Den nya ISO-standarden ISO 27701 ingår i en serie standarder som rör informationssäkerhet. Svenska institutet för standarder, SIS, har tillsammans med 47 andra länder arbetat med att ta fram den. ISO 27701 blir nu svensk standard i svensk översättning. Tanken är att den ska vägleda företag och organisationer så att de enklare kan följa lagen.

– Det här är en efterlängtad del som tidigare saknats. Genom att ha tydliga interna rutiner och följa en standard för informationssäkerhet minskar riskerna för att organisationer missar något viktigt eller att ett misstag begås, säger Anders Lindberg, projektledare på SIS.

Informationssäkerhetschefen och dataskyddsombudet på Ica Sverige, Jan-Olof Andersson, deltog i standardiseringsarbetet. Han har också tidigare varit ordförande för den svenska standardiseringskommittén för informationssäkerhet.

– Det finns ett stort behov av att stärka sitt informationssäkerhetsarbete med att integrera hur man arbetar med dataskydd, även globalt, samt vägledning kring detta. Här fyller standarder ett stort behov. Sedan tidigare finns säkerhetsstandarderna ISO 27001 och ISO 27002 som används av många företag och organisationer. Den här standarden ska bidra med att tillföra dataskydd och kompletterar på så vis de andra, de används ihop, säger Jan-Olof Andersson.

ISO-standard hjälper organisation gdpr
Jan-Olof Andersson är informationssäkerhetschef och dataskyddsombud på Ica Sverige.

GDPR ställer i viss utsträckning krav på dokumentation av dataskyddsarbetet. Detta kan beskrivas som att det ställs krav på ett ledningssystem. Standarden ger förutsättningar för ett genomtänkt ledningssystem utifrån bästa praxis idag. En väl genomförd implementation kan också vara ett stöd för att säkerställa att dataskyddsombudet blir involverat enligt kraven i GDPR.

– Informationssäkerhet och dataskydd, GDPR, är delar av varandra. Skilda processer innebär oftast merarbete. Genom att integrera allt i ett gemensamt ledningssystem säkrar man både individens och verksamhetens intresse, säger Jan-Olof Andersson.

– Standarden visar på krav i att styra arbetet med informationssäkerhets- och dataskydd och den ger vägledning för hur man skyddar personuppgifter samt vilka krav som ställs på en personuppgiftsansvarig och på ett personuppgiftsbiträde. Standarden ger bättre förutsättningar att följa lagen. Men man kan inte använda den för att visa laguppfyllnad. Standarder kan nämligen generellt sett inte användas för laguppfyllnad, såvida inte lagen kräver uppfyllnad av en viss standard. Med det sagt kommer man väldigt långt i sitt dataskyddsarbete om man följer denna standard.

Jan-Olof Andersson får medhåll av Mattias Gotthold som arbetar som dataskyddsombud (DPO) och kommunjurist på Luleå kommun.

Kommer sannolikt minska risk för sanktioner

– Certifiering innebär inte att du får en ”GDPR-certifiering” och innebär inte att du följer hela GDPR. Certifiering innebär inte heller att du inte kan få sanktioner. Men om du kan visa att du har ett systematiskt dataskyddsarbete, till exempel genom certifiering, kommer det sannolikt påverka storleken på sanktionen och minska risken för att få sanktioner, säger Mattias Gotthold.

Att det är viktigt att skilja på en standard och själva lagen understryks av Datainspektionen.

– Standarden är ett tillägg till informationssäkerhetsstandarden ISO/IEC 27001 som ska ta höjd för integritetsskyddsfrågorna. Att följa, eller till och med certifiera sig mot, en standard ersätter inte kravet på regelefterlevnad. Att arbeta strukturerat, till exempel utifrån en standard, ökar sannolikheten att göra rätt och minskar risken att glömma något och därmed göra fel, säger Magnus Bergström, it-säkerhetsspecialist på Datainspektionen.

ISO-standard hjälper organisation gdpr
Mattias Gotthold är dataskyddsombud (DPO) och kommunjurist på Luleå kommun.

Enligt Jan-Olof Andersson får dataskyddsansvariga och DPO:er stöd i arbetet med processer och riktlinjer inom dataskyddsarbetet. De ansvariga får även vägledning i att kunna värdera om man har alla delar på plats för att hantera och skydda personuppgifter. I standarden finns det en förteckning på vilka av artiklarna i dataskyddsförordningen som täcks av standarden.

– Idag behöver alla organisationer förhålla sig till informationssäkerhet och hantering av personuppgifter, oavsett vilken bransch man jobbar i. Genom att använda sig av hela det här standardpaketet så behöver man inte uppfinna hjulet själv utan man använder sig av internationellt beprövad best practice eftersom ISO-standarder tas fram gemensamt av länder över hela världen. Verksamheten får en tydlig anvisning om hur man ska skydda personuppgifter genom att använda sig av standarden, säger Jan-Olof Andersson.

– Standarden omfattar frivilliga krav i GDPR som gäller specifikt för personuppgiftsansvariga och personuppgiftsbiträden, till exempel krav på avtal om personuppgiftsbehandling. Ett väl implementerat ledningssystem utifrån standarden ger därför en god grund för ett systematiskt dataskyddsarbete, säger Mattias Gotthold.

ISO 27701 är alltså en en internationell standard, vilket innebär att den går utöver enbart krav i GDPR. Detta gör att standarden kan vara en särskilt bra grund för ett systematiskt dataskyddsarbete för organisationer som måste följa flera dataskyddslagstiftningar. Europeiska dataskyddsstyrelsen, en organisation som syftar till att bidra till harmonisering av GDPR och består bland annat av representanter för tillsynsmyndigheter på området, till exempel svenska Datainspektionen, har deltagit i arbetet med att ta fram standarden, vilket ger en ökad legitimitet till standarden.

Är inte internationellt erkända

Det går idag inte att få certifiering från ackrediterat certifieringsorgan, en ackrediterad certifiering. Detta beror på att det ännu inte finns några ackrediterade certifieringsorgan. Det finns däremot organisationer som utger certifikat redan idag. Dessa certifikat är inte internationellt erkända utan är bara värda lika mycket som förtroendet är för den som utfärdar certifieringen. Om det är ett seriöst certifieringsorgan som lämnat certifieringen kommer det sannolikt vara en god grund för ackrediterad certifiering när det finns ackrediterade certifieringsorgan.

Det finns dock delar av ISO 27701 som Mattias Gotthold inte är helt nöjd med. Han pekar speciellt på att det kan uppstå en konflikt mellan olika roller och ansvar.

– I standarden beskrivs att dataskyddsombudet kan vara ansvarig för, skapa och implementera ledningssystemet för personuppgifter. Jag anser att detta är olämpligt. Jag har pratat med andra experter på området och en av författarna till standarden som delar min uppfattning. Detta eftersom dataskyddsombudet ska granska efterlevnaden av lagstiftningen. Dataskyddsombudet kan, enligt min bedömning, inte både vara ansvarig för ledningssystemet och samtidigt granska det, säger Mattias Gotthold.

– Men standarden ger dataskyddsombudet ett tydligt ramverk, som får anses vara best practice på området, att granska graden av efterlevnad till GDPR utifrån. På detta sätt kan arbete enligt standarden underlätta för den personuppgiftsansvarige, personuppgiftsbiträdet och dataskyddsombudet i sina respektive roller, säger Mattias Gotthold.

Mer information samt möjligheten att köpa standarddokumentet finns här.

Läs också:
Microsoft anpassar sitt moln för att klara GDPR
Andra vågen – GDPR åter högt på företagens agendor