Skyddet av personuppgifter är i många små och medelstora företag samtidigt en kritisk och förvånansvärt splittrad helhet. Uppgifter finns i HR-system, kundregister, molntjänster, e-post och ibland även i Excel-filer, men ansvar, rutiner och övervakning hänger inte alltid med. När detta kombineras med kundernas ökade krav och striktare leverantörsbedömningar räcker inte längre goda intentioner.
I denna artikel går vi igenom hur ISO 27001 relaterar till skyddet av personuppgifter, vad det innebär i praktiken för små och medelstora företag och hur ni kan gå fram på ett kontrollerat sätt utan tung byråkrati. Ni får en tydlig bild av var ISO 27001 stöder GDPR-krav, vad kontroller betyder i vardagen och hur ni börjar arbetet så att resultaten syns även i revisioner, kundundersökningar och er riskhantering.
Hur hör ISO 27001 ihop med skyddet av personuppgifter?
ISO 27001 är en internationell standard för styrning av informationssäkerhet, alltså ett systematiskt sätt att leda säkerhetsarbetet. Den är inte samma sak som GDPR, men ger strukturen som gör det möjligt att effektivt implementera, följa upp och förbättra skyddet av personuppgifter kontinuerligt.
I praktiken betyder det att skydd av personuppgifter inte ligger på enskilda instruktioner eller en enda ansvarig person. Istället definierar företaget exempelvis risker, ansvarsområden, åtkomsträttigheter, hantering av avvikelser och leverantörsstyrning på ett sätt som går att verifiera.
Om ni funderar på varför detta är viktigt, ställ er dessa tre frågor:
- Vet ni säkert var alla personuppgifter hanteras?
- Tas onödiga åtkomsträttigheter bort inom 24 timmar efter anställningens slut?
- Kan ni visa för kund eller revisor hur skyddet av personuppgifter är organiserat i praktiken?
ISO 27001 hjälper särskilt inom dessa områden:
- identifiering av risker kopplade till personuppgifter
- fastställande av skyddsåtgärder baserade på riskerna
- dokumentation av ansvar och arbetssätt
- uppföljning av att rutinerna verkligen fungerar
- förbättring baserat på avvikelser och observationer
Obs
ISO 27001 ersätter inte GDPR, och GDPR ersätter inte ISO 27001-standarden. GDPR beskriver vad som måste beaktas vid behandling av personuppgifter ur ett lagperspektiv, medan ISO 27001 ger ledningsmodell och kontroller för att omsätta skyddet i praktiken.
Vad betyder skydd av personuppgifter i praktiken?
Personuppgift är information som direkt eller indirekt kan identifiera en person. Namn och e-postadress är uppenbara exempel, men även IP-adress, kundnummer, platsdata eller en kombination av olika uppgifter kan vara personuppgifter.
I små och medelstora företag finns personuppgifter ofta åtminstone på följande platser:
- kund- och CRM-system
- HR- och löneadministrationssystem
- support- och ticketingsystem
- marknadsföringsverktyg
- e-post och filservrar
- underleverantörers och partnerorganisationers system
Skydd innebär inte bara att uppgifter inte läcker ut. Det betyder också att informationen är korrekt, tillgänglig för rätt personer vid rätt tidpunkt och raderas när lagringstiden upphör. ISO 27001 betraktar detta ofta inom ramen för tre grundläggande principer:
| Princip | Vad innebär det | Exempel i personuppgifter |
|---|---|---|
| Konfidentialitet | Endast behöriga personer har åtkomst till uppgifterna | HR-data syns endast för HR och chefer |
| Integritet | Information är korrekt och ändras inte utan tillåtelse | Lönedata kan inte ändras utan kontrollerad rättighet |
| Tillgänglighet | Uppgifterna är tillgängliga när de behövs | Kundtjänst får tillgång till kunddata även vid störningar |
När skyddet av personuppgifter leds utifrån dessa principer blir diskussionen snabbt konkret. Det handlar inte bara om ”dataskydd”, utan om vem som har åtkomst, hur förändringar godkänns och hur snabbt avvikelser hanteras.
Var stödjer ISO 27001 kraven i GDPR?
Många företag börjar med GDPR, men märker snart att det är svårt att upprätthålla kraven utan tydlig struktur. Här ger ISO 27001 praktisk nytta. Den hjälper till att göra skyddet av personuppgifter reproducerbart och inte bara ett engångsprojekt.
ISO 27001 är särskilt värdefull inom följande områden:
- riskhantering: identifierar 3–5 centrala risker per process eller datagrupp
- hantering av åtkomsträttigheter: definierar beviljande, granskning och borttagning
- hantering av avvikelser: informationssäkerhetsincidenter registreras och hanteras inom tidsram
- leverantörsstyrning: skyddskrav på underleverantörer bedöms före införande
- utbildning och kompetens: personalen utbildas minst 1 gång per år
- dokumentation: rutiner, ansvar och beslut kan bevisas
Följande tabell hjälper till att överskådligt förstå sambandet:
| Behov i GDPR | ISO 27001 omsätter i praktiken | Exempel på mätetal |
|---|---|---|
| Säker behandling av personuppgifter | Riskbaserade kontroller | Kritiska risker värderas kvartalsvis |
| Begränsning av åtkomst | Process för åtkomsträttigheter | Avslutade medarbetares uppgifter tas bort inom 24 h |
| Hantering av säkerhetsincidenter | Avvikelseprocess och ansvar | Avvikelse dokumenteras inom 4 h från upptäckt |
| Redovisningsskyldighet | Dokumenterat ledningssystem | Viktiga policys uppdateras var 12:e månad |
| Hantering av personuppgiftsbiträden | Leverantörsbedömningar och avtal | 100 % av kritiska leverantörer bedöms |
En viktig poäng är denna: ISO 27001 löser inte alla juridiska dataskyddsfrågor, som rättsliga grunder eller den registrerades rättigheter. Men utan ett fungerande informationssäkerhetssystem blir även dessa skyldigheter lätt pappersarbete.
Vanligaste bristerna i små och medelstora företag
När skyddet av personuppgifter utvärderas i praktiken återkommer samma problem från företag till företag. Ofta handlar det inte om likgiltighet utan att arbetet vuxit fram under år utan en gemensam modell.
Typiska brister är exempelvis:
- ingen sammanställning av system som innehåller personuppgifter
- åtkomsträttigheter granskas inte regelbundet
- gamla användarkonton finns kvar aktiva
- leverantörers säkerhetskrav bedöms inte före avtal
- hantering av avvikelser sker via e-postkedjor
- personalen vet inte hur misstänkt incident ska rapporteras
Varning
En vanlig miss är att skriva fina policies, men inte definiera vardagskontrollerna. Om ni inte kan svara på exempelvis vem som godkänner åtkomsträttigheter, hur ofta de granskas och var loggar sparas, är skyddet inte praktiskt hanterat ännu.
Ett annat vanligt problem är att börja för brett. Företaget försöker rätta till allt på en gång och fastnar. Ett bättre sätt är att först avgränsa 2–3 viktigaste personuppgiftsprocesserna, som HR, kundregister och kundsupport, och bygga styrning kring dem.
Så här går ni vidare praktiskt med ISO 27001
Följande stegmodell fungerar bra i små och medelstora företag som vill förena skydd av personuppgifter, informationssäkerhet och praktisk styrning utan onödig tyngd.
Avgränsa den viktigaste helheten för behandling av personuppgifter
Börja med att definiera vilka system, team och processer som är mest kritiska för skyddet av personuppgifter. För de flesta små företag är en bra första avgränsning 2–3 processer och 3–10 system för att hålla arbetet hanterbart och snabbt uppnå resultat.
Gör en riskbedömning utifrån personuppgifternas perspektiv
Lista de viktigaste hoten, som felaktiga åtkomsträttigheter, felaktig delning av data, otillräckliga backuper eller leverantörsberoenden. Bedöm påverkan och sannolikhet på en skala 1–5 för varje risk och välj först de med sammanlagt minst 12/25 för åtgärd.
Definiera konkreta kontroller och ansvarsfördelning
Utse för varje nyckelrisk en ägare, åtgärd och tidsram. Till exempel för åtkomsträttigheter kan ni bestämma att nya rättigheter godkänns av chef, rättigheterna granskas kvartalsvis och tas bort inom 24 timmar efter anställningens slut.
Dokumentera bara det ni faktiskt styr
Skriv ner policys, rutiner och ansvar så att det stödjer vardagsarbetet. En bra minimistandard är att dokumentera åtminstone tillämpningsområde, riskhanteringsmodell, process för åtkomsträttigheter, hantering av avvikelser, leverantörsbedömning och utbildningspraxis.
Följ upp nyckeltal och åtgärda brister regelbundet
Välj 4–6 nyckeltal som granskas månadsvis eller kvartalsvis. Bra nyckeltal är exempelvis öppna avvikelser, försenade borttagningar av åtkomsträttigheter, utbildningstäckning, andel bedömda kritiska leverantörer och procent lyckade backuper.
Tips
Vill ni ha en snabb start, håll först en 60 minuters workshop där ni listar system med personuppgifter, ansvariga samt tre största riskerna. Det ger en stomme som gör ISO 27001-arbetet enkelt att påbörja.
Vilka nyckeltal bör följas upp?
Utan nyckeltal baseras skydd av personuppgifter lätt på känsla. Då vet inte ledningen om läget förbättras eller om risken växer i bakgrunden.
En bra mätuppsättning är liten men regelbunden. Ofta räcker det att ni initialt följer dessa:
| Nyckeltal | Mål | Uppföljningsfrekvens |
|---|---|---|
| Hastighet att ta bort konton för avgångna anställda | 100 % inom 24 h | Månadsvis |
| Genomförda åtkomsträttgranskningar | 100 % kvartalsvis | Kvartalsvis |
| Täckning av säkerhetsutbildning | 95–100 % inom 12 månader | Kvartalsvis |
| Tid till registrering av säkerhetsincident | under 4 h efter upptäckt | Månadsvis |
| Täckt bedömning av kritiska leverantörer | 100 % | Var sjätte månad |
| Procent lyckade backuper | 99 % och uppåt | Månadsvis |
När nyckeltalen syns blir dialogen mycket enklare. Istället för generella samtal om dataskydd kan ni exempelvis säga: ”92 % av borttagningarna av åtkomsträttigheter gjordes i tid, målet är 100 %, och bristerna gällde två externa system.” Det är just sådan dokumentation som uppskattas av kunder, ledning och revisorer.
När är det lämpligt att söka extern hjälp?
Allt behöver inte göras på egen hand. Extern support är ofta en klok lösning särskilt när företaget saknar befintlig modell för att tillämpa ISO 27001 eller när skydd av personuppgifter är utspritt på flera team.
Stöd är värt att överväga åtminstone i dessa situationer:
- kunden kräver ISO 27001-enlig verksamhet eller certifiering
- nuvarande rutiner finns men är ej dokumenterade
- riskbedömning är gjord men åtgärder går långsamt
- leverantörs- och åtkomsträttshantering tar för mycket manuellt arbete
- svar på revisioner eller kundundersökningar är långsamma
Tietoturvapankki är byggt just för detta: att förena applikation och expertstöd så att ISO 27001-ledningssystemet inte blir en isolerad dokumenthög. Om ni redan använder exempelvis ISO 9001-modeller för kvalitetsledning underlättar samma ledningslogik också informationssäkerhetsarbetet. Tietoturvapankki utvecklas av Softapankki Oy, QMClouds Oy och koncernens kvalitetsledningsvarumärke Laatupankki, vilket märks särskilt i det praktiska sättet att omsätta krav i vardagen.
Sammanfattning
- ISO 27001 är inte samma sak som GDPR men ger en struktur för att genomföra, verifiera och förbättra skydd av personuppgifter.
- Små företag gör klokt i att börja med att avgränsa 2–3 viktigaste processerna och genomföra riskbedömningar på dem.
- Konkreta kontroller, som borttagning av åtkomsträttigheter inom 24 timmar och utbildning var 12:e månad, gör skyddet mätbart.
- Nyckeltal, ansvar och dokumenterade rutiner avgör om skyddet av personuppgifter syns i vardagen eller bara på papper.
- Extern hjälp snabbar på framsteg, särskilt vid kundkrav eller förberedelser inför ISO 27001-certifiering.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.