A Nemzetközi Szabványügyi Szervezet 2019-ben közzétette az általános adatvédelmi irányítási rendszer (DSMS) szabványát. Az ISO/IEC 27701 az ISO 27001 szabványnak megfelelő információbiztonsági irányítási rendszeren alapuló DSMS-t írja le. A DSMS-nek ezt a speciális formáját személyes információkezelési rendszernek (PIMS) nevezik. Ennek a PIMS-nek az alapjait az alábbiakban ismertetjük. Ennek során kidolgozzák, hogy a PIMS milyen öt fő előnyt kínál a vállalatoknak. Az ingyenes fehér könyvek további útmutatást nyújtanak a gyakorlati megvalósításhoz.

Loading...

Adatvédelem és információbiztonság

Az adatvédelem még az információbiztonsággal összefüggésben sem egy egyszeri projekt, amelyet elkezdünk, végigfuttatunk és befejezünk. Pontosan az ellenkezője a helyzet. Az operatív adatvédelem olyan adatvédelmi folyamatok összessége, amelyeknek a szervezetekben állandóan rendelkezésre kell állniuk és megvalósíthatóknak kell lenniük, vagy egy kiváltó okból kiválthatónak kell lenniük. Fontos példa erre a két adatvédelmi folyamat, az "érintettek jogainak biztosítása" és az "adatvédelmi incidensekre való reagálás".

Az adatvédelem világában az adatvédelmi irányítási rendszer (DSMS) használatát tekintik a szervezetek adatvédelmi problémáinak megoldására szolgáló nagy dolognak. Miért van ez így? A válasz viszonylag egyszerű:

Az adatvédelmi irányítási rendszer az operatív adatvédelem kerete és mozgatórugója, amelyet a szervezeteknek állandóan be kell tartaniuk.

Stephan Rehfeld GDPR-szakértő és auditor a DQS-nél

2018. május 25. óta az európai általános adatvédelmi rendelet (GDPR) egyszerűen előírja a DSMS szabályait. Szigorú jogi követelményeket fogalmaz meg arra vonatkozóan , hogy mit szabad és mit tilos (Üzleti szabályok). A német DS-GVO (német adatvédelmi alaptörvény) szankciói ebből származnak. Arról azonban nem nyilatkozik, hogyan kell végrehajtani a jogi adatvédelmi követelményeket.

Adatvédelem és információbiztonság - mi is az az irányítási rendszer?

Az irányítási rendszer definíciója elvont, és nem lehet ad hoc módon operacionalizálni. Az ISO/IEC 27000:2020 szabvány az irányítási rendszert úgy határozza meg, mint ...

"Egy szervezet egymással összefüggő és kölcsönhatásban álló elemeinek összessége (3.50), amely a célok elérésére vonatkozó irányelveket (3.53), célkitűzéseket (3.49) és folyamatokat (3.54) állapít meg."

Csak az irányítási rendszer elemeinek részletesebb meghatározása után lehet állást foglalni arról, hogy a GDPR szigorú jogi és operatív adatvédelmi követelményei teljesülnek-e a konkrétan kialakított irányítási rendszerrel. Az a kijelentés, hogy adatvédelmi irányítási rendszer működik, nem ad támpontot a DSMS minőségére vagy a megvalósítás állapotára.

Loading...

ISO 27701 - Adatvédelem kezelése

Adatvédelem az információbiztonsággal összefüggésben - izgalmas téma? További szakértői ismeretek a ISO 27701 szabványról ingyenes Fehér Könyvünkben.

A magas szintű struktúra mint az irányítási rendszerek tervezete

A Nemzetközi Szabványügyi Szervezet (ISO) létrehozta az irányítási rendszerek tervezetét, a Magas szintű struktúrát (HLS). Ez az alapstruktúra tartalmazza mindazokat az elemeket, amelyeket az ISO az irányítási rendszer szempontjából lényegesnek tart (az ISO/IEC irányelvek SL mellékletének 2. függeléke, 1. rész). Ezért az irányítási rendszerekre vonatkozó szabványok alapmechanizmusai nagyon hasonlóak.

Az ISO sajátos DSMS-e, a Személyes információkezelési rendszer(PIMS) tehát azonos alapokon nyugszik, mint az ISO 9001 szerinti minőségirányítási rendszer, az ISO 14001 szerinti környezetirányítási rendszer vagy az ISO 27001 szerinti információbiztonsági irányítási rendszer.

Adatvédelem és információbiztonság - a GDPR integrálása az irányítási rendszerbe

Az ISO/IEC 27701 nemzetközi szabvány szerinti PIMS univerzális, és nem csak az általános európai adatvédelmi rendelethez igazodik. A szabvány az ISO 27001 szabvány szerinti információbiztonsági irányítási rendszeren alapuló adatvédelmi irányítási rendszert ír le, így az ISO 27701 alkalmas a személyes adatok bármilyen operatív védelmének megvalósítására, beleértve a kaliforniai vagy japán adatvédelmi törvényt is.

ISO/IEC 27701:2021-07- Biztonsági technikák. Az ISO/IEC 27001 és az ISO/IEC 27002 kiterjesztése az adatvédelmi információk kezelésére. Követelmények és iránymutatások(ISO/IEC 27701:2019).A szabvány elérhető az alábbi címen ISO honlapján.

DE: Azok, akik az adatvédelmi szabványnak megfelelően fejlesztettek ki és vezettek be egy PIMS-t - más szóval, akik szisztematikusan védik és kezelik a személyes adataikat - könnyen biztosítják és bizonyítják a jogi adatvédelmi követelményeknek való megfelelést. Ez a követelménykezelés irányítási rendszer mechanizmusán keresztül történik. A követelménykezelés a belső és külső követelmények azonosításának és értékelésének folyamata, valamint a kockázatok kezelésére irányuló intézkedések végrehajtása.

Mi a különbség az adatvédelem és az információbiztonság között?

A két téma közötti alapvető különbség egyszerű: az információbiztonság magában foglalja az összes megőrzendő vállalati vagyont, és arra szolgál, hogy megvédje a bizalmas üzleti információkat a harmadik felek visszaéléseitől. Ez sokkal többet jelent, mint az informatikai rendszerek. Az adatvédelem esetében az intézkedések célja a személyes adatok védelme. Az EU általános adatvédelmi rendeletét 2018 májusa óta kötelező jelleggel egész Európában végre kell hajtani - minden olyan vállalatnak és közintézménynek, amely személyes adatokat dolgoz fel.

Az adatvédelmi menedzsment öt előnye

Az információbiztonság és az adatvédelem közötti kölcsönhatásban a szabványt mindig a legjobb gyakorlatként kell értelmezni. Az adatbiztonságra vonatkozó követelmények és intézkedések konkrét végrehajtását a felhasználónak kell elvégeznie.

A PIMS általános előnye az adatvédelmi szabványon keresztül történő világméretű szabványosítás és a szabványok végrehajtásával kapcsolatos kiterjedt szakirodalom. Igaz, a szabványok nyelvezete "megszokást igényel".

 

1. Előny: Felelősségek kijelölése

A kis- és középvállalkozások (kkv-k) körében szinte vállalati kultúrának tűnik, hogy a felelősségi köröket nem egyértelműen vagy egyáltalán nem osztják ki. Megfigyelhető, hogy számos vállalati szabályzatban nem határozzák meg egyértelműen és nem foglalkoznak bizonyos tevékenységek vagy eszközök felelősségével. Ez jelentős hiányosság, és hiányosságokhoz és hibákhoz vezet a műveletekben.

DE: Az adatok védelme "csapatsport". Csak akkor működhet a vállalat adatvédelmi szempontból megfelelő módon, ha minden feladatot azonosítanak és felelősökhöz rendelnek, és csak akkor, ha ezek az egyének el is látják feladataikat.

Adatok védelme "csapatsport": A felelősség megosztása jó. A felelősség vállalása még jobb."

A PIMS bevezetésével a szabvány hatálya alá tartozó szervezetben be kell vezetni a tulajdonosi elvét. A tulajdonos kifejezés azonban itt nem a polgári jogi értelemben értendő. A szabvány német nyelvében a tulajdonos inkább egy személy felelősségét jelenti egy eszközért vagy egy követelmény vagy intézkedés végrehajtásáért.

Például: Az "adatkezelési tevékenységek jegyzékének (VVT)" vezetését gyakran az adatvédelmi tisztviselőre (DPO) ruházzák. Ez természetesen teljes képtelenség, és nem működhet, mivel az adatvédelmi tisztviselő gyakran egyáltalán nem vesz részt sok feldolgozási tevékenységben. A minőségirányításban a folyamatok tulajdonosai végzik a folyamatok dokumentálását. A felső vezetésnek az adatvédelemben is ennek megfelelően kellene ezt delegálnia.

Az ISO 27701 szerinti tanúsítvány

A tanúsítás tekintetében az ISO 27701 kiegészíti a jól ismert ISO 27001 szabványt - ez lesz az első olyan szabvány, amely tanúsítvánnyal igazolja az adatvédelmet. A DQS jelenleg a német akkreditációs testületnél (DAkkS) akkreditációs eljárás alatt áll.

Vegye fel velünk a kapc­sol­atot és tudjon meg többet!

2. Előny: Az operatív adatvédelem kockázatorientált

A német DS-GVO-ban az európai jogalkotó az adatbiztonság kockázatorientált végrehajtását követeli meg, például a DS-GVO 32. cikkének (1) bekezdésében. Ez a kockázatorientáltság gyakran nem működik azoknál a vállalatoknál, ahol nincs hivatalosan telepített irányítási rendszer. Az ISO 27701 adatvédelmi szabvány alkalmazása elkerülhetetlenül bevezeti a kockázatorientáltságot. Itt az adatbiztonsági kockázatértékelés módszere nincs előírva, és azt - korlátok között - a felhasználó határozhatja meg.

 

3. Előny: A változásmenedzsment mint a siker egyik összetevője

Az adatbiztonsági folyamatokat a szervezetben bekövetkező változás is kiválthatja. Például egy üzleti folyamat, egy szolgáltatás vagy egy termék bevezetése vagy átalakítása. A változáskezelés nélküli vállalatoknak nagy gondot okoz az adatvédelmi követelményeknek való megfelelés, mivel a változtatásokat rendszeresen véletlenszerűen és ellenőrizetlenül kezelik. Ez egy úgynevezett szabályozási rést eredményez.

A vállalatok és szervezetek folyamatosan változnak. A változáskezelés az adatvédelemben és az információbiztonságban is fontos szerepet játszik.

A PIMS a változásmenedzsment segítségével rögzíti és ellenőrzi ezeket a változásokat, és végrehajtja azokat. Például egy üzleti folyamat megváltoztatásához ellenőrizni kell a megengedhetőséget (jogszerűség, adatgazdaságosság, érintettek jogai, VVT-ben való dokumentáció stb.).

Például: Az adatvédelmi tisztviselő korai bevonásának követelménye a változások tervezésébe egészen egyszerűen megvalósítható azzal, hogy őt is kinevezzük a változással foglalkozó csoportba.

4. előny: Optimalizálás folyamatos fejlesztési folyamat révén

A vállalatok folyamatosan változnak. Egy személyes információkezelési rendszert kezdetben megterveznek, bevezetnek és működtetnek. Nagyon valószínű, hogy a rendszer bevezetésének, megvalósításának és üzemeltetésének első kísérlete a tapasztalat hiánya miatt nem lesz optimális. Még ha a bevezetés során tapasztalt tanácsadóval is konzultálnak, akkor is számítani kell botladozásokra.

Előfeltétel: Az információbiztonság és az adatvédelem rendszerszerűvé és fenntarthatóvá tétele.

Bár elvben minden PIMS azonos mechanizmusokkal rendelkezik, a kialakításuk eltérő. A mechanizmusok megvalósítását befolyásolhatja a szervezet mérete, a szervezeti kultúra vagy akár az iparági fókusz is.

Egy jó almechanizmus a PIMS állandó alkalmazkodására a szervezet és az érdekelt felek változó igényeihez a folyamatos fejlesztési folyamat (CIP).

Például: az általános adatvédelmi rendelet előírja, hogy az ügyfeleket vagy például a polgárokat az adatgyűjtés időpontjában tájékoztatni kell egy tájékoztató lapon a személyes adatok feldolgozásának jellegéről és terjedelméről, valamint a kapcsolódó jogokról. Ezeket a DS-GVO 13. és 14. cikke szerinti tájékoztatókat a jogszabályoknak megfelelően közzéteszik, azonban az érintettek számos alkalommal kérik ezt a tájékoztatást. Ezen fejlesztési javaslatok beillesztésével a vállalat felismeri, hogy az információk közzétételének optimalizálásával erőforrásokat takaríthat meg és növelheti az ügyfelek elégedettségét.

 

5. Előny: Részletes intézkedéskatalógus

Amint azt korábban leírtuk, az ISO 27701 nem a GDPR-ra szabott. A szabvány felhasználójának feladata, hogy a GDPR speciális követelményeit hozzáadja a PIMS-hez.

A nemzetközi szabvány azonban három átfogó intézkedéskatalógust hoz az operatív adatvédelem általános megvalósításához:

  • Technikai és szervezeti intézkedések,
  • Adatvédelmi szervezet az adatkezelőnél, és
  • Adatvédelmi szervezet az adatfeldolgozónál.

Az európai felhasználók számára jó hír, hogy az új szabvány szerzői az intézkedéskatalógusok kialakításakor erőteljesen az általános adatvédelmi rendeletre összpontosítottak. Ez azt jelenti, hogy az általános intézkedési katalógusok alkalmazása már most leképezi az általános adatvédelmi rendelet számos követelményét. A hiányzó követelményeket ezután a követelménykezelés követi nyomon.

Az intézkedések a végrehajtás legjobb gyakorlatai, és kézikönyv stílusban íródnak. A GDPR-ral (üzleti szabályok) ellentétben az intézkedések elmagyarázzák a szabvány felhasználójának, hogyan kell a végrehajtásnak történnie. A szerző szempontjából ez nagyon nagy előny.

 

Következtetés: Adatvédelem és információbiztonság

Mindenki, aki adatvédelmi irányítási rendszert (DSMS) fejlesztett ki és hajtott végre az alábbiak szerint ISO 27701 SZABVÁNYNAK MEGFELELŐEN - más szóval, aki szisztematikusan védi és kezeli a személyes adatait - könnyen biztosítani és bizonyítani tudja a jogi követelményeknek való megfelelést. A szabvány megfelelő alkalmazásával számos hiba elkerülhető a DSMS bevezetése és működtetése során.

Az adatvédelmet és az információbiztonságot szem előtt tartva az ISO 27701 a GDPR megvalósításának régóta várt kézikönyve.

A PIMS tanúsítása azonban csak akkor lehetséges, ha a tanúsított információbiztonsági irányítási rendszer az alábbiak szerint ISO 27001 szabványnak megfelelő tanúsítványt is működtet a vállalat.

DQS: A minőség egyszerű kihasználása.

Az irányítási rendszerszabványok szisztematikus és strukturált keretet biztosítanak a jogi kötelezettségek figyelembevételéhez és azok üzleti folyamatokba való integrálásához. Azok a vállalatok, amelyek biztosra akarnak menni, egy olyan független szervvel, mint a DQS, auditáltathatják információbiztonsági vagy DS-GVO-konform megvalósításuk állapotát.

Fő kompetenciánk a tanúsítási auditok és értékelések elvégzése. Ezáltal világszerte az egyik vezető szolgáltatóvá válunk, azzal az igénnyel, hogy a megbízhatóság, a minőség és az ügyfélközpontúság terén mindenkor új mércét állítsunk fel. Ugyanakkor az információbiztonság és az adatvédelem tanúsított irányítási rendszere külső adattámadások esetén a vállalat gondosságát és előrelátását bizonyítja.

Bizalom és szakértelem

Szövegeinket és brosúráinkat kizárólag szabványügyi szakértőink vagy régóta dolgozó auditoraink írják. Ha bármilyen kérdése van a tartalommal vagy a szerzőnknek nyújtott szolgáltatásainkkal kapcsolatban, kérjük, vegye fel velünk a kapcsolatot . Örömmel várjuk a beszélgetést.

Szerző
Stephan Rehfeld

A "Scope & Focus Service-Gesellschaft mbH" ügyvezető igazgatója. Külső adatvédelmi tisztviselő és régóta a DQS adatvédelmi auditora. A német DIN "Identitáskezelés és adatvédelmi technológiák" munkacsoportjának teljes jogú szavazati tagja, a Német Adatvédelmi és Adatbiztonsági Szövetség (GDD) hannoveri tapasztalatcsere-körének helyettes vezetője.

Loading...

Releváns cikkek és események

Ez is érdekelheti Önt
Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Digitális egészségügyi alkalmazások - Az adatvédelem különleges esete

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Adatvédelmi ellenőrzések biztosítják a megfelelőséget