Sikkert nok? Blogg om informasjonssikkerhet

GDPR Samsvar: Du skal ikke bygge nytt – du skal bygge ut

[fa icon="calendar"] 12. september 2017 / av Jakob Holm Hansen

Selv om personvernforordningen venter like rundt hjørnet, er det både fornuftig og økonomisk å fortsette vedlikeholdet av virksomhetens tradisjonelle informasjonssikkerhet. For GDPR både kan og bør komme som et tillegg til virksomhetens eksisterende sikkerhetsarbeid.

EU, myndigheter, politikere og andre med interesse for datasikkerhet har lykkes i å sette GDPR øverst på dagsordenen i mange private og offentlige virksomheter. Det er ubetinget positivt.

Men for noen har det store fokuset på GDPR dessverre ført til at de nærmest har sluttet å holde sin eksisterende informasjonssikkerhet ved like.

Det forteller Jesper E. Siig, Senior Security Advisor i Neupart. I stedet for å jobbe med informasjonssikkerhet og GDPR i to parallelle spor oppfordrer han til å bygge ut virksomhetens eksisterende sikkerhetsprosesser med GDPR-tiltakene. For mange offentlige og private virksomheter vil dette normalt være ISO 27001-standarden.

Problemer med å bli ferdig

“Når vi spør virksomheter hvor langt de har kommet med forberedelsene til GDPR, forteller de ofte at de vil få problemer med å bli ferdig innen mai neste år, og at de derfor har nedprioritert arbeidet med ISO”, sier Jesper E. Siig.

Dette skyldes ikke at virksomhetene vurderer å gå vekk fra sitt eksisterende system for informasjonssikkerhet, som de har brukt en årrekke på å bygge opp. Det er heller at få sørger for å koble sammen sin eksisterende informasjonssikkerhet med de nye tiltakene i GDPR – selv om det er nettopp dette som bør være målet.

“Datatilsynet anbefaler at man bruker ISO 27001 som utgangspunkt når man jobber med GDPR da mange av sikkerhetsprinsippene er identiske. Slik kan man spare både energi og tid på å bygge ut i stedet for å bygge nytt”, forklarer Jesper E. Siig.

Likheter mellom ISO- og GDPR-prinsippene

Pirker man under overflaten til GDPR-lovteksten, fokuserer artikkel 32 spesifikt på informasjonssikkerhet og hvordan virksomheter skal leve opp til de nye kravene i forordningen. Her står det blant annet at man som dataansvarlig skal ha passende tekniske og organisatoriske foranstaltninger på plass – disse foranstaltningene kan implementeres ved hjelp av ISO-standardene for informasjonssikkerhet, ISO 27001 og ISO 27002.

Forordningen krever at man skal sikre fortrolighet, integritet og tilgjengelighet, og at man skal kunne reetablere tilgjengeligheten, til personopplysningene. Dette er alle de klassiske dyder innen informasjonssikkerhets-verdenen.

Og i tillegg er det fokus på at man skal avgjøre sikkerhetsnivået i virksomheten ut fra den faktiske risikoen. Det er den samme risikobaserte tilgangen som er premisset bak ISO 27001-standarden.

Fortsett med det som fungerer

Med andre ord skal man ikke kaste vrak på noe som fungerer i jakten på forbedringer – heller ikke når det handler om informasjonssikkerhet, GDPR og beskyttelse av persondata. Mange private og offentlige virksomheter gjør allerede det riktige, og det skal de fortsette med.

“Jo bedre du vedlikeholder din eksisterende informasjonssikkerhet, jo mer i overensstemmelse med GDPR blir du – helt automatisk”, avslutter Jesper E. Siig.

 

Emner: personvernforordningen, GDPR

Sikkert nok?

Neupart blogg er gode råd og kunnskap om effektiv IT-sikkerhet, IT-sikkerhetsstrategier, risikostyring, etterlevelse av standarder og andre krav, beredskapsplanlegging, ISO2700x, EU personvern, PCI DSS, etc.

Populære innlegg