Sikker nok? Blog om informationssikkerhed

GDPR-compliance: Du skal ikke bygge nyt – du skal bygge ovenpå

[fa icon="calendar"] 11. september 2017 / af Jakob Holm Hansen

Selvom GDPR venter lige om hjørnet, er der både sund fornuft og god økonomi i at fortsætte vedligeholdelsen af virksomhedens traditionelle informationssikkerhed. For GDPR både kan og bør stå på skuldrene af jeres eksisterende sikkerhedsarbejde. 

shutterstock_113963503a.jpg

EU, myndigheder, politikere og andre med interesse i datasikkerhed er lykkedes med at sætte GDPR øverst på dagsordenen i mange private og offentlige virksomheder. Det er ubetinget positivt.

Men for nogle har det store GDPR-fokus desværre haft den konsekvens, at de nærmest er stoppet med at vedligeholde deres traditionelle informationssikkerhed.

Det fortæller Jesper E. Siig, som er Senior Security Advisor i Neupart. I stedet for at arbejde med informationssikkerhed og GDPR i to parallelle spor, opfordrer han til, at man bygger virksomhedens GDPR-tiltag ovenpå virksomhedens eksisterende sikkerhedsprocesser. For mange offentlige og private virksomheder vil det typisk være ISO 27001-standarden.

Har svært ved at nå det hele

“Når vi spørger virksomheder, hvor langt de er i deres GDPR-forberedelser, fortæller de ofte, at de har svært ved at nå det hele inden maj næste år, og derfor har de nedprioriteret deres ISO-arbejde,” siger Jesper E. Siig.

Det er ikke, fordi virksomhederne pønser på helt at skrotte den informationssikkerhed, de har brugt årevis på at bygge op. Der er bare ikke så mange, der sørger for at koble deres eksisterende informationssikkerhed sammen med de nye tiltag i GDPR – selvom det netop bør være målet.

“Digitaliseringsstyrelsen anbefaler, at man arbejder med GDPR på baggrund af ISO 27001, fordi mange af sikkerhedsprincipperne går igen. Så man kan spare en masse energi og en masse tid på at bygge ovenpå i stedet for at bygge nyt,” forklarer Jesper E. Siig.

Sammenfald mellem ISO- og GDPR-principperne

Graver man et spadestik ned i GDPR-lovteksten, fokuserer artikel 32 specifikt på informationssikkerhed, og hvordan virksomheder på dette punkt skal leve op til de nye krav i forordningen. Her står der bl.a., at man som dataansvarlig skal have passende tekniske og organisatoriske foranstaltninger på plads – disse foranstaltninger kan passende implementeres ved hjælp af ISO-standarderne for informationssikkerhed, ISO 27001 og ISO 27002.

Forordningen stiller krav om, at man skal sikre fortrolighed, integritet og tilgængelighed, og at man skal kunne reetablere tilgængeligheden til personoplysninger. Det er alle klassiske dyder inden for informationssikkerhedsverdenen.

Og endelig er der fokus på, at man skal fastlægge sit sikkerhedsniveau ud fra de risici, man ser. Det er samme risikobaserede tilgang, der er præmissen bag ISO 27001-standarden.

Smid ikke babyen ud

Med andre ord skal man ikke smide babyen ud med badevandet – heller ikke når det handler om informationssikkerhed, GDPR og beskyttelse af persondata. Mange private og offentlige virksomheder gør allerede det rigtige, og det skal de fortsætte med.

“Jo bedre du vedligeholder din eksisterende informationssikkerhed, des mere GDPR-compliant bliver du helt automatisk,” slutter Jesper E. Siig. 

Yderligere om ISO 27001 og informationssikkerhed

På Neuparts webinar Informationssikkerhed og compliance med ISO 27001 får du et overblik over, hvordan principperne fra ISO 27001 giver dig en struktureret og gennemprøvet tilgang til virksomhedens informationssikkerhed. En tilgang som giver et godt fundament til at efterleve af kravene i GDPR.

Læs mere og tilmeld dig her 

Emner: GDPR, compliance, ISO 27001, informationssikkerhed

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.

Populære indlæg