Hvers vegna er upplýsingaöryggi tengt GDPR ?

Avanti – ráðgjöf hefur aðstoðað mörg fyrirtæki og stofnanir við innleiðingu á GDPR reglunum og meðan á þeirri innleiðingu stendur þá koma upp fjölmargar spurningar. Eitt það atriði sem oftast er til umræðu er hvers vegna sé nauðsynlegt að skoða upplýsingaöryggi í tenglum við innleiðingu GDPR. Stjórnendum finnst þessi mál ekki nauðsynlega tengd með beinum hætti og því fer nokkur tími í að útskýra þessi tengsl. Hér að neðan eru tekin saman helstu atriði varðandi þessi tengsl.

Innleiðing upplýsingaöryggiskerfis er nauðsynlegur hluti af innleiðingu GDPR (Lög um persónuvernd og vinnslu persónuupplýsinga). Ástæða þess er sú að á mörgum stöðum í GDPR koma fram ákvæði sem tilgreina að persónuupplýsingar  „séu unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt„.

Í 27 gr. Laga um persónuvernd og vinnslu persónuupplýsinga segir að „Ábyrgðaraðili og vinnsluaðili skulu gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga samkvæmt nánari fyrirmælum 32. gr. reglugerðarinnar„.

Í 39 lið þeirra atriða sem reglugerð um GDPR á að taka tillit til segir í síðustu málsgrein að : „Vinnsla persónuupplýsinga ætti að vera með þeim hætti að viðeigandi öryggi og trúnaður um upplýsingarnar sé tryggt, m.a. að komið sé í veg fyrir óheimilan aðgang eða notkun á persónuupplýsingum og þeim búnaði sem notaður er við vinnsluna„.

Í f) lið 5. gr. reglugerðarinnar segir einnig að „Persónuupplýsingar skulu vera unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt, þ.m.t. vernd gegn óleyfilegri eða ólögmætri vinnslu og gegn glötun, eyðileggingu eða tjóni fyrir slysni, með viðeigandi tæknilegum og skipulagslegum ráðstöfunum („heilleiki og trúnaður“)“.

Út frá ofangreindu er það almennt skilið að tilvist upplýsingaöryggiskerfis sé nauðsynlegur þáttur í innleiðingu GDPR. Slíkt upplýsinga öryggiskerfi hlítur jafnframt að taka mið af almennt viðurkenndum stöðlum á því sviði og sá staðal sem helst kæmi til álita í þeim efnum væri ISO-27001. GDPR reglurnar segja ekki að  öll fyrirtæki og stofnanir verði að fá sér vottun fyrir ISO -27001 eða tilsvarandi, heldur að til staðar sé upplýsingaöryggiskerfi sem að lágmarki tryggi  viðeigandi öryggi persónuupplýsinganna“ og gera „viðeigandi tæknilegar og skipulagslegar ráðstafanir“.

Hvað svo telst vera viðeigandi öryggi er spurning en flestir sérfræðingar telja að innleiðing upplýsingaöryggiskerfis á grundvelli almennt viðurkenndra staða (t.d ISO-27001) og  sem taki á þeim atriðum sem beinlínis koma fram í GDPR reglunum, sé nauðsynlegur þáttur af innleiðingu þessara laga.

Hvað þættir úr ISO-27001 eru svo taldir nauðsynlegur hluti af GDPR ? Hér að neðan má sjá lista um þau stefnuskjöl, vinnuferla og vinnureglur sem talin eru að þurfa að vera til staðar að lágmarki.

Þetta eru :

  • Upplýsingaöryggisstefna – stefna fyrirtækisins varðandi upplýsingaöryggi almennt og persónuupplýsingar sérstaklega
  • Aðgangsstjórnunarstefna – stefna fyrirtækisins varðandi  hver sé með aðgang að persónuupplýsingum og hvernig sá aðgangur er veittur.
  • Rekstarhandbók fyrir upplýsingatæknideild – Öll atriði varðandi rekstur UT deildar, praktísk atriði eins og afritunartaka og margt fleira.
  • Stefna um notkun eigin búnaðar – Ef starfsmenn eru með persónuupplýsingar frá fyrirtækinu á búnaði sem þeir eiga sjálfir þá þarf að taka á því
  • Stefna um farandtæki og fjarvinnslu – Ef fyrirtækið heimilar fjarvinnslu eða er með búnað utan starfsstöðva þá eru hugsanlega persónuupplýsingar í vinnslu þar
  • Stefna um hrein skrifborð og skjái – Starfsmenn eiga ekki að skilja eftir persónuupplýsingar á skrifborðum eða á skjám
  • Stefna um flokkun upplýsinga – Flokka þar allar upplýsingar eftir trúnaðarstigi þ.m.t persónuupplýsingar
  • Stefna um nafnleysi og gerviauðkenni – Ef fyrirtækið hefur hugsað sér umbreyta persónuupplýsingar í nafnlausar upplýsingar eða nota gerfiauðkenni
  • Stefna um notkun dulkóðunar – Ef fyrirtækið vill nota dulkóðun til að gera persónuupplýsingar öruggari í vinnslu eða flutningi.
  • Stefna um áætlun um samfelldan rekstur – Hvernig fyrirtækið tekur á öryggisbrotum eða annari röskun í vinnslu persónuupplýsinga

Þess ber að geta að þetta eru þau atriði úr ISO 27001 staðlinum sem þurfa vera til staðar að lágmarki. Það er oftast nauðsynlegt að taka fleiri atriði til skoðunar og að gera sér grein fyrir heildarstöðu fyrirtækja og stofnanna gagnvart ISO 27001 staðlinum sem slíkum. Af þeim sökum er gjarna gert stöðumat hjá viðkomand fyrirtæki gagnvart öllum 114 atriðunum í ISO 27002(kröfustaðli ISO 27001).

Vinsamlega hafið samband á vefsíðu okkar eða sendið okkur tölvupóst á avanti@avanti.is fyrir frekari upplýsingar um þjónustu okkar á þessu sviði.

 

 

 

WP Facebook Auto Publish Powered By : XYZScripts.com