Organisationer, der behandler personoplysninger, oplever i dag en række udvidede krav til at sikre privatlivet for kunder, brugere, borgere, medarbejdere m.fl. Det skyldes ikke mindst Persondataforordningens (GDPR’s) ikrafttræden. ISO/IEC 27701 er udarbejdet ud fra et behov om at adressere privatlivsbeskyttelse inden for rammerne af et ledelsessystem for informationssikkerhed. Standarden indeholder både krav og vejledning til etablering, implementering, vedligeholdelse og løbende forbedring af et sådant ledelsessystem.
ISO/IEC 27701 giver organisationer konkrete anvisninger til at integrere og forene arbejdet med persondatabeskyttelse med arbejdet for informationssikkerhed. Standarden kan hjælpe organisationer med at strukturere deres arbejde med personoplysninger og minimere risikoen for brud på privatlivsbeskyttelsen. Compliance er en udtalt udfordring blandt mange virksomheder og organisationer, og standarden ISO/IEC 27701 er her et nyttigt værktøj til netop at dokumentere, internt såvel som eksternt, hvordan organisationen sikrer privatlivsbeskyttelse i henhold til lov eller kundekrav. Som organisation kan det være komplekst at gennemskue, hvordan man får mappet disse krav og retningslinjer ift. organisationens håndtering af persondata. Her er standarden et værdifuldt redskab, blandt andet i kraft af et anneks, som er en direkte mapping af standardens krav og vejledning op imod Persondataforordningens (GDPR’s) artikler. Det er dog vigtigt at understrege, at der ikke en 1:1 compliance med GDPR, hvis man følger standarden. Det er nødvendigt, at en organisation orienterer sig ift. øvrig lovgivning og yderligere retningslinjer.
Standarden bidrager også til en klar fordeling af roller og ansvarsområder, og er således et værdifuldt værktøj for både dataansvarlige og for databehandlere. For de dataansvarlige kan standarden især bidrage til at skabe gennemsigtighed og fungere som et redskab til at styre databehandlingsprocesserne. For databehandlerne kan standarden særligt bidrage til at dokumentere overfor kunder, borgere m.fl., at deres personoplysninger er håndteret korrekt. Samtidig kan standarden bidrage til at styrke kommunikationen mellem jurister og teknikere via en fælles referenceramme for informationssikkerhed og privatlivsbeskyttelse.
Sidst, men ikke mindst, er standarden med til at opbygge tillid. Standarden er internationalt anerkendt og spås at finde bred anvendelse globalt. Det bidrager til skabe tillid til de organisationer, der anvender standarden, da det vidner om, at man arbejder struktureret med persondatabeskyttelse og kan fremvise dokumentation for arbejdet.
Hvis din organisation behandler personoplysninger, og I ønsker en struktureret tilgang til at integrere informationssikkerhed og persondatabeskyttelse, så vil standarden være værdifuld at orientere sig i. Standarden er især interessant for databehandlere og dataansvarlige, da den bidrager med vejledning i passende foranstaltninger for deres respektive roller. Standarden er relevant for alle typer og størrelser af organisationer.
For de organisationer, der allerede har opbygget og implementeret et ledelsessystem for informationssikkerhed, er ISO/IEC 27701 en udvidelse til også at omfatte persondatabeskyttelse. For organisationer, der ikke arbejder med ISO/IEC 27001 og ISO/IEC 27002, kan standarden give inspiration til overholdelse af de grundlæggende privacy-principper og til effektiv håndtering af personoplysninger i en organisation.
ISO/IEC 27701 er ligesom ISO/IEC 27001 en kravstandard bygget op omkring et ledelsessystem, hvilket betyder, at det er muligt for en organisation at blive certificeret i standarden. Certificering i ISO/IEC 27701 forudsætter dog tidligere eller samtidig certificering i ISO/IEC 27001.
Løsningen kan tilgås via browsere fra Google Chrome, Safari, Firefox og Microsoft Edge, men ikke fra Internet Explorer 11.
