Uluslararası Standardizasyon Örgütü, 2019 yılında bir genel veri koruma yönetim sistemi (DSMS) için bir standart yayınlamıştır. ISO/IEC 27701, ISO 27001'e uygun bir bilgi güvenliği yönetim sistemine dayalı bir DSMS'yi tanımlar. Bu özel DSMS formuna kişisel bilgi yönetim sistemi (KVYS). KVYS için temel bilgiler aşağıda açıklanmıştır. Bu süreçte bir KVYS'nin şirketlere hangi beş ana avantajı sağladığı araştırılır. Ücretsiz teknik incelemeler, pratik uygulama konusunda daha fazla rehberlik sağlar.

Loading...

Veri koruma ve bilgi güvenliği

Bilgi güvenliği bağlamında bile veri koruma, bir kerelik başlatılan, yürütülen ve tamamlanan bir proje değildir. Durum tam tersi. Operasyonel veri koruması, kuruluşlarda kalıcı olarak mevcut ve uygulanabilir olması veya bir tetikleyici tarafından tetiklenebilmesi gereken bir dizi veri koruma sürecidir. Bunun önemli örnekleri, "veri sahibi haklarını sağlamak" ve "veri koruma olaylarına yanıt vermek" olan iki veri koruma sürecidir.

Veri koruma dünyasında, bir veri koruma yönetim sisteminin (KVYS) kullanılması, kuruluşların veri koruma sorunlarını çözmek için büyük bir şey olarak görülmektedir. Peki Neden? Cevap nispeten basit:

Bir veri koruma yönetim sistemi, kuruluşların kalıcı olarak uyması gereken operasyonel veri korumasının çerçevesi ve itici gücüdür.

Stephan Rehfeld DQS GDPR Uzmanı ve Denetçi

25 Mayıs 2018'den bu yana, Avrupa Genel Veri Koruma Yönetmeliği (GDPR) sadece KVYS için kuralları sağlamıştır. Nelere izin verildiğine veya nelerin yasaklandığına ilişkin katı yasal gereklilikler formüle eder (İş Kuralları). Almanya'nın DS-GVO (Alman Temel Veri Koruma Yasası) cezaları bundan türetilmiştir. Ancak yasal veri koruma gerekliliklerinin nasıl uygulanacağı konusunda herhangi bir açıklama yapmamaktadır.

 

Veri koruma ve bilgi güvenliği - bir yönetim sistemi nedir?

Bir yönetim sisteminin tanımı soyuttur ve geçici olarak çalıştırılamaz. ISO/IEC 27000:2020 standardı, bir yönetim sistemini şu şekilde tanımlar

"Bir organizasyonun (3.50), politikaları (3.53), hedefleri (3.49) ve süreçleri(3.54) kapsamında belirlenen hedeflere ulaşabilmek için oluşturduğu birbiriyle ilişkili ve etkileşimli unsurların bütünüdür."

Yalnızca bir yönetim sisteminin unsurları daha ayrıntılı bir şekilde tanımlandığında, GDPR'nin katı, yasal ve operasyonel veri koruma gereksinimlerinin, özellikle yürürlükte olan yönetim sistemi ile karşılanıp karşılanmadığı konusunda bir açıklama yapılabilir. Bir veri koruma yönetim sisteminin işletildiği ifadesi, KVYS'nin kalitesi veya uygulama durumu hakkında herhangi bir gösterge vermez.

Yönetim sistemleri için bir plan olarak Üst Düzey Yapı

Uluslararası Standardizasyon Örgütü (ISO), yönetim sistemleri için Yüksek Düzey Yapı (HLS) adı verilen bir plan oluşturmuştur. Bu temel yapı, ISO'nun bir yönetim sistemi için uygun olduğunu düşündüğü tüm unsurları içerir (ISO/IEC Direktifleri Ek SL, Bölüm 1). Bu nedenle yönetim sistemi standartlarının temel mekanizmaları çok benzerdir.

ISO'nun özel, Kişisel Veri Yönetim Sistemi (KVYS), bu nedenle ISO 9001'e göre bir kalite yönetim sistemi, ISO 14001'e göre bir çevre yönetim sistemi veya ISO 27001'e göre bir bilgi güvenliği yönetim sistemi ile aynı temele sahiptir.

 

Veri koruma ve bilgi güvenliği - GDPR'ı bir yönetim sistemine entegre etme

Uluslararası ISO/IEC 27701 standardına uygun bir KVYS evrenseldir ve yalnızca Avrupa Genel Veri Koruma Yönetmeliğine uygun değildir. Standart, ISO 27001'e uygun bir bilgi güvenliği yönetim sistemine dayalı bir veri koruma yönetim sistemini tanımlar ve ISO 27701'i, Kaliforniya veya Japon veri koruma kanunu da dahil olmak üzere, kişisel verilerin herhangi bir operasyonel korumasını uygulamak için uygun hale getirir.

ISO/IEC 27701:2021-07- Güvenlik Teknikleri - ISO/IEC 27001'e Uzantı ve ISO/IEC 27002 gizli bilgi yönetimi - Gerelilikler ve rehber (ISO/IEC 27701:2019).Standartlar, ISO websitesinden indirilebilir.

AMA: Veri koruma standardına uygun bir KVYS geliştirip uygulayanlar, diğer bir deyişle kişisel verilerini sistematik olarak koruyan ve yönetenler, yasal veri koruma gerekliliklerine uyumu sağlamayı ve göstermeyi kolay buluyorlar. Bu, gereksinim yönetiminin yönetim sistemi mekanizması aracılığıyla yapılır. Gereksinim yönetimi, iç ve dış gereksinimleri belirleme ve değerlendirme ve riskleri ele almak için önlemleri uygulama sürecidir.

 

Veri koruma ve bilgi güvenliği arasındaki fark nedir?

İki konu arasındaki temel fark basittir: bilgi güvenliği, korunması gereken tüm kurumsal varlıkları kapsar ve gizli iş bilgilerinin üçüncü şahıslar tarafından kötüye kullanılmasına karşı korumaya hizmet eder. Bu, yalnızca BT sistemlerinden çok daha fazlasını içerir. Verilerin korunması söz konusu olduğunda, tedbirler kişisel verilerin korunmasına yöneliktir. Mayıs 2018'den bu yana, AB Genel Veri Koruma Tüzüğü, Avrupa genelinde - kişisel verileri işleyen tüm şirketler ve kamu kuruluşları tarafından - bağlayıcı bir temelde uygulanmak zorunda kalmıştır.

Veri koruma yönetiminin beş avantajı

Bilgi güvenliği ve veri koruma arasındaki etkileşimde, bir standart her zaman en iyi uygulama olarak anlaşılmalıdır. Veri güvenliğine yönelik gereksinimlerin ve önlemlerin somut olarak uygulanması kullanıcı tarafından gerçekleştirilmelidir.

KVYS'nin genel avantajı, veri koruma standardı ve standart uygulamaya ilişkin kapsamlı literatür aracılığıyla dünya çapında standardizasyon sağlamasıdır. Kuşkusuz ki, standart diline alışmak biraz zaman alabilir.

 

Avantaj 1: Sorumlulukların atanması

Küçük ve orta ölçekli işletmelerde (KOBİ'ler) sorumlulukların belirsiz bir şekilde verilmesi veya hiç verilmemesi neredeyse bir kurum kültürü gibi görünmektedir. Birçok kurumsal politikada, belirli faaliyetler veya varlıklar için sorumluluğun açıkça tanımlanmadığı ve ele alınmadığı gözlemlenebilir. Bu büyük bir eksikliktir ve işlemlerde boşluklara ve hatalara yol açar.

AMA: Verileri korumak bir "takım sporu"dur. Şirketiniz, ancak tüm görevler belirlenip sorumlu taraflara atanırsa ve ancak bu kişiler de görevlerini yerine getirirse, veri korumaya uyumlu bir şekilde çalışabilir.

Veri koruma bir "takım sporudur": Sorumluluğu dağıtmak iyidir. Sorumluluk almak daha iyidir."

Bir KVYS'yi tanıtarak, standardın kapsamı için kuruluşa sahiplik ilkesi getirilmelidir. Ancak "Sahiplik" terimi burada medeni hukuk anlamında anlaşılmamalıdır. Bunun yerine, standardın Almanca dilinde sahiplik, bir varlığın veya bir şartın veya önlemin uygulanması için bir kişinin sorumluluğunu ifade eder.

Örneğin: "İşleme Faaliyetleri Dizini (VVT)"nin sürdürülmesi genellikle Veri Koruma Görevlisine (DPO) devredilir. Tabii ki, bu tamamen saçmalık ve işe yaramıyor çünkü DPO çoğu zaman pek çok işleme faaliyetinde yer almıyor. Kalite yönetiminde, süreç dokümantasyonunu süreç sahipleri gerçekleştirir. Üst yönetim, veri korumasında da süreci buna göre devretmelidir.

ISO 27701 Sertifikası

Belgelendirme açısından, ISO 27701, iyi bilinen ISO 27001 standardını tamamlar. Bu, belgeyle veri korumasını onaylayan ilk standart olacaktır. DQS şu anda Alman Akreditasyon Kurumu (DAkkS) ile akreditasyon sürecindedir.

Avantaj 2: Operasyonel veri koruması risk odaklıdır

Alman DS-GVO'da, Avrupa yasa koyucusu, örneğin Madde 32 (1) DS-GVO'da olduğu gibi, veri güvenliğinin risk odaklı bir şekilde uygulanmasını talep etmektedir. Bu risk yönelimi, resmi olarak hiçbir yönetim sisteminin kurulmadığı şirketlerde genellikle çalışmaz. ISO 27701 veri koruma standardının uygulanması, kaçınılmaz olarak risk yönelimini beraberinde getirir. Burada, veri güvenliği risk değerlendirmesi yöntemi öngörülmemiştir ve - limitler dahilinde - kullanıcı tarafından belirlenebilir.

 

Avantaj 3: Bir başarı bileşeni olarak yönetimi değiştirin

Veri güvenliği süreçleri organizasyondaki bir değişiklikle tetiklenebilir. Örneğin, bir iş sürecinin, bir hizmetin veya bir ürünün uygulanması veya uyarlanması. Değişiklik yönetimi olmayan şirketler, veri koruma gereksinimlerine uyum konusunda büyük sorunlar yaşıyor çünkü değişiklikler düzenli olarak rastgele ve kontrolsüz bir şekilde ele alınıyor. Bu, bir düzenleyici boşluk ile sonuçlanır.

"Şirketler ve kuruluşlar sürekli değişiyor. Değişiklik yönetimi de veri koruma ve bilgi güvenliğinde önemli bir rol oynuyor."

Bir KVYS, bu değişiklikleri, değişiklik yönetimi yardımıyla kaydeder, kontrol eder ve uygular. Örneğin, bir iş sürecindeki değişiklik, izin verilebilirlik (yasallık, veri ekonomisi, veri sahibi hakları, VVT'deki belgeler vb.) için bir kontrol gerektirir.

Örneğin: Değişikliklerin tasarımına veri koruma görevlisinin erken katılımı gerekliliği, değişiklik ekibine atanmasıyla oldukça basit bir şekilde gerçekleştirilebilir.

 

Avantaj 4: Sürekli iyileştirme süreci ile optimizasyon

Şirketler sürekli değişiyor. Bir kişisel bilgi yönetim sistemi başlangıçta planlanır, uygulanır ve işletilir. Sistemin tanıtılması, uygulanması ve işletilmesine yönelik ilk girişimin, deneyim eksikliği nedeniyle yetersiz olması çok muhtemeldir. Uygulama sırasında deneyimli bir danışmana danışılsa bile, bazı engeller beklenebilir.

"Öncü: Bilgi güvenliğini ve veri korumasını sistematik ve sürdürülebilir hale getirin."

Prensipte tüm KVYS'ler aynı mekanizmalara sahipken, farklı şekilde tasarlanmıştır. Mekanizmaların uygulanmasını etkileyen, organizasyonun büyüklüğü, organizasyon kültürü ve hatta endüstri odağı olabilir.

KVYS'yi kuruluşun ve ilgili tarafların değişen ihtiyaçlarına kalıcı olarak uyarlamak için iyi bir alt mekanizma, sürekli iyileştirme sürecidir (CIP).

Örneğin: Genel Veri Koruma Yönetmeliği, müşterileri veya örneğin veri toplama sırasında vatandaşları kişisel verilerin işlenmesinin doğası ve kapsamı ve ilgili haklar hakkında bilgilendiren bir bilgi formu gerektirir. DS-GVO Madde 13 ve 14'e göre bu bilgi formları kanuna uygun olarak yayınlanmaktadır, ancak bu bilgiler için veri sahiplerinden çok sayıda talep bulunmaktadır. Şirket, bu iyileştirme önerilerini dahil ederek, bilgilerin yayınlanmasını optimize ederek kaynak tasarrufu sağlayabileceğini ve müşteri memnuniyetini artırabileceğini kabul etmektedir.

 

Avantaj 5: Ayrıntılı önlem kataloğu

Daha önce açıklandığı gibi, ISO 27701, GDPR'ye uygun değildir. Standart kullanıcı, GDPR'nin özel gereksinimlerini KVYSye eklemekten sorumludur.

Ancak, uluslararası standart, operasyonel veri korumasının genel uygulaması için üç kapsamlı önlem kataloğu getiriyor:

  • Teknik ve organizasyonel önlemler,
  • Kontrolörde veri koruma organizasyonu ve
  • İşlemcide veri koruma organizasyonu.

Avrupalı kullanıcılar için iyi haber, yeni standardın yazarlarının, önlem kataloglarını tasarlarken, Genel Veri Koruma Yönetmeliği'ne güçlü bir şekilde odaklanmış olmalarıdır. Bu, jenerik önlem kataloglarının uygulanmasının halihazırda GDPR'nin gereksinimlerinin çoğunu eşleştirdiği anlamına gelir. Eksik gereksinimler daha sonra gereksinim yönetimi tarafından takip edilir.

Önlemler, uygulama için en iyi uygulamalardır ve bir el kitabı tarzında yazılmıştır. GDPR'nin (İş Kuralları) aksine, önlemler, standardın kullanıcısına uygulamanın nasıl gerçekleşmesi gerektiğini açıklar. Yazarın bakış açısından, bu çok büyük bir avantaj.

 

Sonuç: Veri koruma ve bilgi güvenliği

ISO 27701 veri koruma yönetim sistemi geliştiren ve uygulayan, başka bir deyişle, kişisel verilerini sistematik olarak koruyan ve yöneten herkes, yasal gerekliliklere uyumu sağlamayı ve kanıtlamayı kolay bulacaktır. Uygun şekilde uygulandığında standart, bir Veri Koruma Yönetim sisteminin tanıtılması ve çalıştırılmasında birçok hatayı önleyebilir.

"Veri koruma ve bilgi güvenliği göz önünde bulundurularak, ISO 27701, GDPR'nin uygulanması için uzun zamandır beklenen el kitabıdır."

Ancak, KVYS'nin sertifikasyonu, ancak şirket tarafından ISO 27001 sertifikalı bir bilgi güvenliği yönetim sisteminin işletilmesi durumunda mümkün olacaktır.

 

DQS: Simply leveraging Quality.

Yönetim sistemi standartları, yasal yükümlülükleri dikkate almak ve bunları iş süreçlerine entegre etmek için sistematik ve yapılandırılmış bir çerçeve sağlar. Güvende olmak isteyen şirketler, bilgi güvenliği veya DS-GVO uyumlu uygulamalarının statüsünü DQS gibi bağımsız bir kuruluş tarafından denetlenebilir.

Temel yetkinliklerimiz, belgelendirme denetimlerinin ve değerlendirmelerinin performansında yatmaktadır. Bu, bizi her zaman güvenilirlik, kalite ve müşteri odaklılık konusunda yeni ölçütler belirleme iddiasıyla dünya çapında lider sağlayıcılardan biri yapar. Aynı zamanda, bilgi güvenliği ve veri koruması için sertifikalı bir yönetim sistemi, harici veri saldırıları durumunda şirketinizin titizliğinin ve öngörüsünün kanıtıdır.

 

Güven ve uzmanlık

Metinlerimiz ve broşürlerimiz, yalnızca standart uzmanlarımız veya uzun süredir devam eden denetçilerimiz tarafından yazılmıştır. İçerik veya yazarımıza sunduğumuz hizmetler hakkında herhangi bir sorunuz varsa, lütfen bizimle iletişime geçin. Sizinle konuşmak için sabırsızlanıyoruz.

Yazar
Stephan Rehfeld

"scope & focus Service-Gesellschaft GmbH" Genel Müdürü. Harici veri koruma görevlisi ve uzun süredir DQS veri koruma denetçisi. Alman DIN'ın "Kimlik Yönetimi ve Veri Koruma Teknolojileri" çalışma grubunun -tam oy ile- üyesi, Alman Veri Koruma ve Veri Güvenliği Derneği'nin (GDD) Hannover'daki Deneyim Değişim Çemberi başkan yardımcısı.

Loading...

İlgili yazılar ve etkinlikler

İlgilenebilecekleriniz
Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Veri koruma denetimleri ile uygunluk