Kansainvälinen standardisoimisjärjestö on julkaissut vuonna 2019 yleisen tietosuojan hallintajärjestelmän (DSMS) standardin. ISO/IEC 27701 kuvaa DSMS:n, joka perustuu ISO 27001:n mukaiseen tietoturvallisuuden hallintajärjestelmään. Tätä DSMS:n erityismuotoa kutsutaan henkilötietojen hallintajärjestelmäksi (PIMS). Tämän PIMS:n perusteet kuvataan jäljempänä. Samalla selvitetään, mitkä viisi tärkeintä etua PIMS tarjoaa yrityksille. Maksuttomissa valkoisissa kirjoissa annetaan lisäohjeita käytännön toteutukseen.

Loading...

Tietosuoja ja tietoturva

Tietoturvankaan yhteydessä tietosuoja ei ole kertaluonteinen hanke, joka aloitetaan, käydään läpi ja saatetaan päätökseen. Asia on juuri päinvastoin. Operatiivinen tietosuoja on joukko tietosuojaprosesseja, joiden on oltava organisaatioissa jatkuvasti käytettävissä ja toteutettavissa tai käynnistettävissä laukaisimella. Tärkeitä esimerkkejä tästä ovat kaksi tietosuojaprosessia: "rekisteröidyn oikeuksien varmistaminen" ja "tietosuojapoikkeamiin reagoiminen".

Tietosuojamaailmassa tietosuojan hallintajärjestelmän (DSMS) käyttöä pidetään suurena asiana organisaatioiden tietosuojaongelmien ratkaisemisessa. Miksi näin on? Vastaus on suhteellisen yksinkertainen:

Tietosuojan hallintajärjestelmä on operatiivisen tietosuojan kehys ja ajuri, jota organisaatioiden on jatkuvasti noudatettava.

Stephan Rehfeld GDPR-asiantuntija ja DQS:n tarkastaja.

Toukokuun 25. päivästä 2018 lähtien Euroopan yleinen tietosuoja-asetus (GDPR) on yksinkertaisesti antanut säännöt DSMS:lle. Siinä muotoillaan tiukat oikeudelliset vaatimukset siitä , mikä on sallittua tai kiellettyä (liiketoimintasäännöt). Saksan DS-GVO:n (Saksan tietosuojaa koskeva peruslaki) seuraamukset on johdettu tästä. Siinä ei kuitenkaan oteta kantaa siihen, miten tietosuojaa koskevat lakisääteiset vaatimukset on pantava täytäntöön.

Tietosuoja ja tietoturva - mitä johtamisjärjestelmä ylipäätään on?

Johtamisjärjestelmän määritelmä on abstrakti, eikä sitä voida operationalisoida ad hoc. Standardissa ISO/IEC 27000:2020 johtamisjärjestelmä määritellään ...

"Organisaation toisiinsa liittyvien ja vuorovaikutuksessa olevien elementtien joukko (3.50), jonka avulla laaditaan toimintaperiaatteet (3.53), tavoitteet (3.49) ja prosessit (3.54) näiden tavoitteiden saavuttamiseksi."

Vasta kun hallintajärjestelmän osat on määritelty tarkemmin, voidaan ottaa kantaa siihen, täyttyvätkö tietosuoja-asetuksen tiukat oikeudelliset ja toiminnalliset tietosuojavaatimukset nimenomaan käytössä olevalla hallintajärjestelmällä. Lausunto siitä, että käytössä on tietosuojan hallintajärjestelmä, ei anna mitään viitteitä DSMS:n laadusta tai täytäntöönpanon tilasta.

Korkean tason rakenne johtamisjärjestelmien suunnitelmana.

Kansainvälinen standardisoimisjärjestö (ISO) on luonut johtamisjärjestelmiä koskevan suunnitelman, jota kutsutaan korkean tason rakenteeksi (High Level Structure, HLS). Tämä perusrakenne sisältää kaikki ne elementit, joita ISO pitää johtamisjärjestelmän kannalta olennaisina (ISO/IEC-direktiivien liitteen SL lisäys 2, osa 1). Tästä syystä johtamisjärjestelmästandardien perusmekanismit ovat hyvin samankaltaisia.

ISO:n erityisellä DSMS-järjestelmällä, henkilötietojen hallintajärjestelmällä( Personal Information Management System, PIMS), on siis sama perusta kuin ISO 9001:n mukaisella laadunhallintajärjestelmällä, ISO 14001:n mukaisella ympäristöjärjestelmällä tai ISO 27001:n mukaisella tietoturvallisuuden hallintajärjestelmällä.

Tietosuoja ja tietoturva - yleisen tietosuoja-asetuksen sisällyttäminen johtamisjärjestelmään.

Kansainvälisen standardin ISO/IEC 27701 mukainen PIMS-järjestelmä on yleispätevä, eikä sitä ole räätälöity vain Euroopan yleistä tietosuoja-asetusta varten. Standardissa kuvataan tietosuojan hallintajärjestelmä, joka perustuu ISO 27001 -standardin mukaiseen tietoturvallisuuden hallintajärjestelmään, joten ISO 27701 soveltuu minkä tahansa operatiivisen henkilötietojen suojan toteuttamiseen, mukaan lukien Kalifornian tai Japanin tietosuojalainsäädäntö.

ISO/IEC 27701:2021-07- Tietoturvatekniikat - Laajennus ISO/IEC 27001:een ja ISO/IEC 27002:een yksityisyyden suojan tiedonhallintaa varten - Vaatimukset ja ohjeet (ISO/IEC 27701:2019).
Standardi on saatavissa osoitteesta: . ISOn verkkosivusto.

MUTTA: Ne, jotka ovat kehittäneet ja ottaneet käyttöön tietosuojastandardin mukaisen PIMS-järjestelmän - toisin sanoen ne, jotka suojaavat ja hallinnoivat henkilötietojaan järjestelmällisesti - voivat helposti varmistaa ja osoittaa, että lakisääteisiä tietosuojavaatimuksia noudatetaan. Tämä tapahtuu vaatimustenhallinnan johtamisjärjestelmämekanismin avulla. Vaatimustenhallinta on prosessi, jossa tunnistetaan ja arvioidaan sisäisiä ja ulkoisia vaatimuksia ja toteutetaan toimenpiteitä riskien poistamiseksi.

Mitä eroa on tietosuojalla ja tietoturvalla?

Näiden kahden aiheen välinen perusero on yksinkertainen: tietoturva kattaa kaikki säilytettävät yrityksen varat ja sen tarkoituksena on suojella luottamuksellisia liiketoimintatietoja kolmansien osapuolten väärinkäytöksiltä. Tähän liittyy paljon muutakin kuin vain tietotekniset järjestelmät. Kun kyse on tietosuojasta, toimenpiteillä pyritään suojaamaan henkilötietoja. Toukokuusta 2018 lähtien EU:n yleinen tietosuoja-asetus on täytynyt panna täytäntöön sitovasti koko Euroopassa - kaikkien henkilötietoja käsittelevien yritysten ja julkisten elinten.

Tietosuojan hallinnan viisi etua

Tietoturvan ja tietosuojan välisessä vuorovaikutuksessa standardi on aina ymmärrettävä parhaaksi käytännöksi. Tietoturvaa koskevien vaatimusten ja toimenpiteiden konkreettinen toteuttaminen on käyttäjän tehtävä.

PIMS:n yleisenä etuna on maailmanlaajuinen standardointi tietosuojastandardin avulla ja standardin toteuttamista koskeva laaja kirjallisuus. On tosin myönnettävä, että standardien kieli "vaatii totuttelua".

Etu nro 1: Vastuunjako

Pienten ja keskisuurten yritysten (pk-yritysten) yrityskulttuuriin näyttää kuuluvan, että vastuut jaetaan epäselvästi tai ei ollenkaan. Voidaan havaita, että monissa yritysten toimintaperiaatteissa ei ole selkeästi määritelty ja käsitelty vastuuta tietyistä toiminnoista tai omaisuuseristä. Tämä on suuri puute ja johtaa aukkoihin ja virheisiin toiminnassa.

MUTTA: Tietojen suojaaminen on "joukkuelaji". Vain jos kaikki tehtävät on yksilöity ja jaettu vastuullisille osapuolille ja vain jos nämä henkilöt myös täyttävät tehtävänsä, yrityksesi voi toimia tietosuojaa noudattaen.

Tietosuoja on "joukkuelaji": Vastuun jakaminen on hyvä asia. Vastuun ottaminen on parempi."

Ottamalla käyttöön PIMS-järjestelmän on otettava organisaatiossa käyttöön omistajuusperiaate standardin soveltamisalaa varten. Termiä omistaja ei kuitenkaan ole tässä ymmärrettävä sen siviilioikeudellisessa merkityksessä. Pikemminkin omistajalla tarkoitetaan standardin saksankielessä henkilön vastuuta omaisuudesta tai vaatimuksen tai toimenpiteen toteuttamisesta.

Esimerkiksi: "Käsittelytoimien luettelon (VVT)" ylläpitäminen delegoidaan usein tietosuojavastaavalle (DPO). Tämä on tietenkin täyttä hölynpölyä, eikä se voi toimia, koska tietosuojavastaava ei useinkaan osallistu moneenkaan käsittelytoimintaan. Laadunhallinnassa prosessien omistajat huolehtivat prosessien dokumentoinnista. Ylimmän johdon olisi delegoitava tämä vastaavasti myös tietosuojassa.

ISO 27701 -standardin mukainen sertifikaatti

Sertifioinnin osalta ISO 27701 täydentää tunnettua ISO 27001 -standardia - se on ensimmäinen standardi, jossa tietosuoja vahvistetaan sertifikaatilla. DQS on parhaillaan akkreditointiprosessissa Saksan akkreditointielimen (DAkkS) kanssa.

Etu nro 2: Operatiivinen tietosuoja on riskisuuntautunut.

Saksalaisessa DS-GVO:ssa eurooppalainen lainsäätäjä vaatii tietoturvan riskilähtöistä toteuttamista, esimerkiksi DS-GVO:n 32 artiklan 1 kohdassa. Tämä riskilähtöisyys ei useinkaan toimi yrityksissä, joissa ei ole virallisesti asennettu hallintajärjestelmää. ISO 27701 -tietosuojastandardin soveltaminen tuo väistämättä mukanaan riskilähtöisyyden. Tässä yhteydessä tietoturvariskien arviointimenetelmää ei ole määrätty, vaan käyttäjä voi - tietyissä rajoissa - itse määrittää sen.

Etu nro 3: Muutosten hallinta menestyksen osatekijänä

Tietoturvaprosessit voivat käynnistyä organisaatiossa tapahtuvan muutoksen seurauksena. Esimerkiksi liiketoimintaprosessin, palvelun tai tuotteen käyttöönotto tai mukauttaminen. Yrityksillä, joilla ei ole muutoksenhallintaa, on suuria ongelmia tietosuojavaatimusten noudattamisessa, koska muutoksia käsitellään säännöllisesti sattumanvaraisesti ja hallitsemattomasti. Tämä johtaa niin sanottuun sääntelyvajeeseen.

"Yritykset ja organisaatiot muuttuvat jatkuvasti. Muutostenhallinnalla on tärkeä rooli myös tietosuojassa ja tietoturvassa."

PIMS-järjestelmä tallentaa ja valvoo näitä muutoksia muutoksenhallinnan avulla ja toteuttaa ne. Esimerkiksi liiketoimintaprosessin muutos edellyttää sallittavuuden tarkistamista (laillisuus, tietotalous, rekisteröidyn oikeudet, dokumentointi VVT:ssä jne.).

Esim: Vaatimus tietosuojavastaavan varhaisesta osallistumisesta muutosten suunnitteluun voidaan toteuttaa melko yksinkertaisesti nimeämällä hänet muutostyöryhmään.

Etu #4: Optimointi jatkuvan parantamisprosessin avulla

Yritykset muuttuvat jatkuvasti. Henkilötietojen hallintajärjestelmää suunnitellaan, toteutetaan ja käytetään aluksi. On hyvin todennäköistä, että ensimmäinen yritys ottaa järjestelmä käyttöön, toteuttaa ja käyttää sitä on kokemuksen puutteen vuoksi epäoptimaalinen. Vaikka käyttöönoton aikana konsultoitaisiinkin kokenutta konsulttia, kompastuskiviä on odotettavissa.

"Lähtökohta: Tee tietoturvasta ja tietosuojasta järjestelmällistä ja kestävää."

Vaikka kaikissa PIMS-järjestelmissä on periaatteessa samat mekanismit, ne on suunniteltu eri tavoin. Mekanismien toteuttamiseen voivat vaikuttaa organisaation koko, organisaatiokulttuuri tai jopa toimialapainotteisuus.

Hyvä alamekanismi PIMS:n mukauttamiseksi jatkuvasti organisaation ja sidosryhmien muuttuviin tarpeisiin on jatkuva parantamisprosessi (CIP).

Esimerkiksi: Yleinen tietosuoja-asetus edellyttää tiedotetta, jossa asiakkaille tai esimerkiksi kansalaisille kerrotaan tietojen keruun yhteydessä henkilötietojen käsittelyn luonteesta ja laajuudesta sekä siihen liittyvistä oikeuksista. Nämä DS-GVO:n 13 ja 14 artiklan mukaiset tietosivut julkaistaan lain mukaisesti, mutta rekisteröidyt pyytävät usein näitä tietoja. Sisällyttämällä nämä parannusehdotukset yritys tunnustaa, että se voi säästää resursseja ja lisätä asiakastyytyväisyyttä optimoimalla tietojen julkaisemisen.

Etu #5: Yksityiskohtainen toimenpideluettelo

Kuten aiemmin on kuvattu, ISO 27701 -standardia ei ole räätälöity GDPR:ää varten. Standardin käyttäjän vastuulla on lisätä GDPR:n erityisvaatimukset PIMS-järjestelmään.

Kansainvälinen standardi tuo kuitenkin mukanaan kolme laajaa toimenpideluetteloa operatiivisen tietosuojan yleistä toteuttamista varten:

  • Tekniset ja organisatoriset toimenpiteet,
  • rekisterinpitäjän tietosuojaorganisaatio ja
  • henkilötietojen käsittelijän tietosuojaorganisaatio.

Hyvä uutinen eurooppalaisille käyttäjille on se, että uuden standardin laatijat ovat keskittyneet voimakkaasti yleiseen tietosuoja-asetukseen toimenpideluetteloita suunnitellessaan. Tämä tarkoittaa sitä, että yleisten toimenpideluetteloiden soveltaminen vastaa jo nyt monia yleisen tietosuoja-asetuksen vaatimuksia. Puuttuvia vaatimuksia seurataan sitten vaatimustenhallinnan avulla.

Toimenpideluettelot ovat parhaita käytänteitä täytäntöönpanoa varten, ja ne on kirjoitettu käsikirjan tyyliin. Toisin kuin GDPR:ssä (liiketoimintasäännöt), toimenpiteissä selitetään standardin käyttäjälle, miten täytäntöönpano on toteutettava. Kirjoittajan näkökulmasta tämä on erittäin suuri etu.

Johtopäätökset: Tietosuoja ja tietoturva

Kuka tahansa, joka on kehittänyt ja ottanut käyttöön ISO 27701 -standardin mukaisen tietosuojan hallintajärjestelmän (DSMS) - toisin sanoen kuka tahansa, joka suojaa ja hallinnoi henkilötietojaan järjestelmällisesti - voi helposti varmistaa ja todistaa, että lakisääteisiä vaatimuksia noudatetaan. Oikein sovellettuna standardilla voidaan estää monet virheet DSMS-järjestelmän käyttöönotossa ja toiminnassa.

"Tietosuojaa ja tietoturvaa silmällä pitäen ISO 27701 on kauan odotettu käsikirja GDPR:n täytäntöönpanoon."

Tietoturvajärjestelmän sertifiointi on kuitenkin mahdollista vain, jos yrityksessä on käytössä myös ISO 27001 -standardin mukainen sertifioitu tietoturvan hallintajärjestelmä.

DQS: Simply leveraging Quality.

Johtamisjärjestelmästandardit tarjoavat järjestelmällisen ja jäsennellyn kehyksen oikeudellisten velvoitteiden huomioon ottamiseen ja niiden integroimiseen liiketoimintaprosesseihin. Yritykset, jotka haluavat pelata varman päälle, voivat teettää DQS:n kaltaisella riippumattomalla elimellä auditoinnin tietoturvan tai DS-GVO:n mukaisen toteutuksen tilasta.

Keskeinen osaamisalueemme on sertifiointitarkastusten ja -arviointien suorittaminen. Tämä tekee meistä yhden maailman johtavista palveluntarjoajista, joilla on vaatimus asettaa aina uusia vertailukohtia luotettavuuden, laadun ja asiakaslähtöisyyden suhteen. Samalla sertifioitu tietoturvan ja tietosuojan hallintajärjestelmä on todiste yrityksesi huolellisuudesta ja ennakoinnista ulkoisten tietohyökkäysten varalta.

Luottamus ja asiantuntemus

Tekstimme ja esitteemme ovat yksinomaan standardien asiantuntijoidemme tai pitkäaikaisten auditoijiemme laatimia. Jos sinulla on kysyttävää sisällöstä tai palveluistamme kirjoittajallemme, ota meihin yhteyttä . Odotamme innolla keskustelua kanssasi.

Kirjoittaja
Stephan Rehfeld

Managing Director of "scope & focus Service-Gesellschaft mbH". External data protection officer and long-standing DQS data protection auditor. Full voting member of the "Identity Management and Data Protection Technologies" working group of the German DIN, deputy head of the German Association for Data Protection and Data Security's (GDD) Experience Exchange Circle in Hannover.

Loading...