GDPR och ISO 27001

Dataskyddsförordningen eller GDPR som det också kallas blir snart verklighet och många organisationer, små som stora, jobbar för fullt med att försäkra sig om att man lever upp till kraven i den nya lagstiftningen. Har man sedan tidigare bra rutiner och system på plats för att följa Personuppgiftslagen behöver inte arbetet bli så omfattande då skillnaderna mellan den gamla och nya lagstiftningen inte är så stora som det ofta antyds. Om man däremot inte ägnat kraven i PuL tillräcklig uppmärksamhet tidigare och först nu ska börja, kan vägen vara lång. Inte sällan är det svårt att veta var man ska börja.

En väg framåt kan vara standarden för informationssäkerhet, ISO 27001. Målsättningen med nämnda standard är införandet och underhållet ett ledningssystem för informationssäkerhet enligt liknande principer som de kanske mer välkända ISO 9000 (kvalitet) och ISO 14000 (miljöledning).

Så hur kan denna standard hjälpa en organisation att arbeta i enlighet med Dataskyddsförordningen?

I artikel 24 §1 står följande att läsa gällande kraven på personuppgiftsansvariga och personuppgiftsombud, ”Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.”


Formuleringen ”lämpliga tekniska och organisatoriska åtgärder” återkommer sedan på flera platser vilket indikerar att det inte räcker med brandväggar, kryptering och andra tekniska lösningar. Det krävs också policydokument, rutiner och andra handlingar för att styra hur personuppgifter hanteras såväl inom organisationen som hos externa samarbetspartners. Det är precis detta som är syftet med ISO 27001, att ta fram, underhålla och efterleva dokumentation som beskriver hur vi arbetar för att säkra vår information.

I ISO 27001 ställs bland annat krav på att identifiera och dokumentera vilka informationstillgångar. Det vill säga informationen i sig och hårdvara där informationen på något sätt behandlas, som finns inom organisationen samt genomföra riskanalyser för dessa. Detta är en utmärkt startpunkt för arbetet oavsett om målsättningen är en certifiering enligt ISO 27001 eller efterlevnad av GDPR.

Avsätt gott om tid, samla rätt personer och dokumentera alla de personuppgifter som behandlas, hur de behandlas och varför de behandlas. Gör sedan en riskanalys där ni försöker förutspå vad konsekvenserna skulle bli om dessa personuppgifter skulle bli oåtkomliga eller hamna i fel händer. Riskanalysen ska sedan resultera i ett antal åtgärder för att antingen undvika eller minimera sannolikheten för att dessa hot realiseras. När detta väl är dokumenterat har vi en god utgångspunkt för att vidta de praktiska åtgärder vi kommit fram till under analyserandet.

För att undvika att missa något finns det ett tillägg till ISO 27001, Bilaga A, där ett stort antal kontrollpunkter och åtgärdsförslag listas. Vill man ha ytterliga vägledning kring dessa finns ISO 27002 där dessa finns mer utförligt beskrivna. MSB har en gratis version av ISO 27002 som kan hämtas från https://www.informationssakerhet.se/siteassets/metodstod-for-lis/2.-analysera/gapanalys-checklista.pdf

Standarden är förvisso inte klippt och skuren för Dataskyddsförordningen men den täcker in stora delar och på köpet får man kontroll på all sin information i alla dess former, inte bara personuppgifter. 

Om man nu ändå ska ägna stora mängder tid åt att inventera, analysera och dokumentera inför GDPR kan det kanske vara läge att slå två flugor i en smäll?