Der er store forskelle på GDPR og ISMS, og derfor vælger mange organisationer at opdele arbejdet på de forskellige områder. Men den fragmenterede indsats er ikke altid en fordel – faktisk tværtimod. Der er nemlig også en del punkter, hvor de to ting overlapper hinanden, og ved at nedbryde den siloopdelte indsats kan du effektivisere arbejdet og drage fordel af et fælles udgangspunkt.
Fordelene kan blandt andet være:
- Reducering af omkostninger
- Reducering af overflødige aktiviteter eller duplikater
- Bedre informationskvalitet
- Hurtigere og mere effektiv informationsindsamling
- En strømlinet tilgang til arbejdsprocesser
- Et pålideligt kontrolmiljø.
Spørgsmålet er naturligvis, hvordan du kan kombinere arbejdet med GDPR og ISO 27001, der er den internationale standard for ISMS. For at finde svaret tager vi et kig på, hvor de to områder overlapper hinanden og forklarer, hvorfor det er en fordel at integrere arbejdsprocesserne.
ISO 27001 er ikke lige med GDPR-compliance, men...
Når alt kommer til alt, kan ISO 27001 koges ned til et spørgsmål om informationssikkerhed. GDPR er andet og mere end det, og selvom standarden berører en del af punkterne i GDPR, er en certificering ikke det samme som at være GDPR-compliant – til det er forskellene for store.
Alligevel er der god grund til at skabe en fælles arbejdsramme, hvor der er synergi mellem de to områder. Der er nemlig essentielle punkter, hvor ISO 27001 overlapper GDPR, og hvor du derfor kan spare ressourcer og effektivisere indsatsen.
Meddelelse om brud på personoplysninger
ISO 27001 og GDPR stiller begge krav om, at tilsynsmyndighederne skal underrettes om brud på personoplysninger inden for 72 timer efter opdagelsen af dem. Det håndterer ISO 27001 ved at indeholde standarder og procedurer, der sikrer, at informationssikkerhedshændelser håndteres på en konsekvent måde.
Med ISO 27001 bliver du bedre rustet til at opdage, rapportere og administrere hændelser vedrørende personlige data, og dermed til at opretholde overholdelse af GDPR.
Krav om gennemsigtighed
Både ISO 27001 og GDPR kræver, at organisationer skal stille alle lovgivnings- og kontraktmæssige krav til rådighed for revisorer, så revisionsteamet kan bekræfte, at reglerne overholdes.
Ved at samle compliancearbejdet under én paraply, slipper du for dobbeltarbejde og frigiver dermed ressourcer til andre dele af forretningen.
Risikovurdering
GDPR foreskriver konsekvensanalyser af databeskyttelse, hvilket betyder, at organisationer skal vurdere risici og sårbarheder vedrørende fortrolighed. ISO 27001 kræver den samme form for risikovurderinger, og her er der udarbejdet strømlinede procedurer for, hvordan arbejdet gribes an.
Med en ISO 27001-certificering har du altså allerede de værktøjer, der er nødvendige for at vurdere risici på GDPR-fronten. Hvorfor ikke udnytte værktøjerne på tværs af områderne?
Konkurrencemæssig fordel
Fremtidsudsigterne for GDPR indikerer, at databeskyttelsesregulering bliver mere og mere kompleks med yderligere bestemmelser tilføjet hvert år. Fremadrettet skal organisationer, der ønsker en strategisk fordel i forhold til konkurrenterne, indarbejde sikkerhedsstandarder i alle aspekter af deres forretning.
Med en ISO 27001-certificering vil du være forberedt på at møde de fremtidige krav til GDPR, da standarden blandt andet handler om, hvordan man beskytter informationsaktiver og personoplysninger.
Konklusion: ISO 27001 kan lette arbejdet med GDPR
Mens GDPR hovedsageligt drejer sig om, hvordan personlig data indsamles, giver ISO 27001-vejledning om, hvordan allerede indsamlet data forbliver fortrolige og sikre. Udgangspunktet er altså forskelligt, men alligevel er der en del punkter, hvor de to områder overlapper hinanden.
Ved at skabe et samlet overblik over disse complianceaktiviteter og udarbejde en fælles ramme, kan du således udnytte de redskaber, ISO 27001 tilbyder, til at lette arbejdet med GDPR - og sikre compliance. Samtidig vil din organisation opleve styrket risikostyring, øget effektivitet og bedre udnyttelse af ressourcerne. Dette vil især komme til udtryk, hvis din organisation, frem for Excel, vælger at systemunderstøtte arbejdet med en ISMS-løsning og GDPR-løsning, hvor der kan linkes mellem de forskellige delelementer.
