Om Globeteam

EU’s nye datalov og ISO27001 – rygraden i datasikkerhedsarbejdet

Hvad betyder GDPR og ISO27001 for din organisation?

Dette indlæg i temaserien om informationssikkerhed er skrevet af Jesper Vraa Nielsen, som her giver dig et overblik over de væsentligste punkter i EU’s nye datalov og ISO27001 – samt hvilken betydning overholdelse af disse krav får for mange virksomheder.

De fleste organisationer har arbejdet med datasikkerhed i mange år, men i langt størstedelen af tilfældene har det meste af arbejdet og fokus ligget på den tekniske side – oftest forankret i IT-afdelingen.

Det er helt naturligt, og den tekniske vinkel er fortsat meget vigtig pga. det evigt øgede trusselsbillede, men teknisk fokus er ikke længere tilstrækkeligt. Datasikkerhed er i dag et emne, som er eller skal være på forretningsledelsens agenda:

 • EU’s nye dataforordning rummer risikoen for meget store bøder fra 2018 – op til 4% af årsomsætningen – for de mange organisationer, som er omfattet af forordningen
 • Danske statslige organisationer skal have en implementeret informationssikkerhedspolitik baseret på ISO27001-standarden
 • Flere og flere organisationer oplever krav fra samhandelspartnere om dokumenterede processer til håndtering af informationssikkerhed

Vigtige elementer i at forstå dagens krav til informationssikkerhed er således EU’s dataforordning og ISO27001-standarden. Hvad er det – og hvorfor er det interessant for jeres organisation?

Da den seneste version af ISO27001-standarden er fra 2013, og er udgivet før EU’s dataforordning var vedtaget, er det derfor ikke alle elementer i dataforordningen, som adresseres i ISO27001. Som et led i føljetonen kan du om 14 dage i et videoindlæg høre Henrik Povelsen, Product Quality Manager hos GN Hearing, fortælle om, hvordan høreapparatvirksomheden arbejder med kravene i EU’s datalovgivning og ISO27001-standarden.

Hvad betyder EU’s dataforordning for din organisation?

Den nye forordning blev vedtaget primo 2016 med endelig ikrafttræden 2018, og afløser den 16 år gamle persondatalov. Den nye forordning opstiller strengere regler til sikring af beskyttelse af personlige oplysninger. Organisationerne skal nu dokumentere, at de lever op til kravene, og der indføres nye rettigheder for brugere af digitale tjenester. Som nævnt giver forordningen også mulighed for at udstede bøder på op til 4% af årsomsætningen for organisationer, som ikke overholder kravene.

Mere specifikt skal organisationer f.eks. fremover kunne dokumentere, at de ved udviklingen af nye produkter og services har taget højde for kravene til databeskyttelse i den måde systemer og processer er designet (dette krav kaldes ”privacy by design”). Samtidig skal organisationerne implementere procedurer, som sikrer, at de kun opsamler persondata, som er nødvendige, og i et bestemt tidsrum til bestemte formål (dette krav kaldes ”privacy by default”). Ydermere har alle brugere af en digital tjeneste krav på at få offentligt tilgængelige data slettet (”the right to be forgotten”), og brugere skal aktivt, frivilligt, informeret og utvetydigt give sit samtykke til, at deres data opbevares. Disse principper vil ramme mange organisationers udviklingsprocesser og dokumentationsprocesser, og vil stille krav til operationelle og administrative systemer og processer.

Udpeg Data Protection Officer Rent organisatorisk stiller forordningen endvidere krav om udnævnelse af en Data Protection Officer, som er ansvarlig for, at organisationen lever op til forordningen. Alle offentlige organisationer samt private virksomheder, hvis kerneaktivitet er at behandle personlige oplysninger, skal have en sådan DPO.

Så arbejder du i en offentlig organisation, eller i en privat virksomhed, der opbevarer mange persondata, så skal I i gang nu – om 1½ år træder forordningen i kraft, og det er ikke lang tid til at få lavet de nødvendige analyser og gennemført de nødvendige forandringer i systemer, processer, organisation, kompetencer mv.

Hvad betyder ISO27001 for din organisation?

Mange organisationer er i tvivl om, hvordan de skal gribe informationssikkerhedsarbejdet an. Her er ISO27001 nyttig. ISO27001 er en international standard, som beskriver best practice for opbygningen og implementeringen af en grundig, fyldestgørende informationssikkerhedspolitik.

Konkret er ISO27001 et langt dokument, skrevet af internationale eksperter, som beskriver de mange områder, hvor en organisation bør overveje deres informationssikkerhedspolitik. Standarden indeholder således anbefalinger til, hvordan man skal etablere, implementere og kontrollere politikker på områder som f.eks.:

 • Organisering af informationssikkerhed (hvilken organisation vil man etablere)
 • HR sikkerhed (krav til medarbejderne under ansættelse og ved fratræden)
 • Adgangskontrol (styring af adgang til systemer)
 • Kryptering (krav til kryptering af særlige data)
 • Fysisk sikring (bygninger, adgangsforhold)
 • Kommunikationssikkerhed (beskyttelse af kommunikation med omverdenen)
 • Leverandørrelationer (krav til underleverandører)
 • Informationsbrud (hvordan håndterer vi konstaterede brud på sikkerhedspolitikken)
 • Information security aspects of business continuity management

Arbejdet med at drage nytte af de mange erfaringer og anbefalinger i ISO27001-standarden starter oftest med en risikoanalyse, hvor de største informationssikkerhedsrisici i organisationens systemer, data, processer mv. identificeres. Herudfra kan man vælge, hvilke dele af standarden som det er mest relevant og nødvendigt for din organisation at arbejde med. Endelig kan en egentlig handlingsplan udarbejdes – så de nødvendige nye politikker etableres, de relevante systemer og processer opdateres, det organisatoriske ansvar tydeliggøres og forankres – alt sammen vigtige elementer i at etablere en best practice informationssikkerhedspolitik.

Overholdelse af ISO27001 og EU’s nye datalov

Skal din organisation implementere en informationssikkerhedspolitik, som lever op til alle kravene i standarden, så kan I, som tidligere skrevet, ikke være sikker på at overholde EU’s dataforordning. ISO27001-standarden giver imidlertid gode og relevante retningslinjer langt hen ad vejen, og vil være et rigtig godt fundament for alle organisationer, der vil arbejde professionelt og struktureret med informationssikkerhedspolitik – man skal blot sørge for også at få dækket de ekstra krav, som EU’s dataforordning opstiller.

Hvordan din organisation kan efterleve de ekstra krav i EU’s nye datalov, kan Jesper Vraa Nielsen også rådgive din organisation omkring. Jesper har flere års erfaring med at rådgive virksomheder om alle faserne i arbejdet med at implementere sikkerhedsstandarder.

Kontakt Jesper Vraa Nielsen her.

Næste indlæg i temaserien er en faglig artikel omkring, hvordan din organisation kan gribe arbejdet med informationssikkerhed an, og hvilke metoder I kan bruge.

Få vores nyhedsbrev

Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler

Tilmeld

Optimer din forretning og dine it-investeringer

Er du interesseret i at vide mere om Globeteams ydelser, og hvordan vi kan hjælpe netop din forretning?