Risikostyring av personvern – NS-ISO/IEC 27557
NS-ISO/IEC 27557 omhandler informasjonssikkerhet og gir retningslinjer for risikostyring av personvern. Standarden viser hvordan ISO 31000 Risikostyring brukes for personvern i en organisasjon.
Standarden gir veiledning til organisasjoner for å integrere risikoer knyttet til behandling av personopplysninger som en del av et organisatorisk risikostyringsprogram for personvern.
Det skilles mellom virkningen som behandling av personopplysninger kan ha på en enkeltperson med konsekvenser for organisasjonen – for eksempel omdømmetap.
ISO/IEC 27557 gir også veiledning for å innlemme følgende i den overordnede organisatoriske risikovurderingen:
- organisatoriske konsekvenser av personvernhendelser som påvirker enkeltpersoner negativt
- organisatoriske konsekvenser av personvernhendelser som skader organisasjonen uten å påvirke enkeltpersoner negativt
Standarden bidrar til gjennomføringen av et risikobasert personvernprogram som kan integreres i organisasjonens overordnede risikostyring.
Samme metodikk som NS-ISO 31000
NS-ISO 31000 gir veiledning om hvordan organisasjoner kan integrere risikobasert beslutningstaking i styring, planlegging, ledelse, rapportering, policy, verdier og kultur. Det er et åpent, prinsippbasert system, som betyr at det er mulig for organisasjonen å anvende prinsippene i standarden til egen kontekst.
NS-ISO/IEC 27557 viser hvordan NS-ISO 31000 anvendes for risikostyring for personvern i en organisasjon.