Overblik over cyber- og informationssikkerhedsstandarder

Konsekvensanalyse vedrørende databeskyttelse

ISO/IEC 29134 Information technology – Security techniques – Guidelines for privacy impact assessment (PIA)

Hvad er værdien af at anvende standarden?

ISO/IEC 29134 vejleder organisationer i at vurdere og håndtere potentielle risici vedrørende persondata som følge af et nyt system eller service, der behandler personoplysninger. Standarden giver vejledning i at gennemføre en privatlivsimplikationsanalyse (PIA), som i daglig tale også kaldes konsekvensanalyse vedrørende databeskyttelse. Standarden indeholder også et konkret forslag til, hvordan man strukturelt og indholdsmæssigt kan sammensætte virksomhedens PIA-rapport.

Fordelene ved at gennemføre en konsekvensanalyse er mange. Først og fremmest er alle organisationer pålagt at overveje behovet for en konsekvensanalyse i henhold til Persondataforordningen (GDPR), hvis der er ny eller ændret behandling af personoplysninger. Organisationer kan også frivilligt vælge at gennemføre en konsekvensanalyse.

Generelle fordele:

  • Identificering af privacy-konsekvenser, risiko og ansvar
  • Evaluering af nye informationssystemers privacy-relaterede risici samt vurdering af sandsynlighed og konsekvens
  • Deling og afbødning af privacy-risici med interessenter og bevis for overholdelse (compliance).

Er standarden relevant for dig? 

ISO/IEC 29134 er relevant for alle organisationer, der behandler personoplysninger. Standarden er målrettet personer, der har ansvar for eller drifter systemer eller services, der behandler personoplysninger. Standarden er således relevant for ledere, medarbejdere, og databeskyttelsesrådgivere (DPO) med ansvar for at tilse eller udføre opgaver i forbindelse med konsekvensanalyser eller behandlingssikkerhed efter Persondataforordningen (GDPR).

Standarden kan anvendes af både offentlige myndigheder og private virksomheder, og den er relevant for alle typer og størrelser af organisationer. 

Hvordan anvendes standarden?

Standarden er et konkret værktøj til at arbejde systematisk og kontinuerligt med konsekvensanalyse vedrørende databeskyttelse. Standarden kan tilpasses virksomhedens kontekst, og dermed kan omfanget af konsekvensanalysen justeres, så den modsvarer virksomhedens behandling af personoplysninger, samt hvor følsomme disse er. Mange anvender standarden, fordi den er nævnt i Justitsministeriets betænkning nr. 1565, bind 1 vedr. Persondataforordningen (GDPR), da man dermed kan øge sandsynligheden for at afdække væsentlige risici og elementer i databehandling.

Standarden tager læseren i hånden og beskriver, hvordan en virksomhed forbereder, planlægger, gennemfører og evaluerer en konsekvensanalyse. Herefter følger vejledning i, hvordan PIA-rapporten opstilles med planer og procedurer, risikovurdering, risikohåndteringsplaner og slutteligt en konklusion. Standarden indeholder desuden et eksempel på et workflowdiagram for behandling af personoplysninger og et eksempel på en prioriteret kortlægning af identificerede privacy-risici.


Mere information

 

Hvordan kommer jeg videre?

De fleste organisationer vil kunne finde nyttig inspiration og vejledning i standarderne, som kan forbedre deres cyber- og informationssikkerhed, også uden at følge standarderne fra ende til anden. Alle standarderne kan købes i Dansk Standards webshop. Dansk Standard tilbyder desuden kurser og rådgivning i de fleste af de beskrevne standarder.

Behov for hjælp til de mange begreber?

Den engelsksprogede version af terminologistandarden ISO/IEC 27000 kan downloades gratis via dette link på ISO’s hjemmeside. I denne standard kan du blive klogere på terminologien og definitionerne, der ligger til grund for ISO/IEC 27000-seriens ledelsessystem for informationssikkerhed. Hvis du ønsker standarden med danske oversættelser, kan den købes i vores webshop, hvor du selvfølgelig også finder de øvrige beskrevne standarder.

Mere om certificering

Certificering kræver en ekstern auditering, hvor organisationens efterlevelse af standardens krav gennemgås i dokumentationsform og med et fysisk besøg. Dansk Standard certificerer ikke, men bidrager gerne med rådgivning og viden om certificering.

Dansk, europæisk eller international standard?

De internationale standarder (ISO/IEC), er alle udgivet som danske standarder, der er fuldstændig identiske med de internationale. De har på Dansk Standards webshop derfor betegnelsen ”DS ISO/IEC” foran nummeret på standarden. Flere af standarderne er oversat til dansk - hvilke fremgår af webshoppen. Nogle af standarderne er ligeledes identisk implementeret på europæisk niveau, og har derfor også tilføjet “EN” i titlen; DS EN ISO/IEC. Den europæiske implementering betyder, at ingen EU-lande må have nationale standarder, der er overlappende eller i modstrid med de internationale standarder.

 

Hvis du har spørgsmål, er du altid velkommen til at kontakte vores informationscenter.

 

Dansk Standard har et udvalg for cyber- og informationssikkerhed, hvor medlemmerne får indsigt i kommende standarder og mulighed for at påvirke det internationale standardiseringsarbejde. Du kan læse mere om udvalget her.

 

Klik her for at downloade al information om standarder for cyber- og informationssikkerhed i én samlet fil.

Kontakt

Berit Aadal
Berit Aadal Chefkonsulent | Chief Consultant
Standardisering | Digital & Bæredygtighed
E: baa@ds.dk
T: 39 96 62 96
Kim Skov Hilding
Kim Skov Hilding Seniorkonsulent | Senior Consultant
Standardisering | Digital & Bæredygtighed
E: ksk@ds.dk
T: 39 96 62 17

Løsningen kan tilgås via browsere fra Google Chrome, Safari, Firefox og Microsoft Edge, men ikke fra Internet Explorer 11.