GDPR: Skab compliance sammenhæng mellem GDPR og ISO27001/2

Publiseringsdato: 
20/11/19
Henning Mortensen
Chair of the Danish Rådet for Digital Sikkerhed

Læs mere fra forfatteren

Governance af compliance

Der er masser af regler, som organisationer skal efterleve. Når man arbejder med persondataforordningen, kan man lige så godt sikre sig, at den kortlægning og de foranstaltninger, der iværksættes i den forbindelse, spiller sammen med de øvrige initiativer, som tages i forbindelse med andre regler. I denne artikel vil vi drøfte, hvordan man skaber denne compliance sammenhæng mellem mange forskellige regler. Til at illustrere sammenhængen tages der udgangspunkt i informationssikkerhed, der er en naturlig del af persondataforordningen.

Baggrund

Organisationer er underlagt lovgivning, branchestandarder, certificeringer, selvvalgte best practises m.v. Der kan være tale om miljøregler, arbejdsmiljøregler, safety-regler, kvalitetskrav i henhold til standarder, regler for IT-supports effektivitet osv. Hvis man er til stede i mange lande, kan der komme regler fra disse andre lande, som er forskellige fra de regler, der eksisterer i moderlandet. Der kan også være kulturelle forskelle mellem lande eller mellem afdelinger, som kan gøre at regler forstås (og efterleves) forskelligt ud fra den kontekst medarbejderne er i.

Regler kan typisk formuleres på formen: ”Organisationens medarbejdere skal gøre dit” og ”Organisationens medarbejdere må ikke gøre dat”. Det forhold, at regler kan formuleres på denne måde, kan bruges til at skabe en sammenhæng mellem de forskellige regler. Reglerne kan formuleres som krav, der rejses til organisationen. Når reglerne formuleres som krav, kan de få den samme form på tværs af de mange forskellige steder, de oprinder fra. Det har for det første den fordel, at alle reglerne kan samles ét sted, så der skabes sammenhæng. Det har for det andet den fordel, at hvis der er overlappende krav, så får organisationen overblik over dette og skal kun iværksætte én foranstaltning i stedet for flere foranstaltninger, hvilket øger effektiviteten. For det tredje har det den fordel, at det er lettere for medarbejderne at få overblik over, hvilke regler der gælder.

Regler i persondataforordningen formuleret som krav

Persondataforordningen indeholder en række regler, som den dataansvarlige skal efterleve. Disse regler kan formuleres som krav. En række eksempler fra forordningen kan illustrere dette:

Fra artikel 5:

  • Der skal angives et formål med behandlingen af personoplysninger
  • Der må ikke indsamles flere oplysninger end hvad der er relevant for formålet
  • Personoplysningerne må ikke opbevares længere end det er nødvendigt

Fra artikel 28, stk. 3:

  • Databehandlerne/Leverandørerne må kun behandle personoplysninger under instruks
  • Databehandlerne/Leverandørerne implementerer X tekniske sikkerhedsforanstaltning og Y organisatoriske sikkerhedsforanstaltning
  • Databehandleren/Leverandørerne meddeler straks brud på sikkerheden til den dataansvarlige

Fra artikel 32 (til dels i medfør af Datatilsynets anbefalinger):

  • Den dataansvarlige sikrer, at der er gennemført risikovurdering fsva. den registreredes rettigheder
  • Den dataansvarlige sikrer, at e-mail kommunikation indeholdende fortrolige eller følsomme oplysninger, er krypteret med TLS 1.2
  • Den dataansvarlige skal have evnen til at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

Kontroller i ISO27002 formuleret som krav

ISO27002 indeholder en række kontroller, som den dataansvarlige kan vælge at efterleve som en del af sine sikkerhedstiltag. ISO27002 udgør altså endnu et sæt krav mod den dataansvarlige. Kravene i forordningen kan mappes ind under disse kontroller. Nogle af kravene fra forordningen vil overlappe med kontrollerne fra standarden. Andre af kravene vil supplere kravene fra standarden.

Fra 5.1.1:

  • Den dataansvarlige sikrer, at der er gennemført risikovurdering fsva. den registreredes rettigheder

Fra 10.1.1 Politik for anvendelse af kryptografi:

  • Den dataansvarlige sikrer, at e-mail kommunikation indeholdende fortrolige eller følsomme oplysninger, er krypteret med TLS 1.2

Fra 12.3.1 Backup af information:

  • Den dataansvarlige skal have evnen til at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

Fra 15.1.2 Håndtering af sikkerhed i leverandøraftaler:

  • Databehandlerne/Leverandørerne må kun behandle personoplysninger under instruks
  • Databehandlerne/Leverandørerne implementerer X tekniske sikkerhedsforanstaltning og Y organisatoriske sikkerhedsforanstaltning

Fra 16.1.2 Rapportering af sikkerhedshændelser:

  • Databehandleren/Leverandørerne meddeler straks brud på sikkerheden til den dataansvarlige

Fra 18.1.4 Privatlivets fred og beskyttelse af personoplysninger:

  • Der skal angives et formål med behandlingen af personoplysninger
  • Der må ikke indsamles flere oplysninger end hvad der er relevant for formålet
  • Personoplysningerne må ikke opbevares længere end det er nødvendigt

Det skal bemærkes, at der ikke er noget krav i forordningen om, at den dataansvarlige mapper alle sine krav sammen på ovenstående måde. Det er simpelthen bare en effektiv måde at gøre det på, som sikrer, at man får overblik over sine krav og styrer dem på samme måde.

Links

DI vejledning om persondataforordningen og mapping mellem forordningen og ISO27002 (i bilag 1).

Måske er dette også noget for dig

Trend: Glemmer vi de registrerede i GRC?

Trend: Vil du med ved bordet? Så skal GRC forstå forretningen

Trend: Hvorfor du aldrig er med, når der bliver købt systemer – og hvad du kan gøre ved det