ISO27701: Sammenhæng mellem sikkerhed og persondatabeskyttelse

ISO27701: Sammenhæng mellem sikkerhed og persondatabeskyttelse

Mange eksperter har i en årrække anvist de positive synergier mellem at arbejde med informationssikkerhed og persondatabeskyttelse. Man kan slå to fluer med et smæk ved at få de to faglige områder til at understøtte hinanden. Nu er der så omsider kommet en formaliseret udlægning af samspillet i form af ISO27701, som altså er kanoniseret i en standard. I denne artikel vil den nye ISO27701:2019 blive gennemgået.

Baggrund

Det fremgik af det gamle databeskyttelsesdirektiv fra 1995, at den dataansvarlige skulle implementere fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Foranstaltningerne blev fastsat gennem national ret, og i Danmark fik vi Sikkerhedsbekendtgørelsen, som var gyldig for den offentlige sektor, og som indeholdt en dogmatisk beskrivelse af de foranstaltninger, som blev anset for passende. Disse foranstaltninger overlappede med de daværende sikkerhedsstandarder, men de var få i omfang i forhold til standardernes krav, og derfor var der en lav synergi mellem standarderne og de persondataretlige foranstaltninger. Foranstaltningerne, som havde til formål at beskytte den datansvarlige jf. standarderne, kunne også anvendes til at beskytte den registreredes rettigheder, men denne måde at se foranstaltningerne på var på dette tidspunkt ikke så udviklet. 

Dette ændrede sig med persondataforordningen, hvor foranstaltningerne skal fastsættes ud fra de registreredes risici ved den dataansvarliges behandling af deres personoplysninger. Når foranstaltninger fastsættes på baggrund af risici, åbnes der i langt højere grad op for, at alle foranstaltninger, som er indeholdt mere eller mindre direkte i standarderne, kan komme i spil. Det bliver også tydeligere, at foranstaltningerne kan understøtte både den dataansvarliges sikkerhed og de registreredes rettigheder. Endelig placerede forordningen også sikkerhed mere centralt i persondatabeskyttelsen i og med at sikkerhed blev et af de grundlæggende principper, ved at der blev introduceret tydeligere krav til (1) at gennemføre konsekvensanalyser (data protection impact assessment) og (2) den dataansvarliges evne til at dokumentere compliance (herunder med sikkerhed).

DI’s vejledning

Allerede mens forordningen lå i udkast begyndte Dansk Industris IT-sikkerhedsudvalg (DI) at arbejde med en vejledning, som skulle mappe kravene til den dataansvarlige ind i sikkerhedsstandarden ISO27002. Tanken var for det første at udnytte det overlap, der var i sikkerhedsmæssige krav mellem forordningen og standarden, og for det andet at tviste begge kilder en smule således, at man kunne formulere både standarden og forordningen som kontroller og dermed have det samme governance framework for sikkerhed og persondatabeskyttelse.

DI lavede derfor en vejledning, hvor man i bilag 1 opsamlede alle de dele af forordningen, der kunne skrives som (sikkerheds)kontroller og mappede dem ind i de enkelte hovedområder/kapitler i standarden. Det blev dermed indlysende, at en række foranstaltninger understøttede både informationssikkerhed og persondatabeskyttelsen. Samtidig blev en række af forordningens krav til den dataansvarlige gjort meget mere operationelle.

ISO27701:2019 er født

I august 2019 kom så ISO27701, som har til formål at udvide sikkerhedsstandarderne ISO27001 og ISO27002 med henblik på at stille krav og retningslinjer til styring af behandlingen af personoplysninger. Hermed får vi altså en kanoniseret systematik til at skabe samspil mellem informationssikkerhed og persondatabeskyttelse, som samtidig bidrager væsentligt til vores compliance med persondataforordningen, og som man vil kunne certificeres efter. Standarden er nogenlunde præcis i sine krav, og der er desuden i bilagene en god og detaljeret mapping fra standardens kontroller til andre privacy standarder som f.eks. ISO29100 og ISO29151, ligesom der er en mapping fra standardens kontroller til artiklerne i persondataforordningen. Netop denne mapping kan hjælpe de dataansvarlige til at sikre en god dialog mellem jurister og teknikere.

ISO27701:2019 – Hvad får man?

ISO27701 indeholder fem hovedafsnit. Helt overordnet skal man justere alle steder, hvor der omtales informationssikkerhed således, at de politikker/regler/procedurer m.v. der omfatter informationssikkerhed også omfatter beskyttelse af privatlivets fred, når der behandles personoplysninger.

For det første findes der en række justeringer af ISO27001. Vi kender Information Security Management System (ISMS) fra ISO27001. Med ISO27701 lægges der op til, at dette skal suppleres med et Privacy Information Management System (PIMS). Disse management systemer er indrettet således, at de kan gå hånd i hånd. I forhold til organisationens kontekst skal man forstå sin rolle som dataansvarlig og/eller databehandler og f.eks. vurdere, hvordan privacyreguleringen påvirker organisationen og de aktører organisationen interagerer med. I planlægningsfasen skal man justere sine risikovurderinger således, at der tages højde for risici specifikt relateret til behandling af personoplysninger herunder også risici for de registrerede. SoA’en justeres i overensstemmelse hermed.

For det andet findes der en række justeringer af kontrollerne i ISO27002. Overordnet set skal kontrollerne ses i lyset af både risiko relateret til informationssikkerhed og risiko relateret til privatlivets fred for de registrerede. ISO27701 lægger herefter op til en række tekstnære ændringer af kontrollerne i ISO27002. F.eks. skal IT-politikken justeres, der skal udpeges et kontaktpunkt for behandling af personoplysninger (ligesom der er for informationssikkerhed), der skal laves awareness om behandling og beskyttelse af personoplysninger (ligesom der er for informationssikkerhed), der skal introduceres logning af adgang m.v. til behandling af personoplysninger, der er krav til design, databehandlere, databrudshåndtering osv. Kontrollerne er så præcise som forordningen og ISO27001, og der er derfor stadig rum til fortolkning og plads til debat om, hvordan man skal udføre det i praksis.

For det tredje findes der en række ekstra kontroller, som de dataansvarlige skal supplere kontrollerne fra ISO27002 med. Hvor ovenstående justerede ordlyden af eksisterende kontroller, er der her tale om tilføjelse af helt nye kontroller udenfor den eksisterende terminologi. Man kan sige, at ISO27002 tilføjes et nyt kapitel 19. ISO27002 indeholder kontrol 18.1.4, der netop stiller krav om, at privatlivets fred og personoplysninger bør beskyttes i overensstemmelse med relevant regulering. Men ISO27701’s forfattere har valgt ikke at supplere denne kontrol, men i stedet lægge op til noget helt nyt – derfor må det svare til at tilføje et nyt kapitel 19 til ISO27002. De nye kontroller omfatter bl.a. dokumentation af lovlighed, gennemførelse af privacy impact assessments og opfyldelse af alle de registreredes rettigheder. Videre er også indeholdt krav til privacy by design og default, som skal understøtte alle de grundlæggende principper i forordningens artikel 5. Det bliver altså en del af standarden, at alle de garantier, som de registrerede gives, designes ind i løsningerne, således som der bl.a. advokeres for i artiklen Databeskyttelse gennem design i Revision og Regnskabsvæsen, nr. 12, 2017.

For det fjerde findes der en række ekstra kontroller, som databehandlerne skal supplere deres kontroller fra ISO27002 med. Disse skal ikke forfølges yderligere her, men det skal bemærkes, at ISO27701 også mapper sig op imod ISO27018, som netop er standarden for cloud providere, der behandler personoplysninger. Det skal videre bemærkes, at der allerede findes leverandører som er certificerede på trods af at standarden er meget ny. Det skyldes at arbejdet med den har stået på længe (bl.a. under navnet ISO/IEC 27552), og derfor har været kendt for en snæver kreds.

Standarden afsluttes med den omtalte grundige mapping mellem ISO27701 og en række andre privacy standarder samt artiklerne i persondataforordningen.

ISO27701 – Evaluering

ISO27701 er virkelig nyttig i forhold til organisationer, der har arbejdet med ISO27001 og ISO27002 som sikkerhedsframework. ISO27701 vil bidrage til samarbejdet mellem jura og it. ISO27701 vil ensrette organisationens compliance- og governance-arbejde, fordi man kan bruge det samme setup for ledelse og kontrol for både informationssikkerhed og behandling af personoplysninger. ISO27701 er som en international standard en kanonisering af en bestemt måde at gøre ting på, som kan erstatte den usikkerhed, der altid ligger i ens egne vurderinger. ISO27701 skaber sammenlignelighed på tværs af organisationer, hvilket kan være relevant ved f.eks. tæt samarbejde eller mergers and acquisitions. På den lange bane kan ISO27701 måske skabe en mere gennemsigtig dialog med tilsynsmyndighederne, hvor misforståelser kan undgås, fordi man taler samme sprog.

Et par afsluttende lidt nørdede betragtninger

Man kan spørge sig selv hvor vi i lyset af ISO27701 nu står med Datatilsynets og FSRs ISAE3000-erklæring. Hvis man er pragmatisk, kan man sige, at det jo er fint at have en revisionserklæring, som vurderer centrale behandlinger af personoplysninger. Som dataansvarlig er det dog nok lidt bureaukratisk generende at blive revideret efter nogle lidt andre mål, end dem som man måske har sat sig, hvis man følger ISO27701. Man kunne derfor håbe på, at ISAE3000-skabelonen justeres, så den afspejler ISO27701.

Standarden er i sin oversættelse blevet rettet mod ”personfølsomme oplysninger”. Det er der ikke noget der hedder (udover i pressen). Vi har almindelige personoplysninger, fortrolige personoplysninger og følsomme personoplysninger. Desuden er oversættelsen fra det engelske privacy til det danske personfølsom nok lidt skæv. Endelig adresserer standarden jo i høj grad almindelige oplysninger, så det er nok også lidt skævt at overskriften i oversættelsen vedrører følsomme oplysninger. Man kunne godt ønske sig, at ”personfølsomme oplysninger” i overskriften blev rettet til ”personoplysninger”.

Der er som nævnt ovenfor stadig rum til fortolkninger af, hvordan man i praksis skal gennemføre organiseringen, skrive politikker, procedurer, regler, gennemføre kontroller osv. ISO27701 er ikke et nybrud med det, vi kender fra ISO27001. Men nogle gange, når man sidder og skal udføre det praksis, kunne man måske godt ønske sig, at man ved en eventuel kommende revision af ISO27xxx kiggede lidt på IEC 62443, hvor man ud fra et ja/nej til helt konkrete foranstaltninger får indplaceret sig på et risikoniveau, som man så kan præsentere sin ledelse for. Det synes i hvert fald at være meget operationelt.

Links

ISO27701 hos Dansk Standard:
https://webshop.ds.dk/Default.aspx?ID=118&productid=M328534

Dansk Industris vejledning med mapping af ISO27002 og persondataforordningen i bilag 1: https://digital.di.dk/SiteCollectionDocuments/Vejledninger/Persondataforordningen/Vejledning%20om%20persondataforordningen%20med%20bilag.pdf

Henning Mortensens artikel om Databeskyttelse gennem design i Revision og Regnskabsvæsen:
https://www.karnovgroup.dk/artikler/rr-12-2017-databeskyttelse

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin