Ο Διεθνής Οργανισμός Τυποποίησης δημοσίευσε το 2019 ένα πρότυπο για ένα γενικό σύστημα διαχείρισης προστασίας δεδομένων (DSMS). Το ISO/IEC 27701 περιγράφει ένα DSMS που βασίζεται σε ένα σύστημα διαχείρισης της ασφάλειας πληροφοριών σύμφωνα με το ISO 27001. Αυτή η ειδική μορφή DSMS ονομάζεται σύστημα διαχείρισης προσωπικών πληροφοριών (PIMS). Τα βασικά στοιχεία για αυτό το PIMS περιγράφονται παρακάτω. Κατά τη διαδικασία αυτή, επεξεργάζονται ποια είναι τα πέντε βασικά πλεονεκτήματα που προσφέρει ένα PIMS στις επιχειρήσεις. Τα δωρεάν λευκά έγγραφα παρέχουν περαιτέρω καθοδήγηση για την πρακτική εφαρμογή.

Loading...

Προστασία δεδομένων και ασφάλεια πληροφοριών

Ακόμα και στο πλαίσιο της ασφάλειας πληροφοριών, η προστασία δεδομένων δεν είναι ένα έργο που ξεκινά, εκτελείται και ολοκληρώνεται άπαξ. Ακριβώς το αντίθετο συμβαίνει. Η επιχειρησιακή προστασία δεδομένων είναι ένας αριθμός διαδικασιών προστασίας δεδομένων που πρέπει να είναι μόνιμα διαθέσιμες και εφαρμόσιμες στους οργανισμούς ή να μπορούν να ενεργοποιηθούν από ένα έναυσμα. Σημαντικά παραδείγματα είναι οι δύο διαδικασίες προστασίας δεδομένων "διασφάλιση των δικαιωμάτων των υποκειμένων των δεδομένων" και "αντίδραση σε περιστατικά προστασίας δεδομένων".

Στον κόσμο της προστασίας δεδομένων, η χρήση ενός συστήματος διαχείρισης προστασίας δεδομένων (DSMS) θεωρείται το μεγάλο πράγμα για την επίλυση των προβλημάτων προστασίας δεδομένων των οργανισμών. Γιατί συμβαίνει αυτό; Η απάντηση είναι σχετικά απλή:

Ένα σύστημα διαχείρισης προστασίας δεδομένων είναι το πλαίσιο και ο οδηγός της επιχειρησιακής προστασίας δεδομένων που πρέπει να τηρούν μόνιμα οι οργανισμοί.

Stephan Rehfeld Εμπειρογνώμονας GDPR και ελεγκτής στην DQS

Από τις 25 Μαΐου 2018, ο Ευρωπαϊκός Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) παρέχει απλώς τους κανόνες για το DSMS. Διατυπώνει αυστηρές νομικές απαιτήσεις ως προς το τι επιτρέπεται ή απαγορεύεται (Business Rules). Οι κυρώσεις του DS-GVO (γερμανικός βασικός νόμος περί προστασίας δεδομένων) της Γερμανίας προέρχονται από αυτό. Ωστόσο, δεν κάνει καμία δήλωση σχετικά με τον τρόπο εφαρμογής των νομικών απαιτήσεων προστασίας δεδομένων.

Προστασία δεδομένων και ασφάλεια πληροφοριών - τι είναι τέλος πάντων ένα σύστημα διαχείρισης;

Ο ορισμός ενός συστήματος διαχείρισης είναι αφηρημένος και δεν μπορεί να τεθεί σε λειτουργία ad hoc. Το πρότυπο ISO/IEC 27000:2020 ορίζει ένα σύστημα διαχείρισης ως ένα ...

"Σύνολο αλληλένδετων και αλληλεπιδρώντων στοιχείων ενός οργανισμού (3.50) για τον καθορισμό πολιτικών (3.53), στόχων (3.49) και διαδικασιών (3.54) για την επίτευξη των στόχων αυτών."

Μόνο όταν τα στοιχεία ενός συστήματος διαχείρισης έχουν καθοριστεί λεπτομερέστερα μπορεί να γίνει δήλωση σχετικά με το κατά πόσον οι αυστηρές νομικές και λειτουργικές απαιτήσεις προστασίας δεδομένων του ΓΚΠΔ πληρούνται με το σύστημα διαχείρισης που εφαρμόζεται συγκεκριμένα. Η δήλωση ότι λειτουργεί σύστημα διαχείρισης της προστασίας δεδομένων δεν παρέχει καμία ένδειξη για την ποιότητα του ΣΔΠΔ ή για την κατάσταση εφαρμογής του.

Η δομή υψηλού επιπέδου ως σχέδιο για τα συστήματα διαχείρισης

Ο Διεθνής Οργανισμός Τυποποίησης (ISO) δημιούργησε ένα σχέδιο για τα συστήματα διαχείρισης που ονομάζεται Δομή Υψηλού Επιπέδου (HLS). Αυτή η βασική δομή περιέχει όλα τα στοιχεία που ο ISO θεωρεί σημαντικά για ένα σύστημα διαχείρισης (προσάρτημα 2 του παραρτήματος SL των οδηγιών ISO/IEC, μέρος 1). Για το λόγο αυτό, οι βασικοί μηχανισμοί των προτύπων συστημάτων διαχείρισης είναι πολύ παρόμοιοι.

Συνεπώς, το συγκεκριμένο ΣΔΠΔ του ISO, το σύστημα διαχείρισης προσωπικών πληροφοριών( ΣΔΠΔ), έχει την ίδια βάση με ένα σύστημα διαχείρισης ποιότητας σύμφωνα με το ISO 9001, ένα σύστημα περιβαλλοντικής διαχείρισης σύμφωνα με το ISO 14001 ή ένα σύστημα διαχείρισης της ασφάλειας πληροφοριών σύμφωνα με το ISO 27001.

Προστασία δεδομένων και ασφάλεια πληροφοριών - ενσωμάτωση του ΓΚΠΔ σε ένα σύστημα διαχείρισης

Ένα ΣΔΠΔ σύμφωνα με το διεθνές πρότυπο ISO/IEC 27701 είναι καθολικό και όχι μόνο προσαρμοσμένο στον ευρωπαϊκό κανονισμό για τη γενική προστασία δεδομένων. Το πρότυπο περιγράφει ένα σύστημα διαχείρισης προστασίας δεδομένων που βασίζεται σε ένα σύστημα διαχείρισης ασφάλειας πληροφοριών σύμφωνα με το ISO 27001, καθιστώντας το ISO 27701 κατάλληλο για την εφαρμογή οποιασδήποτε επιχειρησιακής προστασίας προσωπικών δεδομένων, συμπεριλαμβανομένης της νομοθεσίας της Καλιφόρνιας ή της ιαπωνικής νομοθεσίας περί προστασίας δεδομένων.

ISO/IEC 27701:2021-07- Τεχνικές ασφάλειας - Επέκταση των προτύπων ISO/IEC 27001 και ISO/IEC 27002 για τη διαχείριση πληροφοριών προστασίας της ιδιωτικής ζωής - Απαιτήσεις και κατευθυντήριες γραμμές (ISO/IEC 27701:2019).
Το πρότυπο είναι διαθέσιμο από το Δικτυακός τόπος του ISO.

ΑΛΛΑ: Όσοι έχουν αναπτύξει και εφαρμόσει ένα ΣΔΠΔ σύμφωνα με το πρότυπο προστασίας δεδομένων - με άλλα λόγια, όσοι προστατεύουν και διαχειρίζονται συστηματικά τα προσωπικά τους δεδομένα - είναι εύκολο να διασφαλίσουν και να αποδείξουν τη συμμόρφωση με τις νομικές απαιτήσεις προστασίας δεδομένων. Αυτό γίνεται μέσω του μηχανισμού του συστήματος διαχείρισης της διαχείρισης απαιτήσεων. Η διαχείριση απαιτήσεων είναι η διαδικασία εντοπισμού και αξιολόγησης των εσωτερικών και εξωτερικών απαιτήσεων και η εφαρμογή μέτρων για την αντιμετώπιση των κινδύνων.

Ποια είναι η διαφορά μεταξύ της προστασίας δεδομένων και της ασφάλειας πληροφοριών;

Η θεμελιώδης διαφορά μεταξύ των δύο θεμάτων είναι απλή: η ασφάλεια των πληροφοριών περιλαμβάνει όλα τα εταιρικά περιουσιακά στοιχεία που πρέπει να διαφυλαχθούν και χρησιμεύει στην προστασία των εμπιστευτικών επιχειρηματικών πληροφοριών από την κατάχρηση από τρίτους. Αυτό περιλαμβάνει πολύ περισσότερα από τα συστήματα πληροφορικής. Όταν πρόκειται για την προστασία των δεδομένων, τα μέτρα αποσκοπούν στην προστασία των προσωπικών δεδομένων. Από τον Μάιο του 2018, ο γενικός κανονισμός της ΕΕ για την προστασία των δεδομένων πρέπει να εφαρμοστεί δεσμευτικά σε όλη την Ευρώπη - από όλες τις εταιρείες και τους δημόσιους φορείς που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα.

Πέντε πλεονεκτήματα της διαχείρισης της προστασίας δεδομένων

Στην αλληλεπίδραση μεταξύ της ασφάλειας πληροφοριών και της προστασίας δεδομένων, ένα πρότυπο θα πρέπει πάντα να νοείται ως βέλτιστη πρακτική. Η συγκεκριμένη εφαρμογή των απαιτήσεων και των μέτρων για την ασφάλεια των δεδομένων πρέπει να πραγματοποιείται από τον χρήστη.

Το γενικό πλεονέκτημα του ΣΔΠΔ είναι η παγκόσμια τυποποίηση μέσω του προτύπου προστασίας δεδομένων και η εκτεταμένη βιβλιογραφία σχετικά με την εφαρμογή του προτύπου. Ομολογουμένως, η γλώσσα των προτύπων "χρειάζεται κάποια εξοικείωση".

Πλεονέκτημα #1: Ανάθεση αρμοδιοτήτων

Φαίνεται σχεδόν να αποτελεί εταιρική κουλτούρα μεταξύ των μικρομεσαίων επιχειρήσεων (ΜΜΕ) η ασαφής ή καθόλου ανάθεση αρμοδιοτήτων. Μπορεί να παρατηρηθεί ότι σε πολλές εταιρικές πολιτικές η ευθύνη για ορισμένες δραστηριότητες ή περιουσιακά στοιχεία δεν ορίζεται και δεν αντιμετωπίζεται με σαφήνεια. Αυτό αποτελεί σημαντική έλλειψη και οδηγεί σε κενά και λάθη στις λειτουργίες.

ΑΛΛΑ: Η προστασία των δεδομένων είναι ένα "ομαδικό άθλημα". Μόνο αν όλα τα καθήκοντα έχουν προσδιοριστεί και ανατεθεί σε υπεύθυνους, και μόνο αν τα άτομα αυτά εκπληρώνουν επίσης τα καθήκοντά τους, μπορεί η εταιρεία σας να λειτουργεί με τρόπο συμβατό με την προστασία των δεδομένων.

Η προστασία των δεδομένων είναι ένα "ομαδικό άθλημα": Η κατανομή της ευθύνης είναι καλή. Η ανάληψη της ευθύνης είναι καλύτερη".

Με την εισαγωγή ενός PIMS, πρέπει να εισαχθεί η αρχή της ιδιοκτησίας στον οργανισμό για το πεδίο εφαρμογής του προτύπου. Ωστόσο, ο όρος ιδιοκτήτης δεν πρέπει να νοείται εδώ με την έννοια του αστικού δικαίου. Αντίθετα, στη γερμανική γλώσσα του προτύπου, ο ιδιοκτήτης αναφέρεται στην ευθύνη ενός προσώπου για ένα περιουσιακό στοιχείο ή την εφαρμογή μιας απαίτησης ή ενός μέτρου.

Για παράδειγμα: Η τήρηση του "Καταλόγου δραστηριοτήτων επεξεργασίας (VVT)" συχνά ανατίθεται στον υπεύθυνο προστασίας δεδομένων (DPO). Φυσικά, αυτό είναι πλήρης ανοησία και δεν μπορεί να λειτουργήσει, διότι ο ΥΠΔ συχνά δεν εμπλέκεται καθόλου σε πολλές δραστηριότητες επεξεργασίας. Στη διαχείριση ποιότητας, οι ιδιοκτήτες των διαδικασιών εκτελούν την τεκμηρίωση των διαδικασιών. Η ανώτατη διοίκηση θα πρέπει να το αναθέτει αναλόγως και στην προστασία δεδομένων.

Πιστοποιητικό σύμφωνα με το ISO 27701

Όσον αφορά την πιστοποίηση, το ISO 27701 συμπληρώνει το γνωστό πρότυπο ISO 27001 - θα είναι το πρώτο πρότυπο που θα επιβεβαιώνει την προστασία των δεδομένων με πιστοποιητικό. Η DQS βρίσκεται επί του παρόντος στη διαδικασία διαπίστευσης με τον γερμανικό φορέα διαπίστευσης (DAkkS).

Πλεονέκτημα #2: Η επιχειρησιακή προστασία δεδομένων είναι προσανατολισμένη στον κίνδυνο

Στο γερμανικό DS-GVO, ο ευρωπαίος νομοθέτης απαιτεί την εφαρμογή της ασφάλειας δεδομένων με γνώμονα τον κίνδυνο, για παράδειγμα στο άρθρο 32 παράγραφος 1 του DS-GVO. Αυτός ο προσανατολισμός στον κίνδυνο συχνά δεν λειτουργεί σε επιχειρήσεις στις οποίες δεν έχει εγκατασταθεί επίσημα σύστημα διαχείρισης. Η εφαρμογή του προτύπου προστασίας δεδομένων ISO 27701 εισάγει αναπόφευκτα τον προσανατολισμό στον κίνδυνο. Εδώ, η μέθοδος για την αξιολόγηση του κινδύνου ασφάλειας δεδομένων δεν προβλέπεται και μπορεί - εντός ορίων - να καθοριστεί από τον χρήστη.

Πλεονέκτημα #3: Διαχείριση αλλαγών ως στοιχείο επιτυχίας

Οι διαδικασίες ασφάλειας δεδομένων μπορούν να ενεργοποιηθούν από μια αλλαγή στον οργανισμό. Για παράδειγμα, η εφαρμογή ή η προσαρμογή μιας επιχειρηματικής διαδικασίας, μιας υπηρεσίας ή ενός προϊόντος. Οι εταιρείες χωρίς διαχείριση αλλαγών αντιμετωπίζουν μεγάλα προβλήματα συμμόρφωσης με τις απαιτήσεις προστασίας δεδομένων, επειδή οι αλλαγές αντιμετωπίζονται τακτικά με τυχαίο και ανεξέλεγκτο τρόπο. Αυτό έχει ως αποτέλεσμα το λεγόμενο ρυθμιστικό κενό.

"Οι εταιρείες και οι οργανισμοί αλλάζουν συνεχώς. Η διαχείριση των αλλαγών διαδραματίζει επίσης σημαντικό ρόλο στην προστασία των δεδομένων και την ασφάλεια των πληροφοριών".

Ένα PIMS καταγράφει και ελέγχει αυτές τις αλλαγές με τη βοήθεια της διαχείρισης αλλαγών και τις εφαρμόζει. Για παράδειγμα, μια αλλαγή σε μια επιχειρησιακή διαδικασία απαιτεί έλεγχο του επιτρεπτού (νομιμότητα, οικονομία δεδομένων, δικαιώματα υποκειμένων δεδομένων, τεκμηρίωση στο VVT κ.λπ.)

Παραδείγματος χάριν: Η απαίτηση για έγκαιρη συμμετοχή του υπεύθυνου προστασίας δεδομένων στον σχεδιασμό των αλλαγών μπορεί να επιτευχθεί πολύ απλά με τον διορισμό του στην ομάδα αλλαγών.

Πλεονέκτημα #4: Βελτιστοποίηση μέσω μιας διαδικασίας συνεχούς βελτίωσης

Οι εταιρείες αλλάζουν συνεχώς. Ένα σύστημα διαχείρισης προσωπικών πληροφοριών αρχικά σχεδιάζεται, υλοποιείται και λειτουργεί. Είναι πολύ πιθανό η πρώτη προσπάθεια εισαγωγής, υλοποίησης και λειτουργίας του συστήματος να είναι μη βέλτιστη λόγω έλλειψης εμπειρίας. Ακόμη και αν κατά την εφαρμογή ζητηθεί η γνώμη ενός έμπειρου συμβούλου, είναι αναμενόμενο να υπάρξουν εμπόδια.

"Προϋπόθεση: Να γίνει η ασφάλεια των πληροφοριών και η προστασία των δεδομένων συστηματική και βιώσιμη".

Ενώ όλα τα PIMS διαθέτουν κατ' αρχήν τους ίδιους μηχανισμούς, είναι σχεδιασμένα με διαφορετικό τρόπο. Επιρροή στην εφαρμογή των μηχανισμών μπορεί να έχουν το μέγεθος του οργανισμού, η οργανωτική κουλτούρα ή ακόμη και η εστίαση στον κλάδο.

Ένας καλός επιμέρους μηχανισμός για τη διαρκή προσαρμογή του PIMS στις μεταβαλλόμενες ανάγκες του οργανισμού και των ενδιαφερομένων μερών είναι η διαδικασία συνεχούς βελτίωσης (ΠΣΒ).

Για παράδειγμα: ο Γενικός Κανονισμός για την Προστασία Δεδομένων απαιτεί ένα ενημερωτικό δελτίο που να ενημερώνει τους πελάτες ή, για παράδειγμα, τους πολίτες κατά τη στιγμή της συλλογής δεδομένων σχετικά με τη φύση και το πεδίο εφαρμογής της επεξεργασίας των προσωπικών δεδομένων και τα σχετικά δικαιώματα. Αυτά τα ενημερωτικά δελτία σύμφωνα με τα άρθρα 13 και 14 DS-GVO δημοσιεύονται σύμφωνα με το νόμο, ωστόσο υπάρχουν πολλά αιτήματα για τις πληροφορίες αυτές από τα υποκείμενα των δεδομένων. Συμπεριλαμβάνοντας αυτές τις προτάσεις βελτίωσης, η εταιρεία αναγνωρίζει ότι μπορεί να εξοικονομήσει πόρους και να αυξήσει την ικανοποίηση των πελατών βελτιστοποιώντας τη δημοσίευση των πληροφοριών.

Πλεονέκτημα #5: Λεπτομερής κατάλογος μέτρων

Όπως περιγράφηκε προηγουμένως, το ISO 27701 δεν είναι προσαρμοσμένο στον ΓΚΠΔ. Ο χρήστης του προτύπου είναι υπεύθυνος για την προσθήκη των συγκεκριμένων απαιτήσεων του ΓΚΠΔ στο ΣΔΠΔ.

Ωστόσο, το διεθνές πρότυπο φέρνει τρεις εκτεταμένους καταλόγους μέτρων για τη γενική εφαρμογή της επιχειρησιακής προστασίας δεδομένων:

  • Τεχνικά και οργανωτικά μέτρα,
  • Οργάνωση της προστασίας των δεδομένων στον υπεύθυνο επεξεργασίας, και
  • Οργάνωση προστασίας δεδομένων στον εκτελούντα την επεξεργασία.

Τα καλά νέα για τον Ευρωπαίο χρήστη είναι ότι οι συντάκτες του νέου προτύπου έχουν επικεντρωθεί έντονα στον Γενικό Κανονισμό για την Προστασία Δεδομένων κατά τον σχεδιασμό των καταλόγων μέτρων. Αυτό σημαίνει ότι η εφαρμογή των γενικών καταλόγων μέτρων χαρτογραφεί ήδη πολλές από τις απαιτήσεις του ΓΚΠΔ. Οι απαιτήσεις που λείπουν παρακολουθούνται στη συνέχεια από τη διαχείριση των απαιτήσεων.

Τα μέτρα αποτελούν βέλτιστες πρακτικές για την εφαρμογή και είναι γραμμένα σε στυλ εγχειριδίου. Σε αντίθεση με τον ΓΚΠΔ (επιχειρησιακοί κανόνες), τα μέτρα εξηγούν στον χρήστη του προτύπου πώς πρέπει να γίνει η εφαρμογή. Από τη σκοπιά του συντάκτη, αυτό είναι ένα πολύ μεγάλο πλεονέκτημα.

Συμπέρασμα: Προστασία δεδομένων και ασφάλεια πληροφοριών

Όποιος έχει αναπτύξει και εφαρμόσει ένα σύστημα διαχείρισης προστασίας δεδομένων (DSMS) σύμφωνα με το ISO 27701 - με άλλα λόγια, όποιος προστατεύει και διαχειρίζεται συστηματικά τα προσωπικά του δεδομένα - θα είναι εύκολο να διασφαλίσει και να αποδείξει τη συμμόρφωση με τις νομικές απαιτήσεις. Με την κατάλληλη εφαρμογή, το πρότυπο μπορεί να αποτρέψει πολλά λάθη κατά την εισαγωγή και τη λειτουργία ενός DSMS.

"Με γνώμονα την προστασία των δεδομένων και την ασφάλεια των πληροφοριών, το ISO 27701 είναι το πολυαναμενόμενο εγχειρίδιο για την εφαρμογή του ΓΚΠΔ".

Ωστόσο, η πιστοποίηση του ΣΔΑΤ θα είναι δυνατή μόνο εάν η εταιρεία εφαρμόζει επίσης ένα πιστοποιημένο σύστημα διαχείρισης της ασφάλειας των πληροφοριών σύμφωνα με το ISO 27001.

DQS: Απλά αξιοποιώντας την ποιότητα.

Τα πρότυπα συστημάτων διαχείρισης παρέχουν ένα συστηματικό και δομημένο πλαίσιο για τη συνεκτίμηση των νομικών υποχρεώσεων και την ενσωμάτωσή τους στις επιχειρηματικές διαδικασίες. Οι εταιρείες που θέλουν να είναι σίγουρες μπορούν να ελέγξουν την κατάσταση της εφαρμογής τους για την ασφάλεια των πληροφοριών ή τη συμμόρφωση με τον DS-GVO από έναν ανεξάρτητο φορέα όπως η DQS.

Οι βασικές μας αρμοδιότητες έγκεινται στη διενέργεια ελέγχων και αξιολογήσεων πιστοποίησης. Αυτό μας καθιστά έναν από τους κορυφαίους παρόχους παγκοσμίως με την αξίωση να θέτουμε πάντα νέα σημεία αναφοράς στην αξιοπιστία, την ποιότητα και τον προσανατολισμό στον πελάτη. Ταυτόχρονα, ένα πιστοποιημένο σύστημα διαχείρισης για την ασφάλεια πληροφοριών και την προστασία δεδομένων αποτελεί απόδειξη της επιμέλειας και της προνοητικότητας της εταιρείας σας σε περίπτωση εξωτερικών επιθέσεων σε δεδομένα.

Εμπιστοσύνη και τεχνογνωσία

Τα κείμενα και τα φυλλάδιά μας συντάσσονται αποκλειστικά από τους ειδικούς μας σε θέματα προτύπων ή από μακροχρόνιους ελεγκτές. Εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με το περιεχόμενο ή τις υπηρεσίες μας προς τον συγγραφέα μας, επικοινωνήστε μαζί μας. Ανυπομονούμε να συζητήσουμε μαζί σας.

Συγγραφέας
Stephan Rehfeld

Διευθύνων Σύμβουλος της "scope & focus Service-Gesellschaft mbH". Εξωτερικός υπεύθυνος προστασίας δεδομένων και μακροχρόνιος ελεγκτής προστασίας δεδομένων DQS. Τακτικό μέλος με δικαίωμα ψήφου της ομάδας εργασίας "Διαχείριση ταυτότητας και τεχνολογίες προστασίας δεδομένων" του γερμανικού DIN, αναπληρωτής επικεφαλής του κύκλου ανταλλαγής εμπειριών της Γερμανικής Ένωσης για την Προστασία και Ασφάλεια Δεδομένων (GDD) στο Ανόβερο.

Loading...