I många små och medelstora företag nämns ISO 27001 och GDPR ibland i samma andetag, trots att de gäller olika saker. I praktiken leder det till att företaget upprättar en integritetspolicy och tror att informationssäkerheten är löst, eller så bygger man ett informationssäkerhets-ledningssystem men glömmer just de särskilda kraven för hantering av personuppgifter.
I denna artikel förtydligar vi vad ISO 27001 och GDPR innebär, hur de skiljer sig åt och på vilka sätt de stödjer varandra. Ni får också en praktisk modell för hur ni kan bygga en fungerande helhet för ert företag utan dubbelarbete.
ISO 27001 och GDPR är inte samma sak
ISO 27001 är en internationell standard som hjälper organisationen att bygga en systematisk modell för informationssäkerhetsledning. Den definierar hur företaget identifierar risker, väljer skyddsåtgärder, fördelar ansvar och följer upp att informationssäkerheten fungerar i vardagen.
GDPR, eller EU:s allmänna dataskyddsförordning, är däremot lagstiftning. Den reglerar hur en organisation får behandla personuppgifter, på vilken grund detta får ske, vilka rättigheter registrerade har samt vad företaget måste göra om personuppgifter äventyras.
I praktiken skiljer sig fokus ofta så här:
| Ämne | ISO 27001 | GDPR |
|---|---|---|
| Karaktär | Standard | Lag och förordning |
| Huvudfokus | Informationssäkerhetsledning | Skydd av personuppgifter |
| Omfattning | All information och informationsresurser | Personuppgifter |
| Obligatorisk | Frivillig, om inte kund eller avtal kräver det | Obligatorisk om ni behandlar personuppgifter |
| Certifiering | Möjlig | Ingen certifiering på samma sätt |
| Tillvägagångssätt | Riskbaserad ledningsmodell | Rättslig grund, skyldigheter och registrerades rättigheter |
Om Ni vill sammanfatta det med en fråga så är det denna: skyddar Ni alla företagets uppgifter eller säkerställer Ni den lagliga hanteringen av personuppgifter? Oftast är svaret att båda behövs.
Observera
ISO 27001 ersätter inte GDPR, och GDPR ensam bygger inte upp en heltäckande informationssäkerhet. De löser olika problem, även om de delvis använder samma praktiska metoder.
Vad har de gemensamt i praktiken?
Trots att ISO 27001 och GDPR är olika ramverk möts de på många punkter i vardagen. Båda kräver att företaget vet vilken information man hanterar, var den finns, vem som har tillgång och vad som händer om informationen försvinner, ändras eller läcker.
Gemensamma teman är till exempel:
- riskhantering
- åtkomstkontroll
- personalens instruktion och utbildning
- hantering av avvikelser
- leverantörshantering
- dokumentation och bevis för genomförda åtgärder
- kontinuerlig förbättring
Tänk till exempel på ett personaladministrativt system. Om det hanterar anställdas personuppgifter så definierar GDPR regelverket för hanteringen. ISO 27001 hjälper samtidigt till att säkerställa att systemets åtkomsträttigheter är begränsade, säkerhetskopior fungerar, loggar sparas och avvikelser hanteras kontrollerat.
En bra tumregel är denna:
- GDPR svarar på frågan: "får vi behandla denna information så här?"
- ISO 27001 svarar på frågan: "hur skyddar vi denna information på ett kontrollerat sätt?"
Den största skillnaden: dataskydd vs informationssäkerhet
Många använder termerna dataskydd och informationssäkerhet omväxlande. Skillnaden är dock viktig att förstå eftersom det påverkar direkt vad som måste göras i företaget.
Dataskydd innebär laglig och korrekt behandling av personuppgifter. Det innefattar bland annat rättslig grund för behandlingen, informationsplikt, lagringstider och registrerades rättigheter som rätten att få tillgång till sina egna uppgifter.
Informationssäkerhet innebär däremot att skydda informationen så att dess konfidentialitet, integritet och tillgänglighet upprätthålls. I praktiken visar det sig genom att endast behöriga har tillgång till informationen, att den inte ändras oavsiktligt och att den finns tillgänglig när den behövs.
Nedanstående tabell hjälper till att klargöra skillnaden:
| Fråga | Gäller främst GDPR | Gäller främst ISO 27001 |
|---|---|---|
| På vilken grund behandlas personuppgifter? | Ja | Nej, inte direkt |
| Hur länge sparas uppgifterna? | Ja | Delvis |
| Vem får tillgång till systemet? | Delvis | Ja |
| Hur bedöms och hanteras risker? | Delvis | Ja |
| Hur hanteras informationssäkerhetsincidenter? | Ja, om personuppgifter berörs | Ja |
| Hur visar Ni ledningen och kunden nivå på kontroll? | Delvis | Ja |
Om ert företag hanterar kundregister, anställdas uppgifter eller användardata i webbtjänster så måste GDPR följas. Vill Ni däremot styra informationssäkerheten för hela organisationen på ett konsekvent sätt ger ISO 27001 strukturen för det.
Var hjälper ISO 27001 direkt med GDPR-kraven?
Trots att ISO 27001 inte är dataskyddslagstiftning stöder den många praktiska skyldigheter i GDPR. Det är en viktig insikt, särskilt för små och medelstora företag, eftersom samma arbete bör göras en gång väl istället för två gånger i olika system.
ISO 27001 hjälper särskilt med dessa områden:
- identifiering och klassificering av informationsresurser
- riskbedömning från nivå 3–5 centrala risker
- åtkomstkontroll och regelbunden översyn, till exempel kvartalsvis
- hantering och rapportering av avvikelser
- leverantörsbedömning och avtalskrav
- personalutbildning, exempelvis 1–2 gånger per år
- dokumenterad ansvarsfördelning
Ett exempel: om en anställd slutar ska hanteringen av personuppgifter enligt GDPR förbli kontrollerad. ISO 27001:s rutiner hjälper till att säkerställa att användarkonton tas bort inom 24 timmar, enheter returneras, åtkomsträttigheter granskas och händelsen dokumenteras.
Ett annat exempel gäller en säkerhetsincident. GDPR kan kräva att personuppgiftsincidenter anmäls till dataskyddsmyndigheten inom 72 timmar. ISO 27001 hjälper till att bygga processer för att snabbt upptäcka, bedöma, eskalera och dokumentera avvikelsen.
Tips
Skapa en gemensam avvikelseprocess där Ni särskiljer om ärendet gäller personuppgifter. Då tjänar processen både ISO 27001 och GDPR.
Var kräver GDPR mer än ISO 27001?
Det här är en punkt många företag snubblar på. ISO 27001 kan vara väl implementerat, men täcker inte alla GDPR-krav ensam.
GDPR ställer krav som inte kan ignoreras enbart med en informationssäkerhetsmodell:
- fastställande av rättslig grund för behandling
- tydlig information till registrerade
- integritetspolicyer och interna processbeskrivningar
- genomförande av registrerades rättigheter inom utsatt tid
- minimering av personuppgifter
- fastställande av lagringstider
- konsekvensbedömningar vid höga risker
Ett konkret exempel: ett företag kan ha ett CRM-system väl skyddat enligt ISO 27001. GDPR-risk uppstår ändå om systemet samlar in fler personuppgifter än nödvändigt, eller om gamla leads sparas utan definierad rensningsrutin.
Ställ dessa tre frågor till Er själva:
- Vad är användningsändamålet för varje grupp personuppgifter?
- Hur länge lagras uppgifterna, exempelvis 12 månader, 24 månader eller tills anställningen upphör?
- Vem ansvarar för att rensningar genomförs i tid?
Hur bör små och medelstora företag gå vidare i praktiken?
Om nuläget är oklart, försök inte lösa allt i ett projekt. Ett mer hållbart sätt är att bygga en gemensam grund och komplettera den med särskilda dataskyddskrav.
Avgränsa först vilka uppgifter och processer ni granskar
Lista företagets 5–10 viktigaste informationsflöden: till exempel kunddata, personaldata, ekonomi, supporttjänster och molntjänster. Notera för varje flöde om personuppgifter ingår, vem som äger processen och i vilket system informationen finns.
Gör en gemensam riskinventering
Bedöm sannolikhet och påverkan för varje centralt informationsflöde på en skala 1–5. Fokusera först på områden med både affärsrisk och personuppgiftsrisk, som HR-system, kundregister eller Microsoft 365-miljö.
Fastställ grundläggande kontroller och dataskyddspraxis parallellt
Inför samordnade åtgärder som multifaktorsautentisering, åtkomstroller, logguppföljning, rensningsrutiner och leverantörsavtalskontroller. Då undviker ni att informationssäkerhet och dataskydd finns i skilda dokument utan koppling till vardagen.
Avtala ansvar och tidsgränser tydligt
Utse minst processägare, IT-ansvarig och person eller roll ansvarig för dataskydd. Dokumentera till exempel att åtkomsträttigheter granskas 4 gånger per år, att inaktiva konton stängs inom 24 timmar och att avvikelser bedöms samma arbetsdag.
Följ upp genomförandet månads- eller kvartalsvis
Välj 3–5 nyckeltal som ledningen regelbundet följer. Bra mått kan vara öppna avvikelser, föråldrade användarkonton, genomförd utbildning, leverantörsbedömningars täckningsgrad och efterlevnad av rensningsrutiner.
Vanligaste misstagen som leder till onödigt arbete
Det största problemet är sällan att inget görs. Problemet är att samma saker görs i två olika projekt under olika namn.
De vanligaste misstagen är:
- GDPR hanteras som enbart lagtext utan praktiska processer
- ISO 27001 byggs som dokumentation utan vardagsutförande
- ansvar blir oklara mellan IT, HR och verksamhet
- leverantörsrisken glöms bort trots molntjänster
- rensningsrutiner saknas eller följs inte upp
Nedan en enkel checklista för bedömning av nuläget:
| Kontrollpunkt | Bra nivå | Varningssignal |
|---|---|---|
| Kartläggning av informationsresurser | Uppdaterad senaste 12 mån | Ingen vet var personuppgifter finns |
| Åtkomstkontroll | Granskning kvartalsvis | Konton kvar efter anställning |
| Avvikelseprocess | Ansvar och rapportväg definierad | Avvikelser löses ad hoc |
| Lagringstider | Fastställda per datatyp | Uppgifter sparas "för säkerhets skull" |
| Leverantörshantering | Avtal och bedömningar dokumenterade | Molntjänster utan bedömning |
Varning
Ett vanligt misstag är att tro att ett certifikat eller en integritetspolicy i sig bevisar att allt är i ordning. Den verkliga nivån syns först när åtkomster, avvikelser, rensningar och ansvar fungerar i vardagen.
Vad bör ni göra först?
Om företaget varken har ISO 27001 eller GDPR under kontroll, börja där risken är störst och där Ni snabbast kan skapa synliga förbättringar. För de flesta små och medelstora företag fungerar det bra att först bygga en grundstruktur enligt ISO 27001 och samtidigt säkerställa de obligatoriska dataskyddskrav som GDPR ställer.
I praktiken betyder det till exempel följande framsteg inom 60–90 dagar:
| Veckor | Mål | Resultat |
|---|---|---|
| 1–2 | Nulägesanalys | Lista informationsflöden, system och ansvar |
| 3–4 | Riskbedömning | Prioriterad risklista och åtgärder |
| 5–8 | Grundläggande kontroller på plats | MFA, åtkomstmodell, avvikelseprocess, leverantörslista |
| 9–10 | GDPR-kompletteringar | Policys, lagringstider, rättsliga grunder |
| 11–12 | Ledningsgenomgång | Nyckeltal, beslut och fortsatt planering |
Den här modellen fungerar särskilt bra när Ni vill minska krav från kunder, höja informationssäkerheten och samtidigt få dataskyddet under kontroll utan ett separat tungt projekt.
Sammanfattning
- ISO 27001 är en standard för informationssäkerhetsledning medan GDPR är en lag som reglerar behandling av personuppgifter.
- De delar många praktiska teman, såsom riskhantering, åtkomster, avvikelsehantering och dokumentation.
- ISO 27001 stödjer starkt GDPR:s genomförande, men täcker inte ensam exempelvis rättsliga grunder, lagringstider eller registrerades rättigheter.
- För små och medelstora företag är det mest effektivt att bygga en gemensam modell där informationssäkerhet och dataskydd samspelar.
- Följ upp med 3–5 nyckeltal och ange konkreta tidsgränser, exempelvis borttagning av konton inom 24 timmar.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.