Foto: Pete Linforth, Pixabay

Internasjonal standard for håndtering av personinformasjon, NS-ISO 27701

NS-ISO/IEC 27701 er laget for alle virksomheter som behandler personopplysninger. Den er utviklet som en samsvarsstandard for GDPR, basert på NS-EN ISO/IEC 27001.

Mens GDPR (personvernforordningen ) stiller overordnede krav til personvern, vil standarden NS-ISO/IEC 27701 gi veiledning til hvordan virksomhetene skal sette opp funksjoner og prosesser for å etterleve eller samsvare med GDPR-kravene.

Hva er NS-ISO/IEC 27701?

NS-ISO/IEC 27701 spesifiserer kravene til, og gir veiledning for å etablere, implementere, vedlikeholde og kontinuerlig forbedre, et informasjonshåndteringssystem for personvern (PIMS) basert på krav, kontrollmål og kontroller i ledelsesstandarden for informasjonssikkerhet, NS-EN ISO/IEC 27001, og utvidet med et sett med personvernspesifikke krav, kontrollmål og kontroller.

I likhet med standarden for informasjonssikkerhetsledelse, NS-EN ISO/IEC 27001, legger denne standarden opp til en risikobasert tilnærming slik at hver organisasjon avstemmer de spesifikke risikoene den står overfor, så vel som risikoen for ikke å overholde krav til behandling av personopplysninger og personvern.

NS ISO/IEC 27001 angir kravene til et informasjonssikkerhetsstyringssystem (ISMS), en risikobasert tilnærming som omfatter mennesker, prosesser og teknologi. Uavhengig akkreditert sertifisering til NS-EN ISO/IEC 27001 gir interessenter sikkerhet for at data blir sikret på riktig måte. NS-ISO/IEC  27006 som omhandler krav til sertifiseringsorganer er nå til vurdering for revisjon, med mulige tilleggsfunksjoner for personvern, NS-EN-ISO 27701, som del av ISMS.

Hvem bør bruke NS-ISO/IEC 27701?

NS-ISO/IEC 27701 er laget for alle virksomheter som behandler personopplysninger.

Organisasjoner som allerede bruker NS-EN ISO/IEC 27001, vil kunne utvide sikkerhetsarbeidet til å dekke personvernhåndtering, inkludert deres behandling av personopplysninger / personlig identifiserbar informasjon (PII).  Standarden vil også hjelpe dem å dokumentere overholdelse av lover om databeskyttelse som for eksempel GDPR.

Organisasjoner uten ISMS kan også ta i bruk NS-EN ISO/IEC 27001 og NS-ISO/IEC 27701 sammen som et enkelt implementeringsprosjekt. Fordi NS-ISO/IEC 27701 ganske enkelt utvider kravene og retningslinjene gitt av NS-EN ISO/IEC 27001 og denne standardens praksis i ISO 27002, kan dette implementeres samlet som ett ledelsessystem eller implementeringsprosjekt.

Hva er forskjellen mellom GDPR og et ledelsessystem for personlig informasjon?

Mens GDPR stiller overordnede krav til personvern, vil standarden NS-ISO/IEC 27701 gi veiledning til hvordan virksomhetene skal sette opp funksjoner og prosesser for å etterleve eller samsvare med for eksempel GDPR-kravene.

NS-ISO/IEC 27701 er designet for å sikre personlig informasjon, imidlertid er det noen forskjeller i terminologi mellom GDPR og NS-EN ISO/IEC 27701:

GDPR

NS-ISO/IEC 27701

Personlig informasjon

(personal data)

PII

Behandlingsansvarlig

(Data controller)

PII controller

Databehandler

(Data processor)

PII processor

Den registrerte

(Data subject)

PII principal

 

Innebygd personvern

(Data protection by design) 

Privacy by design

Personvern som standardinnstilling

(Data protection by default)

Privacy by default

NS-ISO/IEC 27701 kobling til andre standarder

I tillegg til å stille personvernspesifikke krav, kontroller og kontrollmål for behandlingsansvarlige og databehandler(e) (Data processor), viser NS-ISO/IEC 27701 til:

  • ISO 29100 (Informasjonsteknologi – Sikringsteknikker – Rammeverk for personvern)
  • ISO 29151 (Informasjonsteknologi - Sikringsteknikker – Retningslinjer for personopplysninger)
  • ISO 27018 (Informasjonsteknologi - Sikringsteknikker - Retningslinjer for beskyttelse av personopplysninger (PII) i offentlige skytjenester som håndterer personopplysninger).

Standarden inneholder også et vedlegg som kartlegger krav og ansvar til GDPRs krav, slik at NS-ISO/IEC 27701 kan brukes som en GDPR-samsvarsveiledning av behandlingsansvarlige (Data Controller) og databehandlere (Data Processor).

For eksempel dekkes den behandlingsansvarliges forpliktelser for å oppfylle den enkelte registrertes (Data Subject) rettigheter under GDPR av NS-ISO/IEC 27701s punkter som dekker forpliktelser overfor den enkelte registrerte (PII-principals).

NS-ISO/IEC 27701 gir veiledning for implementering av hver kontroll i GDPR.

For mer informasjon, ta kontakt med prosjektleder Lars Erik Jensen lej@standard.no

 

Mens GDPR (personvernforordningen ) stiller overordnede krav til personvern, vil standarden NS-ISO 27701 gi veiledning til hvordan virksomhetene skal sette opp funksjoner og prosesser for å etterleve eller samsvare med GDPR-kravene (Personvernforordningen).

Hva er NS-ISO 27701?

NS-ISO 27701 spesifiserer kravene til, og gir veiledning for å etablere, implementere, vedlikeholde og kontinuerlig forbedre, et informasjonshåndteringssystem for personvern (PIMS) basert på krav, kontrollmål og kontroller i ledelsesstandarden for informasjonssikkerhet, NS-EN ISO/IEC 27001, og utvidet med et sett med personvernspesifikke krav, kontrollmål og kontroller.

I likhet med standarden for informasjonssikkerhetsledelse, NS-EN ISO/IEC 27001, legger denne standarden opp til en risikobasert tilnærming slik at hver organisasjon avstemmer de spesifikke risikoene den står overfor, så vel som risikoen for ikke å overholde krav til behandling av personopplysninger og personvern[ITS1] .

ISO/IEC 27001 angir kravene til et informasjonssikkerhetsstyringssystem (ISMS), en risikobasert tilnærming som omfatter mennesker, prosesser og teknologi. Uavhengig akkreditert sertifisering til NS-EN ISO/IEC 27001 gir interessenter sikkerhet for at data blir sikret på riktig måte. NS-ISO/IEC  27006 som omhandler krav til sertifiseringsorganer er nå [ITS2] til vurdering for revisjon, med mulige tilleggsfunksjoner for personvern, NS-NS-ISO 27701, som del av ISMS.

Hvem bør bruke NS-ISO 27701?

NS-ISO 27701 er laget for alle virksomheter som behandler personopplysninger[ITS3] .

Organisasjoner som allerede bruker NS-EN ISO/IEC 27001, vil kunne utvide sikkerhetsarbeidet til å dekke personvernhåndtering, inkludert deres behandling av personopplysninger / personlig identifiserbar informasjon (PII).  Standarden vil også hjelpe dem å dokumentere overholdelse av lover om databeskyttelse som for eksempel GDPR.

Organisasjoner uten ISMS kan også ta i bruk NS-EN ISO/IEC 27001 og NS-ISO 27701 sammen som et enkelt implementeringsprosjekt. Fordi NS-ISO 27701 ganske enkelt utvider kravene og retningslinjene gitt av NS-EN ISO/IEC 27001 og denne standardens praksis i ISO 27002, kan dette implementeres samlet som ett ledelsessystem eller implementeringsprosjekt.

Hva er forskjellen mellom GDPR og et ledelsessystem for personlig informasjon?

Mens GDPR stiller overordnede krav til personvern, vil standarden NS-ISO 27701 gi veiledning til hvordan virksomhetene skal sette opp funksjoner og prosesser for å etterleve eller samsvare med for eksempel GDPR-kravene.

ISO/IEC 27701 er designet for å sikre personlig informasjon, imidlertid er det noen forskjeller i terminologi mellom GDPR og ISO/IEC 27701:

 

GDPR

NS-ISO/IEC 27701

Personlig informasjon

(personal data)

PII

Behandlingsansvarlig

(Data controller)

PII controller

Databehandler

(Data processor)

PII processor

Den registrerte

(Data subject)

PII principal

 

Innebygd personvern

(Data protection by design) 

Privacy by design

Personvern som standardinnstilling

(Data protection by default)

Privacy by default

 

NS-ISO 27701 kobling til andre standarder

I tillegg til å stille personvernspesifikke krav, kontroller og kontrollmål for behandlingsansvarlige og databehandler(e) (Data processor), viser NS-ISO 27701 [ITS4] til:

·         ISO 29100 (Informasjonsteknologi – Sikringsteknikker – Rammeverk for personvern);

·         ISO 29151 (Informasjonsteknologi - Sikringsteknikker – Retningslinjer for personopplysninger); og

·         ISO 27018 (Informasjonsteknologi - Sikringsteknikker - Retningslinjer for beskyttelse av personopplysninger (PII) i offentlige skytjenester som håndterer personopplysninger).

Standarden inneholder også et vedlegg som kartlegger krav og ansvar til GDPRs krav, slik at NS-ISO 27701 kan brukes som en GDPR-samsvarsveiledning av behandlingsansvarlige (Data Controller) og databehandlere (Data Processor).

For eksempel dekkes den behandlingsansvarliges forpliktelser for å oppfylle den enkelte registrertes (Data Subject) rettigheter under GDPR av NS-ISO 27701s punkter som dekker forpliktelser overfor den enkelte registrerte (PII-principals).

27701 gir veiledning for implementering av hver kontroll i GDPR.

 

 

 

For mer informasjon, ta kontakt med prosjektleder Lars Erik Jensen (e-postlenke)

 


 [ITS1]Hva betyr det?

 

 [ITS2]Skriv tidspunkt i stedet for «nå»

 [ITS3]Skjønner ikke hva dette betyr, ufullstendig setning.

 [ITS4]Som viser forholdet til?

Sist oppdatert: 2020-06-30

NOK 794,00 (eks. mva)

Sikringsteknikker - Utvidelse av ISO/IEC 27001 og ISO/IEC 27002 for håndtering av personverninformasjon - Krav og retningslinjer

SpråkEngelskUtgave: 1 (2019-09-01)

Produktinformasjon

Information Overvåk standarden
basket Skriv ut på papir basket Trykket og innbundet
Få nettbasert tilgang

NOK 818,00 (eks. mva)

Informasjonsteknologi - Sikringsteknikker - Ledelsessystemer for informasjonssikkerhet - Krav (ISO/IEC 27001:2013 innbefattet Cor 1:2014 og Cor 2:2015)

SpråkNorskUtgave: 1 (2017-05-01)

Produktinformasjon

Information Overvåk standarden
basket Skriv ut på papir basket Trykket og innbundet
Få nettbasert tilgang

NOK 1 158,00 (eks. mva)

Informasjonsteknologi - Sikringsteknikker - Tiltak for informasjonssikring (ISO/IEC 27002:2013 innbefattet Cor 1:2014 og Cor 2:2015)

SpråkNorskUtgave: 1 (2017-05-01)

Produktinformasjon

Information Overvåk standarden
basket Skriv ut på papir basket Trykket og innbundet
Få nettbasert tilgang

IT-sikkerhet

Standardsamling (Elektronisk)

NOK 3 550,00 (eks. mva)

IT-sikkerhet - Et utvalg av standarder i NS-ISO/IEC 27000-serien.

Språkno/en no/enUtgave: 1 (2012-06-01)

ProduktinformasjonVis innhold av samling

Bestill
Få nettbasert tilgang

Kurs i NS-EN ISO/IEC 27001 - Informasjonssikkerhet

Kurs

NOK 5 400,00 (eks. mva)

Kurs i NS-EN ISO/IEC 27001Informasjonssikkerhet,061020, Lysaker.

Tid: 2020-10-06Sted: Lysaker (Bærum)Språk: Norsk

Information  Kursbeskrivelse