Håndtering av personinformasjon – NS-EN ISO/IEC 27701

Mens GDPR (personvernforordningen ) stiller overordnede krav til personvern, vil standarden NS-EN ISO/IEC 27701 gi veiledning til hvordan virksomhetene skal sette opp funksjoner og prosesser for å etterleve eller samsvare med GDPR-kravene.

Hva er NS-EN ISO/IEC 27701?

NS-EN ISO/IEC 27701 spesifiserer kravene til, og gir veiledning for å etablere, implementere, vedlikeholde og kontinuerlig forbedre, et informasjonshåndteringssystem for personvern (PIMS) basert på krav, kontrollmål og kontroller i ledelsesstandarden for informasjonssikkerhet, NS-EN ISO/IEC 27001, og utvidet med et sett med personvernspesifikke krav, kontrollmål og kontroller.

I likhet med standarden for informasjonssikkerhetsledelse, NS-EN ISO/IEC 27001, legger denne standarden opp til en risikobasert tilnærming slik at hver organisasjon avstemmer de spesifikke risikoene den står overfor, så vel som risikoen for ikke å overholde krav til behandling av personopplysninger og personvern.

NS ISO/IEC 27001 angir kravene til et informasjonssikkerhetsstyringssystem (ISMS), en risikobasert tilnærming som omfatter mennesker, prosesser og teknologi. Uavhengig akkreditert sertifisering til NS-EN ISO/IEC 27001 gir interessenter sikkerhet for at data blir sikret på riktig måte. NS-ISO/IEC 27006 som omhandler krav til sertifiseringsorganer er nå til vurdering for revisjon, med mulige tilleggsfunksjoner for personvern, NS-EN ISO/IEC 27701, som del av ISMS.

Hvem bør bruke NS-EN ISO/IEC 27701?

NS-EN ISO/IEC 27701 er laget for alle virksomheter som behandler personopplysninger.

Organisasjoner som allerede bruker NS-EN ISO/IEC 27001, vil kunne utvide sikkerhetsarbeidet til å dekke personvernhåndtering, inkludert deres behandling av personopplysninger / personlig identifiserbar informasjon (PII). Standarden vil også hjelpe dem å dokumentere overholdelse av lover om databeskyttelse som for eksempel GDPR.

Organisasjoner uten ISMS kan også ta i bruk NS-EN ISO/IEC 27001 og NS-EN ISO/IEC 27701 sammen som et enkelt implementeringsprosjekt. Fordi NS-EN ISO/IEC 27701 ganske enkelt utvider kravene og retningslinjene gitt av NS-EN ISO/IEC 27001 og denne standardens praksis i ISO 27002, kan dette implementeres samlet som ett ledelsessystem eller implementeringsprosjekt.

Hva er forskjellen mellom GDPR og et ledelsessystem for personlig informasjon?

Mens GDPR stiller overordnede krav til personvern, vil standarden NS-EN ISO/IEC 27701 gi veiledning til hvordan virksomhetene skal sette opp funksjoner og prosesser for å etterleve eller samsvare med for eksempel GDPR-kravene.

NS-EN ISO/IEC 27701 er designet for å sikre personlig informasjon, imidlertid er det noen forskjeller i terminologi mellom GDPR og NS-EN ISO/IEC 27701:

• "Personlig informasjon" i GDPR refererer til "personal data", mens NS-EN ISO/IEC 27701 bruker "PII" (personally identifiable information).
• "Behandlingsansvarlig" i GDPR tilsvarer "Data controller", mens NS-EN ISO/IEC 27701 bruker "PII controller".
• "Databehandler" i GDPR tilsvarer "Data processor", mens NS-EN ISO/IEC 27701 bruker "PII processor".
• "Den registrerte" i GDPR refererer til "Data subject", mens NS-EN ISO/IEC 27701 bruker "PII principal".
• "Innebygd personvern" i GDPR kalles "Privacy by design" i NS-EN ISO/IEC 27701.
• "Personvern som standardinnstilling" i GDPR kalles "Privacy by default" i NS-EN ISO/IEC 27701.

NS-EN ISO/IEC 27701 kobling til andre standarder

I tillegg til å stille personvernspesifikke krav, kontroller og kontrollmål for behandlingsansvarlige og databehandler(e) (Data processor), viser NS-EN ISO/IEC 27701 til:

• ISO 29100 (Informasjonsteknologi – Sikringsteknikker – Rammeverk for personvern)
• ISO 29151 (Informasjonsteknologi - Sikringsteknikker – Retningslinjer for personopplysninger)
• ISO 27018 (Informasjonsteknologi - Sikringsteknikker - Retningslinjer for beskyttelse av personopplysninger (PII) i offentlige skytjenester som håndterer personopplysninger).

Standarden inneholder også et vedlegg som kartlegger krav og ansvar til GDPRs krav, slik at NS-ISO/IEC 27701 kan brukes som en GDPR-samsvarsveiledning av behandlingsansvarlige (Data Controller) og databehandlere (Data Processor).

For eksempel dekkes den behandlingsansvarliges forpliktelser for å oppfylle den enkelte registrertes (Data Subject) rettigheter under GDPR av NS-EN ISO/IEC 27701s punkter som dekker forpliktelser overfor den enkelte registrerte (PII-principals).

NS-EN ISO/IEC 27701 gir veiledning for implementering av hver kontroll i GDPR.

For mer informasjon, ta kontakt med Team samferdsel, logistikk og digitalisering Fag- og personalleder Lars Erik Jensen lej@standard.no