EUs GDPR hyller en ny æra av databeskyttelse hvor avkrysningsboks-overholdelse erstattes av forståelse og ansvarlighet.
Tilbake i januar holdt Elizabeth Denham, UK Information Commissioner, en tale om GDPR og ansvarlighet til Institute of Chartered Accountants.
Budskapet var klart:
"Den nye lovgivningen pålegger selskaper en plikt til å forstå risikoen de skaper for andre, og å redusere disse risikoene. Det handler om å gå bort fra å se loven som en boks-øvelse, og i stedet jobbe med et rammeverk som kan brukes til å bygge en privatlivskultur som gjennomsyrer en hel organisasjon.»
Storbritannias informasjonskommissær
GDPR-forordningen erstatter dagens Lov om personvern på bare 10 måneder. Den fokuserer på deg som behandlingsansvarlig for Personlig identifiserbar informasjon (PII) relatert til kunder, salgsmuligheter og personell. Den fokuserer også på deg som databehandler andre verdifulle data.
Omfanget av GDPR og dets implikasjoner for virksomheter av alle størrelser begynner akkurat å slå inn for mange.
Fordi du ikke kan ha personvern uten databeskyttelse, og du kan ikke ha databeskyttelse uten informasjonssikkerhet. Dypere enn det, GDPR-kravene spenner over prosesser, mennesker og teknologi, som går på tvers av hele organisasjonen og krever en kulturell havendring, eller faktisk 'C'-endring, for mange.
En skreddersydd praktisk økt basert på dine behov og mål
Mens Denham refererer til rammer, reduserer risikoer og skaper kulturer, er det foreløpig ingen anerkjent GDPR "rammeverk" for å følge eller faktisk en sertifisering som kan demonstrere for regulatorer og kunder som du overholder.
Fordelen med å følge et rammeverk er at den utprøvde strukturen allerede er definert og sparer enormt mye tid. Og når tiden renner ut, hvorfor bygge et rammeverk når det allerede er noe som vil bringe deg en betydelig vei dit?
Litt sitat NIST Cyber Security and Cyber Essentials som nyttige tilnærminger. Dessverre er de i seg selv ikke tilstrekkelige til å oppfylle regulatoriske krav rundt informasjonssikkerhet for GDPR.
Imidlertid ISO 27001 gjør tilfredsstiller mange av GDPR-kravene og er et overordnet styringsrammeverk for Information Security Management System (ISMS). Det er også det internasjonalt anerkjente ISMS-rammeverket for beste praksis, det eneste som dekker prosess, mennesker og teknologi for å redusere risikoer rundt alle verdifulle informasjonsressurser, for eksempel IP og økonomi, og ikke bare PII.
Ved å bruke ISO 27001 kan du gjøre GDPR-utfordringen om til en mulighet.
Å ta organisasjonen din fra å oppfylle regelverket krav til å demonstrere et eksternt akkreditert ISMS krever bare litt mer innsats. Det vil imidlertid gi større organisatoriske fordeler i form av nye forretningsmuligheter, styrket datapersonvern og informasjonssikkerhet i hele din egen organisasjon og leverandørkjeden og, til slutt, redusert risiko.
Innen mai 2018 må organisasjoner kunne demonstrere samsvar med GDPR eller risikerer ikke bare kostbare brudd, men også regulatoriske undersøkelser og en langt mer straffbar bruk av bøter. UK Information Commissioners Office, hjelper organisasjoner med å forberede seg på GDPR med et sett med enkle verktøysett for egenvurdering å måle beredskapen for GDPR når det gjelder databeskyttelse, informasjonssikkerhet og administrasjon av poster.
Regulatorer vil se etter at du har forstått og administrert datarisikoen, har dokumenterte prosedyrer på plass og har full ansattes bevissthet og engasjement i personvern. Ved å bruke ISMS.online kan du fremskynde GDPR-forberedelsen din for å møte de ventende fristene.
Og hvis du er klar til å ta ytterligere noen få skritt, kan du bygge en ISO 27001 justert ISMS og oppnå ekstern sertifisering for enkelt å vise tillit til deg og forsyningskjeden din.
