Contact us: +45 32 67 26 26
Dansk
Tilbage til blog
8 min read

Hvad Er Sammenhængen Mellem ISO27001 Og GDPR (Persondataforordningen)?

Rasmus Hangaard Vinge
By: Rasmus Hangaard Vinge GDPR | 3 oktober

ISO27001 og Persondatafordningen (GDPR) er en svær størrelse, og det er ikke helt nemt at komme i bunden af begge. I dette blogindlæg vil vi derfor guide og vejledede dig i hvad forskellene og sammenhængene er mellem ISO27001 og GDPR. Vi vil også hjælpe dig med at sikre at din organisation lever op til til GDPR.

Her kan du læse om

Sådan sikrer du, at jeres IT-sikkerhed lever op til kravene i persondataforordningen

Hvorfor er det vigtigt? 

I dette blogindlæg vil jeg beskrive, hvordan du kan sikre at jeres organisations it-sikkerhed lever op til kravene i persondataforordningen (også kaldet persondataloven eller GDPR). 

Når du har læst dette blogindlæg, vil du selv være i stand til at påbegynde eller fortsætte jeres arbejde med at få etableret de sikkerhedstiltag, som skal til for at leve op til de regler persondataforordningen forudsætter. 

Der vil være fokus på de indledende processer omkring risikovurdering, og jeg vil også vise, hvordan persondataforordningen og ISO27001 smelter sammen, og hvordan man helt praktisk kan gå til værks i arbejdet med implementering af it-sikkerhed. 

 Hvordan hænger persondata sammen med IT-sikkerhed?

Persondataloven, Persondataforordningen eller GDPR – kært barn har mange navne…. Det korrekte navn er dog persondataforordningen, som trådte i kraft maj 2018 og afløste den tidligere persondatalov.  

Hvad står GDPR egentlig for? - Ja, det er blot en forkortelse af den engelske oversættelse – General Data Protection Regulation. 

Hvad er Persondataforordningen? 

Persondataforordningen drejer sig grundlæggende om at organisationer, som behandler persondata i Europa, skal leve op til en række regler, således at borgerne kan føle sig sikre på, at deres personlige data ikke bliver misbrugt, lækket eller på anden måde behandlet på en måde, som ikke er i deres interesse. 

Persondataforordningen gælder både det fysiske og det digitale, men fordi der de seneste år er så mange organisationer, som netop behandler persondata i digitale systemer, så har den ”digitale” del af persondataforordningen fyldt det meste fra start – og med god grund. 

Og når man snakker beskyttelse af data i det digitale, så snakker man jo it-sikkerhed. Derfor har der været en klar sammenhæng mellem organisationers arbejde med IT-sikkerhed og deres evne til at leve op til GDPR-reglerne. 

I dette blogindlæg vil jeg gå mere i dybden med hvordan persondataforordningen stiller krav til organisationers IT-sikkerhed og hvordan organisationer jf. de nye regler skal gå til opgaven med at sikre, at man lever op til reglerne. 

Heldigvis afviger reglerne ikke langt fra informationssikkerhedsstandarden ISO 27001, som i mange år har været den mest anvendte og anerkendte standard inden for IT-sikkerhed 

Derudover har Datatilsynet været så behjælpelige at lave en vejledning i ”behandlingssikkerhed”, som også viser konkrete metoder til hvordan arbejdet kan tilrettelægges. Her er der også direkte henvisninger til ISO27001

 
Billede af Risiko-analyse skabelon

Hvordan hænger persondataforordningen og IT-sikkerhedsstandarden ISO27001 sammen? 

Som det første vil jeg gerne vise hvordan der er et direkte link mellem persondataforordningen og ISO27001. Dette ses i formuleringen af sikkerhedskrav og sikkerhedsforanstaltninger i lovteksten i persondataforordningen. 

Der er tydelige link mellem de to: 

Tabel der viser link mellem persondataforordningen og ISO27001

Der er således ikke nogen tvivl om at it-sikkerhed og persondataforordningen hænger sammen. Lad os nu dykke dybere i hvordan man konkret griber opgaven an med at få etableret det nødvendige it-sikkerhedsniveau for at leve op til kravene. 

Hvad siger Datatilsynets vejledning i behandlingssikkerhed? 

I juni 2018 udgav Datatilsynet deres vejledning til danske organisationer i behandlingssikkerhed. Dette er en stor hjælp for danske organisationer, da denne vejledning netop forsøger at gøre de mere ”overordnede principper for sikkerhedskrav og sikkerhedsforanstaltninger til mere konkrete tiltag, som man kan forholde sig til. Derudover stilles der mere skarpt ind på forventningen til selve processen for arbejdet med it-sikkerhed, hvilket igen trækker tråde til ISO27001. 

Lad os kigge lidt nærmere på hvad der står i Datatilsynets vejledning. 

Forside af Datatilsynets vejledning til behandlingssikkerhed

Først og fremmest gøres det klart i vejledningen at man skal tage udgangspunkt i en ”risikobaseret tilgang”. 

Denne risikobaserede tænkning kendetegnes ved implementeringen af processer, der tager højde for løbende identifikation af både risici og muligheder samt den efterfølgende overvågning, måling, evaluering og analyse af disse. 

Datatilsynet gør det altså klart i vejledningen, at processen for arbejdet med behandlingssikkerhed (it-sikkerhed) skal følge følgende steps: 

Vurdering af risici – passende tekniske og organisatoriske foranstaltninger – overvågning, måling – evaluering og analyse. 

Vi kommer senere tilbage til hvordan man helt konkret kommer i gang med de ovenstående steps. Men først kan vi tage et kig på hvordan ISO27001 lægger op til samme præcis samme proces, nemlig igennem: Plan – Do – Check – Act 

 Hvad siger ISO27001?

ISO27001 er en anerkendt international standard, som bruges i arbejdet med informationssikkerhed. ISO27001 er den mest anvendte standard i Europa og derfor har det også været oplagt for lovgiverne at kigge på denne standard, når man har skullet definere sikkerhedskrav og foranstaltninger i både persondataloven (den tidligere lov) og persondataforordningen (den nuværende lov). 

ISO27001 er delt op i fire overordnede steps: 

Plan do check act cyklus

Plan – risikovurdering

Do – Implementering af tiltag

Check – Måling af de implementerede tiltag

Act – Evaluering og tilretning af tiltag

Som beskrevet ovenfor, så er det præcis samme proces, som Datatilsynet ligger op til i deres vejledning i behandlingssikkerhed. 

Helt grundlæggende, så definerer ISO27001 den kontinuerlige proces med arbejdet med it-sikkerhed. Den fungerer ikke som en tjekliste, men lister dog en række områder, som er relevante at tage højde for. Men kernen i ISO27001 er, at man altid skal arbejde ud fra en risiko-baseret tilgang – dvs. vi skal kun implementere de tiltag, som er relevante for os ift. de risici, som vi har. 

ISO27001 lister dog en række områder, hvor der er inspiration til hvordan man kunne arbejde med tingene, hvis det er relevant for ens egen organisation. 

Disse områder er defineret i Bilag a til ISO27001: 

  • Information Security Policies 
  • Organization of Information Security 
  • Human Resource Security 
  • Asset Management 
  • Access Control 
  • Cryptography 
  • Operations Security 
  • Communications Security 
  • System Acquisition, Development and Maintenance 
  • Supplier Relationships 
  • Information Security Incident 
  • Management 
  • Information Security Aspects of Business 
  • Continuity Management 
  • Compliance 
Studerende sidder på bøger og prøver kurser gratis  Man kan arbejde med ISO27001 på forskellige niveauer:
  1. Man kan følge standarden – dvs. at man blot selv står inde for at man har implementeret processerne og tiltagene.
  2. Man kan få en revisionserklæring – ISAE3402 på at man følger standarden – det betyder, at man har fået en revisor til at gennemgå ens setup og indestå for at man følger processerne og har de relevante tiltag implementeret. 
  3. Man kan blive ISO-certificeret – hvilket betyder at man får en autoriseret ISO-auditør til at tjekke hele ens setup og sikrer at alt følger ISO-standarden fra A-Z. Dette er enormt omfattende og kun meget få organisationer vælger at gøre dette. 

Der er dog som udgangspunkt ikke noget krav til certificeringer i persondataforordningen. Men det kan være relevant overfor eksterne samarbejdspartnere og kunder. 

Efter denne introduktion til Datatilsynets vejledning i behandlingssikkerhed og ISO27001 er det nu relevant at kigge nærmere på selve processen omkring risikovurdering. 

Udfyld risikomatrix med risikovurdering

Lad os først starte med at definere risiko: 

Tekst der forklarer hvad risiko er – sandsynlighed x konsekvens

Risiko er altså sandsynligheden for at en specifik begivenhed forekommer sammenholdt med konsekvensen hvis en specifik begivenhed forekommer. Det er således vigtigt altid at have begge aspekter med – sandsynlighed og konsekvens.

Risikovurderingen er den proces, som man gennemgår for at identificere de relevante risici, som er tilstede i netop jeres organisation. Man kan således godt søge inspiration fra andre organisationer, men man skal altid lave risikovurdering med udgangspunkt i egne forhold. Vi har lavet en skabelon til at lave risikovurderinger, som du kan hente gratis her.

Ofte vil man gennemføre en risikovurdering på et møde eller workshop, hvor de relevante stakeholdere fra organisationen er til stede.

Målet er at kunne udfylde en risikomatrix som denne:

Ikke udfyldt risikomatrix

Hvad man skal tage udgangspunkt i? 

Når man har udfyldt risikomatrixen, er det nemt at vurdere, hvor man skal prioritere sine tiltag – det skal man selvfølgelig gøre hvis der er risici i de røde felter, og dernæst de gule. 

Det er vigtigt at være opmærksom på at der ift. ISO27001 og persondataforordningen er en vigtig forskel, som man skal tage hensyn til ift. processen for risikovurdering. 

Den traditionelle metode for risikovurdering, som man kender fra ISO27001, tager udgangspunkt i konsekvenserne for organisationen, altså hvilke økonomiske, omdømmemæssige, markedsmæssige, juridiske etc. konsekvenser, som en givende begivenhed for opleve. 

I den I Datatilsynets vejledning lægges der op til at man tager udgangspunkt i konsekvensen for den registrerede – altså den enkelte person – ikke organisationen. 

Dette er vigtigt at have for øje når man laver sin risikovurdering. 

Risikovurderingen for den registrerede laver man for at sikre at man lever op til reglerne og for at sikre at ens behandling af persondata ikke udgør en væsentlig risiko for de personer, hvis data man behandler. Hvis dette er tilfældet og der forekommer sikkerhedsbrud, så kan man blive ramt af hårde GDPR-bøder, hvilket derigennem kan true organisationens fremtidige liv.

Datatilsynets liste over konsekvenser i risikovurderingen

Datatilsynet har lavet en liste over konsekvenser, som man bør overveje i sin risikovurdering:

  • Fysisk skade

  • Materiel skade

  • Immateriel skade

  • Forskelsbehandling

  • Identitetstyveri

  • Identitetssvig

  • Økonomisk konsekvenser

  • Skade på omdømme

  • Sociale konsekvenser

  • Indflydelse på privatliv

  • Skade på menneskelig værdighed

  • Skade på legitime interesser

  • Begrænsning/krænkelse af fundamentale rettigheder og frihedsrettigheder

  • Forhindring i udøvelse af kontrol med  egne personoplysninger

Derudover har de beskrevet hvordan man bør vurdere påvirkningsgraden:

Tabel over påvirkningsgråd med beskrivelser

For at få både perspektivet for både organisationen og for den registrerede bør man derfor lave to risikovurderinger – en for organisationen og en for den registrerede. 

Se datatilsynets vejledning for en gennemgang af en risikovurdering, hvor der tages udgangspunkt i den registrerede.

Risikovurdering for en organisation 

I dette blogindlæg vil vi vise en risikovurdering, som tager udgangspunkt i en organisation. 

Denne risikovurdering tager udgangspunkt i konsekvensen for organisationen og baseres på organisationens aktiver eller processer. 

Risikovurderingen gennemføres ved at udfylde nedenstående skema: 

En ikke udfyldt risikovurdering

Definitioner:

Aktiv/proces: Jeres fysiske eller digitale aktiver eller processer – f.eks. servere, data eller salgsproces, markedsføringsproces. Ofte er det bedst at tage udgangspunkt i enten aktiver eller processer. I det videre vil der blive taget udgangspunkt i aktiver.

Trussel:Den relevante trussel, som kan ramme det pågældende aktiv. Det kan f.eks. være ransomware, nedbrud, phishing-angreb eller uautoriseret adgang til data. Trussel beskriver således ”hvad” der kan ske.

Sårbarhed: Her er det målet at identificere, ”hvorfor” en trussel kan ramme det pågældende aktiv. Der er således en sammenhæng mellem trussel og sårbarhed. ”Hvad” (trussel) kan der ske og ”hvorfor” (sårbarhed) kan det ske. Relevante sårbarheder kan være: ikke-opdaterede systemer, manglende redundans, ikke-opmærksomme/trænede medarbejdere, manglende adgangskontroller etc.

Sandsynlighed: Hvad er den vurderede sandsynlighed for at en specifik begivenhed forekommer. Jo mere sårbarheder og trussel – jo hørere sandsynlighed

Konsekvens: Hvad er den vurderede konsekvens for at en specifik begivenhed forekommer. Jo mere alvorlige sårbarheder og trussel + plus jo mere kritiske/værdifulde det pågældende aktiv [Symbol] jo højere konsekvens.

Øvelsen er således herfra at liste organisationens relevante aktiver og så arbejde sig igennem en for en.

Se nedenfor udfyldt skema med eksempler på hvordan det kunne se ud for en given organisation.

Udfyldt risikovurdering

I vores eksempel er det kun få af organisationens aktiver, som vi udfylder skemaet med, i en virkelig case ville det være meget længere. Men det viser den anvendte metodik. 

Hernæst er det muligt at udfylde risikomatrixen for at få overblikket over prioritering: 

Udfyldt riskomatrix

Det sidste step i ”Plan”-fasen er således at planlægge de tiltag, som skal adressere de risici, som skal håndteres. Som det ses ovenfor, er der i dette tilfælde to aktiver, som befinder sig i de røde felter – medarbejdere og server. Derfor bør man som minimum forsøge at implementere tiltag, som kan reducere risikoen for disse to aktiver.

Dokumenter dine tiltag 

Det er herefter vigtigt at man får dokumenteret hvilket tiltag, som man ønsker at implementere og får udpeget en ansvarlig for implementeringen. I dette tilfælde kunne en sådan actionliste se således ud:

Actionliste der forklarer risiko, tiltag til risiko og hvem der har ansvaret for det

Vi ser ofte, at netop medarbejdere udgår en væsentlig risiko både ift. den generelle it-sikkerhed, men også ift. overholdelse af reglerne i persondataforordningen.

Træn dine medarbejdere i IT-sikkerhed 

Vi har derfor udarbejdet en guide til hvordan du kommer i gang med at træne dine medarbejdere i it-sikkerhed og persondataforordningen (GDPR). I guiden får du gratis adgang til en række skabeloner og værktøjer, som du kan bruge i jeres organisation. 

Hvad har vi gennemgået? 

  • Der er en klar sammenhæng mellem it-sikkerhed og persondataforordningen 
  • Datatilsynets vejledning i behandlingssikkerhed lægger op til samme proces som ISO27001: Plan, Do, Check og Act 
  • Nøgleordet er risikovurdering – start derfor altid her 
  • Husk at der er forskel mellem risikovurdering for it-sikkerhed og persondata. Lav begge og sikr derved det fulde overblik 
  • Medarbejderne er altid en risiko – læs mere her 

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen. 
Back to blog
Recent articles
GDPR, IT-sikkerhed Guide: At Blive ISO27001 Certificeret Eller Få En ISAE3402 Revisionserklæring

Her finder du en omfattende guide, til hvad en ISO 27001 certificering eller ISAE 3402 revisionserklæring er og hvordan man starter på disse.

Joanna Kwong 13 min read - By Joanna Kwong
GDPR Hvad er persondata? - Læs mere i guiden her - Cyberpilot

Hvad er persondata? Læs mere om, hvordan Cyberpilot kan hjælpe dig med at sikre følsomme oplysninger omkring dine medarbejdere.

Mikael Korsholm Poulsen 3 min read - By Mikael Korsholm Poulsen
IT-sikkerhed Dansk Kodeks For Sikkerhedstest | Her Er Spillereglerne

Nyt kodeks for IT sikkerhedstests fra Center for Cybersikkerhed. Læs om principperne i kodekset, og hvordan vi arbejder med disse.

Anders Bryde Thornild 5 min read - By Anders Bryde Thornild