ISO27001 i selvejende statslige institutioner

Selvejende institutioner er som udgangspunkt ikke forpligtede til at implementere ISO27001-standarden. Digitaliseringsstyrelsen vurderer imidlertid, at en lang række krav fra bl.a. persondataloven m.m. mest hensigtsmæssigt og effektivt kan imødekommes ved implementering af ISO27001

Det fremgår af Finansministeriets publikation Enkel administration i staten fra 2010, at statslige institutioner skal følge ISO27001, når den foreligger i ny udgave. Dette skete i januar 2014. I december 2014 udgav regeringen National strategi for cyber- og informationssikkerhed 2015-16, hvoraf det følger, at deadline for implementering er senest primo 2016. 

Selvejende institutioner er ikke forpligtede til at følge ISO27001

Når selvejende institutioner og offentlige myndigheder behandler personoplysninger, er de imidlertid omfattet af persondataloven, sikkerhedsbekendtgørelsen og Datatilsynets afgørelser og udtalelser. Det fremgår bl.a., at der skal træffes fornødne tekniske og organisatoriske foranstaltninger i forbindelse med behandling af personoplysninger. 

På Datatilsynets hjemmeside er det beskrevet, hvad sikkerhedsforanstaltningerne blandt andet omfatter. For rådgivning om databeskyttelse henvises til Datatilsynet. 

ISO27001 er bedst til at imødekomme kravene

Digitaliseringsstyrelsen vurderer, at kravene til persondatabeskyttelse og øvrig håndtering forretningskritisk data mest hensigtsmæssigt og effektivt imødekommes ved implementering af ISO27001-standarden. Det samme vil gøre sig gældende, når den kommende persondataforordning træder i kraft. Da implementering af ISO27001 erfaringsmæssigt tager 2-3 år, anbefaler Digitaliseringsstyrelsen, at implementering iværksættes allerede i år.