Internationella standardiseringsorganisationen har publicerat en standard för ett allmänt dataskyddshanteringssystem (DSMS) 2019. ISO/IEC 27701 beskriver ett DSMS som bygger på ett ledningssystem för informationssäkerhet i enlighet med ISO 27001. Denna särskilda form av DSMS kallas ett system för hantering av personlig information (PIMS). Grunderna för detta PIMS beskrivs nedan. Under processen utarbetas vilka fem huvudsakliga fördelar ett PIMS erbjuder företag. De kostnadsfria vitböckerna ger ytterligare vägledning om det praktiska genomförandet.

Loading...

Dataskydd och informationssäkerhet

Även när det gäller informationssäkerhet är dataskydd inte ett engångsprojekt som startas, genomförs och avslutas. Det är precis tvärtom. Operativt dataskydd är ett antal dataskyddsprocesser som måste vara permanent tillgängliga och genomförbara i organisationerna, eller kunna utlösas av en utlösare. Viktiga exempel på detta är de två dataskyddsprocesserna "säkerställa de registrerades rättigheter" och "reagera på dataskyddsincidenter".

I dataskyddsvärlden ses användningen av ett dataskyddshanteringssystem (DSMS) som det stora greppet för att lösa organisationers dataskyddsproblem. Varför är det så? Svaret är relativt enkelt:

Ett system för dataskyddshantering är den ram och drivkraft för operativt dataskydd som organisationer ständigt måste följa.

Stephan Rehfeld GDPR-expert och revisor på DQS

Sedan den 25 maj 2018 har EU:s allmänna dataskyddsförordning (GDPR) helt enkelt tillhandahållit reglerna för DSMS. Den formulerar strikta rättsliga krav på vad som är tillåtet eller förbjudet (affärsregler). Tysklands DS-GVO (German Basic Data Protection Law) sanktioner härrör från detta. Den gör dock inga uttalanden om hur de rättsliga dataskyddskraven ska genomföras.

Dataskydd och informationssäkerhet - vad är egentligen ett ledningssystem?

Definitionen av ett ledningssystem är abstrakt och kan inte operationaliseras ad hoc. I standarden ISO/IEC 27000:2020 definieras ett ledningssystem som en ...

"Uppsättning av inbördes relaterade och interagerande element i en organisation (3.50) för att fastställa policyer (3.53), mål (3.49) och processer (3.54) för att uppnå dessa mål."

Först när elementen i ett ledningssystem har definierats mer i detalj kan man uttala sig om huruvida de strikta rättsliga och operativa dataskyddskraven i GDPR uppfylls med det ledningssystem som specifikt finns på plats. Uttalandet att ett ledningssystem för dataskydd används ger ingen indikation på kvaliteten på ledningssystemet för dataskydd eller på genomförandestatusen.

Högnivåstrukturen som en plan för ledningssystem

Internationella standardiseringsorganisationen (ISO) har skapat en plan för ledningssystem som kallas High Level Structure (HLS). Denna grundstruktur innehåller alla de element som ISO anser vara relevanta för ett ledningssystem (tillägg 2 till bilaga SL till ISO/IEC-direktiven, del 1). Av denna anledning är de grundläggande mekanismerna i standarderna för ledningssystem mycket lika varandra.

ISO:s specifika DSMS, Personal Information Management System(PIMS), har därför samma grund som ett kvalitetsledningssystem enligt ISO 9001, ett miljöledningssystem enligt ISO 14001 eller ett ledningssystem för informationssäkerhet enligt ISO 27001.

Dataskydd och informationssäkerhet - integrering av GDPR i ett ledningssystem

Ett PIMS enligt den internationella standarden ISO/IEC 27701 är universellt och inte bara anpassat till EU:s allmänna dataskyddsförordning. Standarden beskriver ett ledningssystem för dataskydd baserat på ett ledningssystem för informationssäkerhet i enlighet med ISO 27001, vilket gör ISO 27701 lämplig för att genomföra alla operativa skydd av personuppgifter, inklusive kalifornisk eller japansk dataskyddslagstiftning.

ISO/IEC 27701:2021-07- Säkerhetstekniker - Utvidgning av ISO/IEC 27001 och ISO/IEC 27002 för hantering av sekretessinformation - Krav och riktlinjer (ISO/IEC 27701:2019).Standarden finns tillgänglig på följande adress. ISO:s webbplats.

MEN: De som har utvecklat och genomfört ett PIMS i enlighet med dataskyddsstandarden - med andra ord de som systematiskt skyddar och hanterar sina personuppgifter - har lätt att säkerställa och visa att de uppfyller de rättsliga kraven på dataskydd. Detta görs genom ledningssystemets mekanism för kravhantering. Kravhantering är processen för att identifiera och bedöma interna och externa krav och genomföra åtgärder för att hantera risker.

Vad är skillnaden mellan dataskydd och informationssäkerhet?

Den grundläggande skillnaden mellan de två ämnena är enkel: informationssäkerheten omfattar alla företagstillgångar som ska bevaras och tjänar till att skydda konfidentiell företagsinformation från missbruk av tredje part. Detta omfattar mycket mer än bara IT-system. När det gäller dataskydd syftar åtgärderna till att skydda personuppgifter. Sedan maj 2018 måste EU:s allmänna dataskyddsförordning genomföras på bindande basis i hela Europa - av alla företag och offentliga organ som behandlar personuppgifter.

Fem fördelar med hantering av dataskydd

I samspelet mellan informationssäkerhet och dataskydd ska en standard alltid förstås som en bästa praxis. Det konkreta genomförandet av kraven och åtgärderna för datasäkerhet måste utföras av användaren.

Den allmänna fördelen med PIMS är den världsomspännande standardiseringen genom dataskyddsstandarden och den omfattande litteraturen om standardgenomförandet. Visserligen kräver standardspråket "en viss tillvänjning".

Fördel nr 1: Tilldelning av ansvarsområden

Det verkar nästan vara företagskultur bland små och medelstora företag att tilldela ansvarsområden otydligt eller inte alls. Det kan konstateras att ansvaret för vissa verksamheter eller tillgångar i många företagspolicyer inte är tydligt definierat och behandlat. Detta är en stor brist och leder till luckor och fel i verksamheten.

MEN: Att skydda data är en "lagsport". Endast om alla uppgifter identifieras och tilldelas ansvariga personer, och endast om dessa personer också fullgör sina uppgifter, kan ditt företag bedriva verksamhet som är förenlig med dataskyddet.

Dataskydd är en "lagsport": Att fördela ansvaret är bra. Att ta ansvar är bättre."

Genom att införa ett PIMS måste ägandeprincipen införas i organisationen för standardens tillämpningsområde. Begreppet ägare ska dock inte förstås här i sin civilrättsliga betydelse. I stället hänvisar ägare på standardens tyska språk till en persons ansvar för en tillgång eller genomförandet av ett krav eller en åtgärd.

Ett exempel: Att upprätthålla "Förteckningen över behandlingsverksamheter (VVT)" delegeras ofta till dataskyddsombudet (DPO). Detta är naturligtvis fullständigt nonsens och kan inte fungera eftersom dataskyddsombudet ofta inte är involverat i många behandlingsaktiviteter alls. Inom kvalitetsstyrning är det processägarna som utför processdokumentationen. Den högsta ledningen bör delegera detta i enlighet med detta även inom dataskydd.

Certifikat enligt ISO 27701

När det gäller certifiering kompletterar ISO 27701 den välkända ISO 27001-standarden - det blir den första standarden som bekräftar dataskydd genom certifikat. DQS befinner sig för närvarande i ackrediteringsprocessen hos det tyska ackrediteringsorganet DAkkS.

Fördel nr 2: Det operativa dataskyddet är riskorienterat.

I den tyska DS-GVO kräver den europeiska lagstiftaren ett riskorienterat genomförande av datasäkerheten, till exempel i artikel 32.1 DS-GVO. Denna riskorientering fungerar ofta inte i företag där det inte finns något officiellt installerat ledningssystem. Tillämpningen av dataskyddsstandarden ISO 27701 medför oundvikligen riskorientering. Här är metoden för riskbedömning av datasäkerhet inte föreskriven och kan - inom vissa gränser - bestämmas av användaren.

Fördel nr 3: Förändringshantering som en framgångsfaktor

Datasäkerhetsprocesser kan utlösas av en förändring i organisationen. Till exempel genomförandet eller anpassningen av en affärsprocess, en tjänst eller en produkt. Företag utan ändringshantering har stora problem med att uppfylla kraven på dataskydd, eftersom ändringar regelbundet hanteras på ett slumpmässigt och okontrollerat sätt. Detta resulterar i ett så kallat regelglapp.

"Företag och organisationer förändras ständigt. Förändringshantering spelar också en viktig roll för dataskydd och informationssäkerhet."

Ett PIMS registrerar och kontrollerar dessa förändringar med hjälp av ändringshantering och genomför dem. Till exempel kräver en ändring av en affärsprocess en kontroll av tillåtligheten (laglighet, dataekonomi, rättigheter för registrerade personer, dokumentation i VVT osv.)

Exempelvis: Kravet på att dataskyddsombudet tidigt ska involveras i utformningen av förändringar kan uppnås helt enkelt genom att utse honom till förändringsgruppen.

Fördel nr 4: Optimering genom en kontinuerlig förbättringsprocess

Företagen förändras ständigt. Ett system för hantering av personuppgifter planeras, genomförs och drivs inledningsvis. Det är mycket troligt att det första försöket att införa, genomföra och driva systemet kommer att vara suboptimalt på grund av bristande erfarenhet. Även om en erfaren konsult anlitas under genomförandet kan man förvänta sig stötestenar.

"Förutsättning: Gör informationssäkerhet och dataskydd systematiskt och hållbart."

Även om alla PIMS har identiska mekanismer i princip är de utformade på olika sätt. Påverkan på genomförandet av mekanismerna kan vara organisationens storlek, organisationskulturen eller till och med branschfokus.

En bra delmekanism för att permanent anpassa PIMS till organisationens och de berörda parternas föränderliga behov är den kontinuerliga förbättringsprocessen (CIP).

Till exempel: I den allmänna dataskyddsförordningen krävs ett informationsblad som informerar kunder eller till exempel medborgare vid tidpunkten för datainsamlingen om arten och omfattningen av behandlingen av personuppgifter och relaterade rättigheter. Dessa informationsblad enligt artikel 13 och 14 i DS-GVO publiceras i enlighet med lagen, men det finns många förfrågningar om denna information från registrerade personer. Genom att inkludera dessa förbättringsförslag inser företaget att det kan spara resurser och öka kundtillfredsställelsen genom att optimera publiceringen av informationen.

Fördel nr 5: Detaljerad katalog över åtgärder

Som tidigare beskrivits är ISO 27701 inte skräddarsydd för GDPR. Det är standardanvändaren som ansvarar för att lägga till de specifika kraven i GDPR i PIMS.

Den internationella standarden innehåller dock tre omfattande åtgärdskataloger för det allmänna genomförandet av operativt dataskydd:

  • Tekniska och organisatoriska åtgärder,
  • Dataskyddsorganisation hos den personuppgiftsansvarige, och
  • Dataskyddsorganisation hos personuppgiftsbiträdet.

Den goda nyheten för den europeiska användaren är att författarna till den nya standarden har fokuserat starkt på dataskyddsförordningen vid utformningen av åtgärdskatalogerna. Detta innebär att tillämpningen av de generiska åtgärdskatalogerna redan avspeglar många av kraven i dataskyddsförordningen. Saknade krav följs sedan upp genom kravhantering.

Åtgärderna är bästa praxis för genomförande och skrivna i stil med en handbok. Till skillnad från GDPR (affärsregler) förklarar åtgärderna för användaren av standarden hur genomförandet måste ske. Ur författarens synvinkel är detta en mycket stor fördel.

Slutsats: Dataskydd och informationssäkerhet

Den som har utvecklat och infört ett system för hantering av dataskydd (DSMS) i enlighet med ISO 27701 - med andra ord alla som systematiskt skyddar och hanterar sina personuppgifter - kommer att ha lätt att säkerställa och bevisa att de rättsliga kraven uppfylls. Rätt tillämpad kan standarden förhindra många misstag vid införandet och driften av ett DSMS.

"Med dataskydd och informationssäkerhet i åtanke är ISO 27701 den efterlängtade handboken för genomförande av GDPR."

Certifiering av PIMS är dock endast möjlig om företaget också driver ett certifierat ledningssystem för informationssäkerhet enligt ISO 27001.

DQS: Simply leveraging Quality.

Standarder för ledningssystem ger en systematisk och strukturerad ram för att ta hänsyn till rättsliga skyldigheter och integrera dem i affärsprocesserna. Företag som vill ta det säkra före det osäkra kan låta ett oberoende organ som DQS granska statusen för sitt informationssäkerhets- eller DS-GVO-kompatibla genomförande.

Vår kärnkompetens ligger i utförandet av certifieringsrevisioner och bedömningar. Detta gör oss till en av de ledande leverantörerna i världen med anspråk på att alltid sätta nya riktmärken när det gäller tillförlitlighet, kvalitet och kundorientering. Samtidigt är ett certifierat ledningssystem för informationssäkerhet och dataskydd ett bevis på ditt företags noggrannhet och förutseende i händelse av externa dataattacker.

Förtroende och sakkunskap

Våra texter och broschyrer skrivs uteslutande av våra standardexperter eller mångåriga revisorer. Om du har några frågor om innehållet eller våra tjänster till vår författare kan du kontakta oss. Vi ser fram emot att prata med dig.

Författare
Stephan Rehfeld

Managing Director of "scope & focus Service-Gesellschaft mbH". External data protection officer and long-standing DQS data protection auditor. Full voting member of the "Identity Management and Data Protection Technologies" working group of the German DIN, deputy head of the German Association for Data Protection and Data Security's (GDD) Experience Exchange Circle in Hannover.

Loading...