Att skydda personuppgifter är inte bara en juridisk skyldighet, det är också en fråga om förtroende och anseende. Organisationer av alla storlekar står inför en ständig utmaning när det kommer till att skydda känslig information och samtidigt följa en växande mängd bestämmelser och lagar om dataskydd, både nationellt och internationellt.
ISO 27701 – standarden för integritetsskydd– är en utvidgning av ledningsstandarden ISO 27001 för informationssäkerhet och ger insikt i de arbetsflöden och åtgärder som organisationer bör införa för att uppnå ett adekvat integritetsskydd.
Vad är ISO 27701?
I en värld där data flödar i alla riktningar och integriteten blir alltmer komplex erbjuder ISO 27701 en konkret väg till hantering av integritetsskydd. Som en förlängning av ISO 27001 fokuserar standarden på de specifika krav och riktlinjer som behövs för att skydda personuppgifter.
ISO 27701 ska inte ses som ett teoretiskt ramverk, utan snarare som en operativ guide som kan anpassas till organisationens behov. Den täcker allt från dataklassificering och åtkomstkontroll till riskbedömning och incidenthantering, och är ett konkret verktyg som kan användas för att visa att GDPR efterlevs samt signalera till kunder och partners att integritet är ett kärnvärde i organisationen.
Varför arbeta med ISO 27701?
Det finns flera fördelar med att följa kraven i ISO 27701 – först och främst kan organisationen säkerställa och dokumentera efterlevnad av tillämpliga lagar och förordningar, oavsett om organisationen agerar som personuppgiftsbiträde eller personuppgiftsansvarig. Men det finns också mjukare värden som står på spel.
Genom att följa ISO 27701 kan organisationer stärka förtroendet hos kunder och partners, samtidigt som standarden erbjuder riskhanteringsverktyg som kan hjälpa organisationer att undvika fallgropar och förbättra sitt rykte. Med rätt strategi kan implementeringen också öppna dörrar till nya marknader och kunder med höga integritetskrav. ISO 27701 integrerar dessutom integritet i organisationens övergripande riskhantering, vilket skapar ett holistiskt synsätt på säkerhet och efterlevnad.
Standarden kan ses som ett strategiskt och operativt ramverk som inte bara tar upp de juridiska kraven, utan även de affärsmässiga och etiska aspekterna kring integritet. Det blir på så vis inte bara en fråga om att följa lagen, utan om att bygga en kultur där integritetsskydd är en integrerad del av organisationens DNA.
LÄS OCKSÅ: Complianceplan: Få ledningens stöd och förståelse
Hur blir man certifierad enligt ISO 27701-standarden?
För att uppnå ISO 27701-certifiering måste du implementera ett effektivt sekretesshanteringssystem som uppfyller kraven i standarden. Det är en resa som innehåller flera steg - bland annat:
1) Förstå kraven: Implementeringen börjar med att man utvecklar en förståelse för de specifika kraven i ISO 27701 och hur de relaterar till organisationen. Detta kräver en grundlig genomgång av standarden, eventuellt med professionell rådgivning vid sidan av.
2) Gap-analys: När kraven har listats och relaterats till organisationen bör en gap-analys genomföras för att identifiera var organisationen behöver vidta åtgärder i förhållande till standardens krav.
3) Implementering: Baserat på gap-analysen måste relevanta policyer, rutiner och kontroller utvecklas och implementeras för att uppfylla kraven i ISO 27701, vilket kan omfatta tekniska, organisatoriska och juridiska åtgärder.
4) Internrevision: När förändringarna har genomförts måste en internrevision genomföras för att säkerställa att alla krav är uppfyllda och att processerna fungerar som de ska.
5) Bli certifierad: Det sista steget i certifieringen är att välja ett erkänt och ackrediterat certifieringsorgan som ska utföra den externa certifieringsrevisionen.
Det är viktigt att nämna att certifieringen i sig naturligtvis är en prestation, men också bara en början på resan. Sekretess är en dynamisk och ständigt föränderlig utmaning som kräver kontinuerligt underhåll för att din organisation ska kunna anpassa sig till förändringar inom området, och säkerställa att rutiner och kontroller fortfarande är relevanta och uppfyller kraven.
