og B). 

Her gælder det krav, at den dataansvarlige og/eller databehandleren gennemgår og tilvælger de relevante foranstaltninger samt begrunder eventuelle fravalg. Det er således samme praksis, som kendes ved gennemgang af ISO/IEC 27001’s anneks som grundlag for etablering af det såkaldte Statement of Applicability (SoA). 

ISO/IEC 27701’s privatlivsvinkling kan dermed både føre til ændringer i de til- og fravalg, som organisationer allerede har foretaget med ISO/IEC 27001 under armen, men kan også betyde helt nye foranstaltninger som følge af tilvalg i ISO/IEC 27701’s annekser for henholdsvis dataansvarlig og databehandler. 

Afslutningsvis er det værd at bemærke, at ISO/IEC 27701 begaver os med yderligere tre annekser, hvoraf to mapper standarden op imod tidligere udgivne privacy-standarder, samt et tredje, der som noget ganske unikt på ISO-scenen holder standardens kapitler op imod GDPR’s artikler. Den er dermed en kærkommen hjælp til at forbinde de forskellige processer og foranstaltninger med krav i gældende lovgivning. 

DS
Illustration: DS
Forholdet mellem ISO/IEC 27001 og ISO/IEC 27701

Du kan læse mere om ISO/IEC 27701 her.