03. april 2017
Den 25. maj 2016 blev den nye persondataforordning fra EU vedtaget. Den træder i kraft to år efter til maj 2018 og vil indgå i EU-landenes egne lovgivninger på området, dog med plads til national supplerende lovgivning på en række områder. De nye EU-krav overlapper på en lang række områder med kravene i standarden ISO/IEC 27001 for informationssikkerhed.
- ISO 27001 hjælper virksomheder til at etablere et ledelsessystem til beskyttelse af følsom og kritisk information. Standarden opstiller blandt andet krav til et formaliseret arbejde med risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed. Det er krav, som er meget lig forpligtelserne efter EU-persondataforordningen, siger Anders Linde, chefkonsulent i Dansk Standard.
Den nye persondataforordning er således, ifølge Anders Linde, en god anledning til at implementere ISO/IEC 27001. Standarden opstiller krav til etablering, implementering, vedligeholdelse og løbende forbedring af et ledelsessystem for informationssikkerhed. Den er derfor en god hjælp til at håndtere kravene i EU-persondataforordningen – og samtidigt et værktøj til at styrke forretningen.
- Det er afgørende, at man som virksomhed forstår, hvor bredspektret ens indsats skal være, både i forhold til at forhindre sikkerhedsbrud ved hjælp af tekniske tiltag og adfærdsændringer, men også i forhold til hurtigt at kunne genoprette forretningskritiske processer, når uheldet er ude. Og det hjælper ISO 27001 med, understreger Anders Linde.
En anden standard, det er værd at sætte sig ind i forbindelse med den nye lovgivning, er den nye privacy-standard ISO/IEC 29134.
- Standarden ISO/IEC 29134 er en vejledning til Privacy Impact Assesments og rammer derfor hovedet på sømmet, når vi ser på forordningens ordlyd. Den hjælper en med at vurdere og håndtere de potentielle privacy-indvirkninger af fx en proces, et informationssystem, et program eller en anden enhed, som behandler personidentificerbare informationer.
Anders Linde
Chefkonsulent
Dansk Standard
Den nye EU-persondataforordning har – ud over harmonisering inden for EU – til formål at styrke de registreredes rettigheder og kræver bl.a., at persondata skal distribueres i sikre kanaler. Dette gælder alle oplysninger, som kan bruges til at identificere enkeltpersoner – lige fra en persons fulde navn og CPR-nummer til fx helbreds- eller kreditoplysninger.
Og der er god grund til, at man som virksomhed eller organisation tager datasikkerheden alvorligt. Ud over de omkostninger, som et databrud kan medføre, er der også en bøderamme for brud på loven på helt op til 4 % af en virksomheds globale omsætning.
Vi tilbyder kurser i informationssikkerhed og klæder dig på til den nye persondataforordning.
Kurser i informationssikkerhed | oversigt