Hur hänger ISO 27001 och GDPR ihop?

Många organisationer blandar ihop ISO 27001 och GDPR. Det är lätt att förstå varför. Båda handlar om säkerhet, risker, dokumentation och kontroll. Men de är inte samma sak.

GDPR är lagstiftning. ISO 27001 är ett ledningssystem för informationssäkerhet.

GDPR reglerar hur personuppgifter får behandlas och vilka skyldigheter organisationen har gentemot de registrerade. ISO 27001 hjälper organisationen att skapa struktur för informationssäkerhetsarbetet, bland annat genom riskbedömning, ansvar, policyer, rutiner, incidenthantering, leverantörsstyrning och uppföljning.

Det betyder att ISO 27001 inte ersätter GDPR. Däremot kan ISO 27001 vara ett starkt praktiskt stöd för att arbeta systematiskt med flera av de säkerhetsåtgärder som GDPR kräver.

GDPR
GDPR är lagstiftning som reglerar hur personuppgifter får behandlas, vilka rättigheter registrerade har och vilka skyldigheter organisationen behöver uppfylla.
ISO 27001
ISO 27001 är en internationell standard för ledningssystem för informationssäkerhet. Standarden hjälper organisationer att skapa struktur för risker, ansvar, skyddsåtgärder, dokumentation och uppföljning.
Hur hänger de ihop?
ISO 27001 ersätter inte GDPR, men kan ge ett starkt stöd för att bygga ett systematiskt arbetssätt kring flera av de tekniska och organisatoriska säkerhetsåtgärder som GDPR kräver.

Ecowise hjälper företag, organisationer och offentliga aktörer att bygga ledningssystem för informationssäkerhet enligt ISO 27001. Vi hjälper er att skapa ordning, spårbarhet och fungerande arbetssätt som stärker både informationssäkerheten och ert dataskyddsarbete.

Vill ni skapa bättre struktur kring informationssäkerhet och GDPR? Kontakta Ecowise så hjälper vi er att komma igång.

Kontakta oss

Vad kräver GDPR kring informationssäkerhet?

GDPR kräver att personuppgifter skyddas på ett sätt som är lämpligt i förhållande till risken. Det betyder att organisationen behöver bedöma vilken typ av personuppgifter som behandlas, hur känsliga uppgifterna är, hur omfattande behandlingen är och vilka konsekvenser en incident kan få för de registrerade.

Artikel 32 i GDPR handlar om säkerhet i samband med behandling av personuppgifter. Den anger att personuppgiftsansvariga och personuppgiftsbiträden ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

Det kan till exempel handla om pseudonymisering, kryptering, konfidentialitet, integritet, tillgänglighet, motståndskraft, återställningsförmåga och regelbunden testning av säkerhetsåtgärder.

IMY beskriver informationssäkerhet som en viktig del av skyddet för privatlivet och lyfter att flera skyldigheter enligt GDPR ska uppfyllas genom lämpliga tekniska och organisatoriska åtgärder. Organisatoriska åtgärder kan bland annat omfatta styrdokument, processer, rutiner, metoder, analyser och utbildning.

Exempel på organisatoriska åtgärder enligt IMY:s vägledning:

  • Styrdokument
  • Processer
  • Rutiner
  • Metoder
  • Hot-, risk- och sårbarhetsanalyser
  • Riskbedömningar och konsekvensbedömningar
  • Kontroll och avstämning
  • Revision och uppföljning
  • Incidenthantering
  • Kontinuitetsplanering

Exempel på tekniska åtgärder:

  • Autentisering
  • Kryptering
  • Pseudonymisering
  • Behörighetsstyrning
  • Loggar och loggkontroll
  • Nätverkssegmentering
  • Fysisk säkerhet
  • Patchning och härdning
  • Säkerhetskopiering
  • Skydd mot skadlig kod

Det viktiga är att åtgärderna inte väljs på måfå. De ska vara kopplade till riskerna i den personuppgiftsbehandling som organisationen utför. Därför behöver GDPR-arbetet innehålla både juridiska bedömningar och praktiskt säkerhetsarbete. Enligt Integritetsskyddsmyndighetens (IMY) vägledning om säkerhetsåtgärder enligt GDPR ska säkerhetsåtgärder anpassas utifrån riskerna för de registrerades rättigheter och friheter.

Hur bidrar ISO 27001?

ISO 27001 bidrar genom att skapa struktur kring många av de områden som GDPR kräver i praktiken. Standarden ger ett ramverk för att identifiera risker, införa lämpliga skyddsåtgärder, dokumentera arbetssätt och följa upp att åtgärderna fungerar över tid.

Det är särskilt värdefullt eftersom GDPR ofta säger vad organisationen behöver uppnå, medan ISO 27001 hjälper er att skapa ett systematiskt arbetssätt för hur informationssäkerheten kan styras, dokumenteras och förbättras.

Riskbedömning

Både GDPR och ISO 27001 bygger på risk. Inom GDPR handlar riskbedömningen framför allt om risker för fysiska personers rättigheter och friheter. Inom ISO 27001 handlar riskbedömningen om informationssäkerhetsrisker kopplade till organisationens informationstillgångar.

Dessa perspektiv är inte identiska, men de överlappar ofta. Om personuppgifter är en viktig informationstillgång behöver de hanteras i organisationens informationssäkerhetsarbete.

ISO 27001 ger struktur för att identifiera risker, bedöma sannolikhet och konsekvens, utse riskägare, besluta om åtgärder och följa upp att riskerna hanteras.

Incidenthantering

GDPR ställer krav på att personuppgiftsincidenter hanteras korrekt. Det kan innebära att incidenter behöver bedömas, dokumenteras och i vissa fall anmälas till IMY eller kommuniceras till de registrerade.

ISO 27001 stärker detta genom att skapa rutiner för hur incidenter upptäcks, rapporteras, utreds, åtgärdas och följs upp. Det gör det lättare att agera snabbt och konsekvent när något inträffar.

Dokumentstyrning

GDPR kräver att organisationen kan visa hur den arbetar med dataskydd och säkerhet. ISO 27001 hjälper till genom att skapa struktur för dokumenterad information.

Det kan handla om policyer, rutiner, riskbedömningar, behörighetsprocesser, incidentrapporter, leverantörsbedömningar, utbildningsinsatser, revisioner och förbättringsåtgärder.

När dokumentationen är samlad, aktuell och styrd blir det enklare att visa ansvar och spårbarhet.

Leverantörer och personuppgiftsbiträden

Många organisationer behandlar personuppgifter med stöd av externa leverantörer. Det kan handla om IT-leverantörer, molntjänster, systempartners, löneleverantörer eller andra personuppgiftsbiträden.

GDPR kräver tydliga personuppgiftsbiträdesavtal och kontroll över hur personuppgifter behandlas. ISO 27001 bidrar med struktur för leverantörsbedömning, riskhantering, kravställning, uppföljning och dokumentation.

Det gör det lättare att hålla ihop leverantörsstyrning, informationssäkerhet och dataskydd i ett gemensamt arbetssätt.

Behörighet och åtkomst

Behörighetsstyrning är en viktig del av både informationssäkerhet och dataskydd. Organisationen behöver veta vem som har tillgång till vilka uppgifter, varför åtkomsten behövs och hur den följs upp.

ISO 27001 kan hjälpa er att skapa rutiner för behörighetstilldelning, åtkomstgranskning, avslut av användare, rollbaserad åtkomst och principen om minsta möjliga behörighet.

Utbildning och medvetenhet

Många incidenter uppstår inte på grund av avancerade tekniska angrepp, utan på grund av otydliga rutiner, mänskliga misstag eller bristande kunskap.

ISO 27001 ställer krav på kompetens och medvetenhet. Det gör standarden till ett bra stöd för att skapa återkommande utbildning, tydliga instruktioner och bättre säkerhetskultur.

Uppföljning och förbättring

GDPR-arbetet behöver hållas levande. Det räcker inte att göra en engångsinsats och sedan låta dokumenten ligga.

ISO 27001 bygger på regelbunden uppföljning, internrevision, ledningens genomgång och korrigerande åtgärder. Det gör att organisationen får ett arbetssätt för att upptäcka brister, fatta beslut och förbättra säkerheten över tid.

Få hjälp att skapa struktur

Vad täcker ISO 27001 inte?

ISO 27001 är ett starkt stöd för informationssäkerhet, men det är inte en ersättning för GDPR-juridiken.

Det är viktigt att vara tydlig med detta. En organisation kan ha ett välfungerande ledningssystem enligt ISO 27001 och ändå behöva göra separata juridiska bedömningar enligt GDPR.

ISO 27001 täcker till exempel inte hela arbetet med:

  • Laglig grund för behandling av personuppgifter
  • Information till registrerade
  • Hantering av registrerades rättigheter
  • Register över behandlingar
  • Bedömning av personuppgiftsansvarig och personuppgiftsbiträde
  • Personuppgiftsbiträdesavtalens juridiska innehåll
  • Internationella överföringar
  • Konsekvensbedömningar enligt GDPR
  • Förhandssamråd med IMY
  • Radering, rättelse och dataportabilitet

Det betyder inte att ISO 27001 saknar värde för GDPR. Tvärtom. Standarden kan ge struktur, ansvar och spårbarhet för stora delar av säkerhetsarbetet. Men frågor som laglig grund, registrerades rättigheter, biträdesroller och tredjelandsöverföringar behöver hanteras med dataskyddsjuridisk kompetens.

En bra tumregel
GDPR avgör vad ni får göra med personuppgifter och vilka skyldigheter ni har. ISO 27001 hjälper er att bygga ett strukturerat arbetssätt för att skydda informationen och följa upp säkerhetsarbetet.

Skillnaden mellan GDPR och ISO 27001

Den korta skillnaden är att GDPR är en lag och ISO 27001 är en standard.

GDPR handlar om skydd för personuppgifter och de registrerades rättigheter. ISO 27001 handlar om ledningssystem för informationssäkerhet och omfattar all information som är viktig för organisationen, inte bara personuppgifter.

Det innebär att ISO 27001 kan omfatta kunddata, affärskritiska dokument, systeminformation, ritningar, kod, avtal, leverantörsinformation, interna processer och personuppgifter.

En förenklad jämförelse:

Typ GDPR är lagstiftning. ISO 27001 är en internationell standard.
Fokus GDPR fokuserar på personuppgifter och registrerades rättigheter. ISO 27001 fokuserar på informationssäkerhet och riskhantering.
Omfattning GDPR omfattar personuppgiftsbehandling. ISO 27001 omfattar informationstillgångar inom valt scope.
Krav på säkerhet GDPR kräver lämpliga tekniska och organisatoriska åtgärder. ISO 27001 ger struktur för ett riskbaserat ledningssystem och relevanta kontroller.
Certifiering GDPR innehåller regler om certifieringsmekanismer, men en sådan certifiering är inte samma sak som en ISO 27001-certifiering. ISO 27001 är en etablerad certifieringsstandard för ledningssystem för informationssäkerhet.
Praktisk nytta GDPR styr vad organisationen får göra med personuppgifter. ISO 27001 skapar struktur för hur information skyddas och följs upp.

Exempel på hur ISO 27001 stärker GDPR-arbetet

ISO 27001 blir särskilt användbart när GDPR-arbetet behöver gå från enskilda dokument till ett fungerande system.

Ni har en integritetspolicy, men saknar tydlig riskbedömning.
ISO 27001 hjälper er att strukturera riskarbetet.
Ni har personuppgiftsbiträdesavtal, men följer inte upp leverantörer.
ISO 27001 ger stöd för leverantörsstyrning.
Ni har tekniska skydd, men saknar dokumentation och ansvar.
ISO 27001 hjälper er att skapa spårbarhet.
Ni har incidentrutiner, men övar eller följer inte upp dem.
ISO 27001 ger struktur för förbättring.
Ni har utbildat personalen en gång, men saknar återkommande medvetenhetsarbete.
ISO 27001 hjälper er att göra utbildning till en del av ledningssystemet.
Ni har dokument, men de är inte versionsstyrda eller beslutade.
ISO 27001 stärker dokumentstyrningen.

På så sätt kan ISO 27001 göra GDPR-arbetet mer praktiskt, mer systematiskt och lättare att följa upp.

Spineweb som stöd för ISO 27001 och GDPR

Ett vanligt problem är att informationssäkerhet och GDPR hanteras i separata dokument, mappar och processer. Det gör arbetet svårt att följa upp och svårare att hålla levande.

Med Spineweb kan ni samla flera centrala delar av arbetet på ett ställe.

Spineweb kan till exempel användas för:

  • Riskhantering
  • Dokumenthantering
  • Lagbevakning
  • Leverantörsuppföljning
  • Mål och mätetal
  • Ärendehantering och incidenter

Det innebär att ni kan koppla samman risker, rutiner, ansvar, leverantörer, incidenter och uppföljning i samma system. Det skapar bättre kontroll och gör det enklare att visa hur ni arbetar med både ISO 27001 och GDPR-relaterade säkerhetsåtgärder.

Relevanta ledningssystemsmoduler för ISO 27001 & GDPR

Hur kan Ecowise hjälpa er?

Ecowise hjälper organisationer att skapa struktur kring informationssäkerhet, ISO 27001 och ledningssystem. Vi ersätter inte juridisk rådgivning kring GDPR, men vi hjälper er att bygga de arbetssätt, rutiner och system som gör säkerhetsarbetet tydligt, spårbart och praktiskt användbart.

Vi kan bland annat hjälpa er med:

  • Gap-analys mot ISO 27001
  • Riskhantering och informationsklassning
  • Policyer och rutiner
  • Dokumentstyrning
  • Leverantörsuppföljning
  • Incidenthantering
  • Mål och mätetal
  • Internrevision
  • Ledningens genomgång
  • Implementering i Spineweb

För organisationer som behandlar personuppgifter kan detta ge ett starkare praktiskt stöd för GDPR:s krav på tekniska och organisatoriska säkerhetsåtgärder.

Ta kontakt för offert

Vanliga frågor om ISO 27001 och GDPR

Är ISO 27001 samma sak som GDPR?

Nej. GDPR är lagstiftning och ISO 27001 är en internationell standard för ledningssystem för informationssäkerhet. De har olika roller, men kan stärka varandra.

Räcker ISO 27001 för att uppfylla GDPR?

Nej. ISO 27001 ersätter inte GDPR. Däremot kan ISO 27001 ge struktur för flera säkerhetsåtgärder som GDPR kräver, till exempel riskbedömning, incidenthantering, behörighetsstyrning, dokumentation och uppföljning.

Vad är tekniska och organisatoriska åtgärder?

Tekniska åtgärder handlar om skydd i system, teknik och fysisk miljö, till exempel autentisering, kryptering, loggning, säkerhetskopiering och behörighetsstyrning. Organisatoriska åtgärder handlar om styrning, arbetssätt och ansvar, till exempel policyer, rutiner, riskbedömningar, utbildning, revision och incidenthantering.

Hur hjälper ISO 27001 med tekniska och organisatoriska åtgärder?

ISO 27001 hjälper organisationen att identifiera risker, välja lämpliga åtgärder, dokumentera ansvar och följa upp att åtgärderna fungerar. Det gör säkerhetsarbetet mer strukturerat och spårbart.

Vad är skillnaden mellan GDPR och ISO 27001?

GDPR reglerar behandling av personuppgifter. ISO 27001 skapar ett ledningssystem för informationssäkerhet. GDPR fokuserar på personuppgifter och registrerades rättigheter, medan ISO 27001 omfattar organisationens informationstillgångar inom valt scope.

Behöver vi juridisk rådgivning även om vi har ISO 27001?

Ja, ofta. ISO 27001 hjälper er med informationssäkerhetsarbetet, men frågor om laglig grund, registrerades rättigheter, biträdesroller, internationella överföringar och konsekvensbedömningar kräver dataskyddsjuridisk analys.

Kan Spineweb användas för GDPR-arbete?

Spineweb kan användas som stöd för flera delar som är viktiga i GDPR-arbetet, till exempel riskhantering, dokumentstyrning, lagbevakning, leverantörsuppföljning och incidenthantering. Det gör det enklare att samla och följa upp arbetet.

Vill ni stärka kopplingen mellan ISO 27001 och GDPR?

GDPR ställer krav på lämpliga tekniska och organisatoriska säkerhetsåtgärder. ISO 27001 hjälper er att skapa ett systematiskt arbetssätt för att identifiera risker, införa skydd, dokumentera ansvar och följa upp säkerhetsarbetet.

Ecowise hjälper er att bygga ett ledningssystem för informationssäkerhet som fungerar i praktiken och som stärker ert arbete med informationssäkerhet, riskhantering och dataskydd.

Kontakta Ecowise så hjälper vi er att ta nästa steg med ISO 27001 och GDPR.

Kontakta oss

Vill du veta mer om denna tjänst?
Ange din epostadress så skickar vi mer information!

Kontakta oss

Använd formuläret eller kontaktuppgifterna nedan för att kontakta oss, begära offert eller boka demo-visning.
Ecowise Consulting i Sverige AB
Organisationsnr 556765-6987
info@ecowise.se
Enskilda medarbetare har fornamn@ecowise.se

Huvudkontor:
Östra Kristinelundsvägen 18A
217 48 Malmö

Platskontor:
Masthamnsgatan 3
413 29 Göteborg

Växel: 040 - 53 73 00
Ansvarig Spineweb: 0766-187790
Ansvarig Konsulttjänster: 0766-187791