Använd LIS och nya ISO/IEC 29151 samt ISO/IEC 29134 för att hantera GDPR

Många organisationer har sent vaknat upp och förstått att det kommer ny lagstiftning i maj 2018 som berör dom. På sina ställen där man är sent ute råder en GDPR-hysteri. Men om man nu har ett ledningssystem för informationssäkerhet (ISO/IEC 27001) då kan man självklart använda detta som ett medel för att hantera GDPR. Sett från LIS-perspektiv är GDPR bara ytterligare att legalt krav. Ett av många. Har man haft LIS sedan tidigare ska man ju såklart ha identifierat PuL för länge sedan och vidtagit åtgärder för att följa den. Då är ju förändringen till det nya inte alltför stort.

Bra riskanalyser är nyckeln i ett fungerande LIS. Väl utförda riskanalyser ska ha identifierat risker kopplade till hanteringen av personuppgifter. Möjligen kan dessa behöva kompletteras något men organisationen borde komma långt med redan utförda analyser.

Utöver LIS har ISO tagit fram några standarder som kan vara värda att uppmärksammas i sammanhanget.

ISO/IEC 29151 är en vägledning (publicerad 2017) som kompletterar ISO/IEC 27002 med ytterligare vägledning av befintliga säkerhetsåtgärder i 27002 rörande hanteringen av personuppgifter, Utöver detta identifierar ISO/IEC 29151 ett antal ytterligare tillkommande säkerhetsåtgärder rörande hanteringen av personuppgifter. Standarden är global och är därför inte direkt skriven mot GDPR men innehåller de beståndsdelar som finns i GDPR.

ISO/IEC 29134 ger vägledning runt genomförandet av PIA (privacy impact assessment). Dokumentet ska ses som en förlängning av riskhanteringen som beskrivs i ISO/IEC 27005 och den generiska riskhantering inom ledningssystem som beskrivs i ISO 31000.

Genom att komplettera sitt LIS genom att studera dessa två standarder kan en organisation anpassa sitt LIS för att täcka de flesta av kraven i GDPR.