Det er store forskjeller mellom GDPR og ISMS, og derfor velger mange organisasjoner å dele opp arbeidet i de ulike områdene. Men den fragmenterte innsatsen er ikke alltid en fordel – faktisk tvert imot. Det er nemlig en del områder hvor de to tingene overlapper hverandre, og man kan effektivisere arbeidet ved å dra nytte av disse felles utgangspunktene.
Fordelene kan omfatte:
- Kostnadsreduksjon
- Reduksjon av overflødige aktiviteter eller duplikater
- Bedre informasjonskvalitet og et pålitelig kontrollmiljø
- Raskere og mer effektiv informasjonsinnhenting
- En hensiktsmessig tilnærming i dine arbeidsprosesser
Det store spørsmålet er selvfølgelig hvordan du kan kombinere arbeidet med GDPR og ISO 27001, som er den internasjonale standarden for ISMS. For å finne svaret tar vi en titt på hvor de to områdene overlapper hverandre, og forklarer hvorfor det er en fordel å integrere arbeidsprosessene.
ISO 27001 er ikke det samme som GDPR-samsvar, men ...
Kort oppsummert handler ISO 27001 om spørsmål relatert til informasjonssikkerhet. GDPR er mer enn det, og selv om standarden berører noen av punktene i GDPR, er ikke en sertifisering det samme som å være GDPR-kompatibel – til det er forskjellene for store.
Det er likevel god grunn til å lage en felles arbeidsramme mellom de to områdene. Det er nemlig vesentlige punkter hvor ISO 27001 overlapper GDPR, og hvor man derfor kan spare ressurser og effektivisere innsats.
Melding om brudd på personopplysninger
ISO 27001 og GDPR krever begge at personer blir varslet om brudd på personopplysninger innen 72 timer etter at de blir oppdaget. Det håndterer ISO 27001 ved å inkludere standarder og prosedyrer som sikrer at informasjonssikkerhetshendelser håndteres på en konsistent måte.
Med ISO 27001 vil du være bedre rustet til å oppdage, rapportere og håndtere hendelser vedrørende personopplysninger, og dermed opprettholde samsvar med GDPR.
Krav om gjennomsiktighet
Både ISO 27001 og GDPR krever at organisasjoner gjør alle regulatoriske og kontraktsmessige krav tilgjengelige for revisorer, slik at revisjonsteamet kan bekrefte overholdelse av reglene.
Ved å kombinere compliance-arbeidet under én paraply unngår du dobbeltarbeid, og frigjør dermed ressurser til andre deler av virksomheten.
Risikovurdering
GDPR omhandler konsekvensvurderinger av databeskyttelse, som betyr at organisasjoner må vurdere risikoer og sårbarheter angående konfidensialitet. ISO 27001 krever samme type risikovurderinger, og her er det utviklet strømlinjeformede prosedyrer for hvordan arbeidet tilnærmes.
Med en ISO 27001-sertifisering har du allerede verktøyene som trengs for å vurdere risikoer på GDPR-fronten. Hvorfor ikke bruke verktøyene på tvers av områder?
Konkurransefordel
Fremtidsutsiktene for GDPR indikerer at databeskyttelsesreguleringen blir mer og mer kompleks, med tilleggsbestemmelser som legges til hvert år. Fremover må organisasjoner som søker et strategisk fortrinn i forhold til konkurrenter inkorporere sikkerhetsstandarder i alle aspekter av virksomheten.
Med en ISO 27001-sertifisering vil du være forberedt på å møte de fremtidige kravene i GDPR, da standarden blant annet handler om hvordan du beskytter informasjonsmidler og personopplysninger.
Konklusjon: ISO 27001 kan lette arbeidet med GDPR
Mens GDPR hovedsakelig handler om hvordan personopplysninger samles inn, gir ISO 27001 veiledning om hvordan allerede innsamlede data forblir konfidensielle og sikre. Utgangspunktet er derfor forskjellig, men likevel er det en del punkter hvor de to områdene overlapper hverandre.
Ved å lage en helhetlig oversikt over dine compliance-aktiviteter, kan du utnytte verktøyene som ISO 27001 tilbyr for å lette arbeidet med GDPR. Da blir det enkelt å sikre at reglene etterfølges.
LES OGSÅ: Compliance-kultur – hvordan driver du endringen som trengs?