Ilyen lesz a szabványosított GDPR

A jövőben egyre jelentősebb szerephez juthat az ISO/IEC 27701 adatvédelmi szabvány.
 

2019 augusztusában a Nemzetközi Szabványügyi Szervezet (ISO) kiadta az első személyes adatok védeleméről szóló globális szabványt, az ISO/IEC-27701:2019-et - PIMS (Privacy Information Management Systems). A szabvány célja, hogy meghatározza egy szervezeten belül az adatvédelmi irányítási rendszer létrehozásának és fenntarthatóságának gyakorlati követelményeit.
 
A különlegességét az adja, hogy megalkotására azzal a nem titkolt céllal került sor, hogy a GDPR 42. cikke szerinti tanúsítvány létrehozásának alapja legyen. A kialakítását egy adatvédelmi szakértőkből, adatvédelmi hatóságokból, információbiztonsági szakértőkből és iparági képviselőkből álló bizottság végezte, amely elősegítette, hogy a PIMS szabvány ne csupán a GDPR-on, hanem számos tagállami adatvédelmi jogszabályon. információbiztonsági jó gyakorlatokon és sztenderdeken alapuljon.
 
"A PIMS tanúsítvány egyértelmű út a GDPR szerinti tanúsítási mechanizmusig, amely igazolni tudja mind az ügyfelek, mind a munkavállalók és egyéb harmadik személyek felé, hogy a tanúsítvánnyal rendelkező társaság a GDPR követelményeinek megfelelően működik. Érdemes tehát a PIMS tanúsítvány megszerzésére mielőbb felkészülni, mely éppúgy jelenthet védelmet, mint üzleti előnyt is a személyes adatokat kezelő vállalkozásoknak" - mondta Dr. Bánczi Lea, a Deloitte Legal ügyvédje.

ISO/IEC 27001: folytatás következik

A szabvány az ISO/IEC 27001-et már alkalmazó vállalatok számára érhető el, a szükséges tanúsítási folyamatot követően. Olyan kézzelfogható gyakorlati iránymutatásokat, követelményeket és intézkedéseket fogalmaz meg, amelyek biztosításával elősegíthető egy gyakorlati szinten működő, GDPR-nak megfelelő adatvédelmi rendszer kialakítása. Ez köszönhető annak is, hogy a GDPR alapelvi keretrendszerét konkrét kontrollokra és megoldásokra fordítja le. A csoportszintű vállalkozásokat is segíti abban, hogy egy globális adatvédelmi keretrendszert alakítsanak ki, helyi szabályoknak való megfeleltetési lehetőséggel.
 
"Az ISO/IEC 27701 folyamatokat határoz meg, és útmutatót ad a személyazonosító adatok védelméhez. Mivel ez egy irányítási rendszer, meghatározza az adatvédelem folyamatos fejlesztésének folyamatait, amely különösen fontos egy olyan világban, ahol a technológiai fejlődés nem áll meg" - nyilatkozta dr. Andreas Wolf, a szabványt kidolgozó ISO/IEC bizottság elnöke.
 
Az informatika sem szorul háttérbe
 
A szabvány további célja, hogy informatikai oldalról is iránymutatást adjon a szükséges technikai intézkedések bevezetéséhez. Az információbiztonságot magában foglaló fejezetek alapvetően az ISO 27001 "A" mellékletében definiált és az ISO 27002-ben kifejtett kontrollokból építkeznek, azonban azok alkalmazásán túl további követelményeket fogalmaz meg.
 
"Az eddigi tapasztalataink azt mutatják, hogy számos technikai és megvalósíthatósági probléma merül fel az adatbiztonsági kontrollok technológiai bevezetése és működtetése során. Például az adatok transzparens osztályozása, az informatikai rendszerek jogosultságkezelése, a személyes adatokat tároló rendszerek naplózása és naplóelemzése, az adatszivárgás figyelése vagy akár a tényleges adattörlési képesség megvalósítása. Véleményünk szerint a szabványt implementáló és a tanúsítványt megszerezni szándékozó szervezetek immáron ismerős struktúrában, egy tematikailag rendszerezett keretrendszer alapján lesznek képesek a technikai kontrollok kialakítására és bevezetésére a szabvány segítségével" - vélekedett Szöllősi Zoltán, a Deloitte információbiztonsági szakértője.