Men en fragmenteret indsats er ikke en fordel. Ved at nedbryde den siloopdelte tilgang kan en organisation faktisk effektivisere arbejdet og skabe synergi.
Der kan være tale om:
- Omkostningsreducering
- Mindre dobbeltarbejde
- Højere kvalitet af information
- Effektivisering af informationsindsamling
- Standardisering af arbejdsprocesser
- Sikring af kontrolmiljøet.
Skab synergi i arbejdet med GDPR og ISMS
Når alt kommer til alt, kan ISO 27001 koges ned til et spørgsmål om informationssikkerhed. Persondataforordningen er imidlertidig mere end det, hvorfor en ISO 27001-certificering ikke vil være tilstrækkelig for at sikre GDPR-compliance. Standarden berører dog en del af punkterne i GDPR, hvorfor en organisation kan spare ressourcer og effektivisere indsatserne ved at skabe en fælles arbejdsramme.
1. Meddelelse om brud på personoplysninger
Både i forbindelse med ISO 27001 og GDPR stilles der krav om, at tilsynsmyndighederne skal underrettes i tilfælde af det utænkelige skulle ske, og organisationen oplever databrud.
ISO 27001 går lidt mere i detaljen med dette ved at indeholde standardiseringer og procedurer, som sikrer, at informationssikkerhedshændelser håndteres på konsistent måde. Det bidrager til, at organisationen bliver bedre rustet til at opdage, rapportere og administrerer hændelser vedrørende persondata – og således vil organisationen også sikre bedre overholdelse af kravene i GDPR.
2. Gennemsigtighedskrav
Ved at skabe en mere integreret proces mellem de to indsatser vil en organisation skabe et bedre informationsflow og videndeling, hvormed det bliver meget nemmere at få fuldt overblik over indsatserne.
På den måde vil den nemmere kunne stille alt information og dokumentation til rådighed i forbindelse med audits og revisions. Overlappet mellem indsatserne betyder samtidig, at organisationen kan dæmme op for dobbeltarbejde og frigive ressourcer til andre dele af forretningen.
3. Risikovurderinger
GDPR foreskriver konsekvensanalyser af databeskyttelse, hvilket betyder at organisationer skal vurdere risici og sårbarheder vedrørende fortrolighed. ISO 27001 kræver den samme form for risikovurderinger, og her er der udarbejdet strømlinede procedurer for, hvordan arbejdet gribes an.
Med en ISO 27001-certificering har en organisation altså allerede de værktøjer, der er nødvendige for at vurdere risici på GDPR-fronten. Hvorfor ikke udnytte værktøjerne på tværs af områderne?
Konkurrencemæssige fordele
Hvis de seneste par år er en indikation om fremtidsudsigterne for GDPR, så vil der blive tilføjet ekstra lag til databeskyttelsesforordningen.
Der kommer hele tiden ny viden om GDPR i form af flere vejledninger og afgørelser, som gør os klogere. Organisationer skal pludselig være opmærksomme på ting, som de i 2018 ikke troede, at de skulle. For at opnå en strategisk fordel i forhold til konkurrenterne, er en organisation nødt til at være mere proaktive i sit compliancearbejde ved eksempelvis at indarbejde sikkerhedsstandarder i alle aspekter af dens forretning.
En ISO-certificering er et godt eksempel herpå, da organisationerne på den måde får skabt en bedre fundament, hvorfra de imødekomme fremtidige krav til GDPR, samtidig med at organisationen oplever mere effektive forretningsprocedurer.
Læs mere om ISO-standarder og hvorfor det er en fordel.
Relevante værktøjer gør det nemmere
Inden en organisation går i gang med at integrere arbejdet med ISO 27001 og GDPR, er det vigtigt at der afsættes de nødvendige ressourcer til arbejdet. Dokumentation af complianceindsatsen og -processerne er et bærende element i compliancearbejdet, så det er vigtigt, at fremgangsmåden fungerer optimalt for alle involverede.
Når compliancearbejdet føles besværlig, fortsætter de fleste med at gøre tingene på den gamle måde. Eksempelvis kan det være svært at prioritere GDPR-kontroller og følge slettepolitikker, hvis indsatsen ikke er integreret godt nok i hverdagen. Organisationen skal derfor vælge værktøjer, hvor den kan måle og evaluere effektiviteten af indsatsen samt dokumentere alt compliancearbejdet.
Få 9 krav, du bør stille til din GDPR-løsning.
