ISO 27001 i selvejende statslige institutioner

Selvejende institutioner er som udgangspunkt ikke forpligtede til at implementere ISO 27001-standarden. Digitaliseringsstyrelsen vurderer imidlertid, at en lang række krav fra bl.a. persondataloven m.m. mest hensigtsmæssigt og effektivt kan imødekommes ved implementering af ISO 27001.

Det fremgår af Finansministeriets publikation 'Enkel administration i staten' fra 2010, at statslige institutioner skal følge ISO 27001, når den foreligger i ny udgave. Dette skete i januar 2014. I december 2014 udkom National strategi for cyber- og informationssikkerhed 2015-16, hvoraf det fulgte at deadline for implementering var primo 2016.

Læs 'Enkel administration i staten' på fm.dk

Selvejende institutioner er ikke forpligtede til at følge ISO 27001

Når selvejende institutioner og offentlige myndigheder behandler personoplysninger, er de imidlertid omfattet af persondataloven, sikkerhedsbekendtgørelsen og Datatilsynets afgørelser og udtalelser. Det fremgår bl.a., at der skal træffes fornødne tekniske og organisatoriske foranstaltninger i forbindelse med behandling af personoplysninger. 

På Datatilsynets hjemmeside er det beskrevet, hvad sikkerhedsforanstaltningerne blandt andet omfatter. For rådgivning om databeskyttelse henvises til Datatilsynet.

ISO 27001 er bedst til at imødekomme kravene

Digitaliseringsstyrelsen vurderer, at kravene til persondatabeskyttelse og øvrig håndtering forretningskritisk data mest hensigtsmæssigt og effektivt imødekommes ved implementering af ISO 27001-standarden. Det samme vil gøre sig gældende, når den kommende persondataforordning træder i kraft. Implementering af ISO 27001 tager erfaringsmæssigt 2-3 år.