Hva bør virksomheter gjøre for å sikre etterlevelse av GDPR?

Mange virksomheter har etablert et styringssystem for informasjonssikkerhet (ISMS) basert på ISO 27001. Et spørsmål vi ofte får er om det er tilstrekkelig for å følge personvernregelverket (GDPR)? Svaret er nei, ikke alene.

• Artikkel 24 («internkontrollartikkelen») krever at behandlingsansvarlige skal gjennomføre tekniske og organisatoriske tiltak som både sikrer og påviser etterlevelse.
• Artikkel 28 («databehandlerartikkelen») krever at bare databehandlere som gir tilstrekkelige garantier for etterlevelse skal benyttes.

Utgangspunktet er altså et ISMS som baseres på ISO 27001. Det dekker arbeidet med informasjonssikkerhet. For å dekke arbeidet med personvern, så må vi i tillegg ta i bruk  ISO 27701. Det er en standard som bygger på ISO 27001, og legger til krav om personvern. Samlet sett inneholder disse to standardene tilstrekkelig med krav og sikkerhetstiltak til å utforme et styringssystem for informasjonssikkerhet og personvern.

Noen virksomheter ønsker bare å ha et grunnleggende på plass, andre ønsker å sertifisere styringssystemet så de kan dokumentere faktisk etterlevelse. Den beste dokumentasjon på etterlevelse har virksomheter som er både ISO 27001 og ISO 27701 sertifiserte.

Uansett ambisjonsnivå hjelper Move Cybersecurity din virksomhet med å få kontroll på styringen av arbeidet med informasjonssikkerhet og personvern. Her kan du lese mer om Move Cybersecurity. 

Fyll ut skjemaet om du ønsker å vite mer om hvordan vi kan hjelpe deg og din bedrift.