Det har kommit en ny standard som bygger vidare på ISO27000 standarden så att dataskyddsfrågorna inkluderas i ledningssystemet, den standarden heter ISO27701 och har potentialen att leda till tydlighet i hur organisationer ska förhålla sig till dataskyddsfrågor i framtiden.
Standarden ger förutsättningar för ett genomtänkt ledningssystem utifrån bästa praxis idag. En väl genomförd implementation kan också vara ett stöd för att säkerställa att dataskyddsombudet blir involverat enligt kraven i GDPR. Standarden visar på krav i att styra arbetet med informationssäkerhets- och dataskydd och den ger vägledning för hur man skyddar personuppgifter samt vilka krav som ställs på en personuppgiftsansvarig och på ett personuppgiftsbiträde.
Standarden ger bättre förutsättningar att följa lagen, men att vara certifierat innebär inte automatiskt att man är ”GDPR-certifierad” och kan undgå sanktionsavgifter. Om man följer standarden når organisationen en hög nivå på dataskyddsarbetet och därigenom bör risken för sanktioner minska.
I standarden ingår det en förteckning på vilka av artiklarna i dataskyddsförordningen som täcks av standarden.
Genom att använda sig av strukturen för standarder som finns behöver man inte uppfinna hjulet själv utan man använder sig av internationellt beprövad best practice eftersom ISO-standarder tas fram gemensamt av länder över hela världen.
Det går idag inte att få certifiering från ackrediterat certifieringsorgan, en ackrediterad certifiering. Detta beror på att det ännu inte finns några ackrediterade certifieringsorgan. Det finns däremot organisationer som utger certifikat redan idag. Dessa certifikat är inte internationellt erkända utan är bara värda lika mycket som förtroendet är för den som utfärdar certifieringen. Om det är ett seriöst certifieringsorgan som lämnat certifieringen kommer det sannolikt vara en god grund för ackrediterad certifiering när det finns ackrediterade certifieringsorgan.
Mer att läsa om ISO27701 finns att läsa på SIS hemsida:
https://www.iso.org/standard/71670.html
