Det er veldig greit å ha gode intensjoner om å holde personopplysninger sikre, men for å virkelig være kompatible bør organisasjoner sørge for at de bruker passende tekniske og organisatoriske tiltak.
Med den første virkelige endringen av databeskyttelsesloven på 20 år, la oss ta en titt på hva den generelle databeskyttelsesforordningen (GDPR) sier om sikkerhetsprinsipper.
De sikkerhet for personopplysninger er ikke noe nytt. De Data Protection Act (DPA) 1998 anbefaler at beste praksis vil inkludere å vurdere risikoen for informasjon og sette på plass passende sikkerhetstiltak. Men med bruken av GDPR er disse anbefalingene nå et lovkrav.
I det nye regelverket snakker artikkel 5 nr. 1 bokstav f om integritet og konfidensialitet av personopplysninger, nå kjent som GDPRs "sikkerhetsprinsipp":
"Behandlet på en måte som sikrer hensiktsmessig sikkerhet for personopplysningene, inkludert beskyttelse mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av passende tekniske eller organisatoriske tiltak."
Formålet med sikkerhetsprinsippet er å sikre at din organisasjons sikkerhetstiltak bidrar til å forhindre at personopplysningene du har tapt, stjålet eller på noen måte kompromittert. Så når vi snakker om informasjonssikkerhet, inkluderer vi også cyber, fysisk og organisatorisk sikkerhet.
Informasjonskommissærens kontor (ICO) anbefaler at sikkerhetsprinsippet vurderes sammen med GDPRs artikkel 32, nærmere bestemt artikkel 32(1).
«Tatt i betraktning teknikkens stand, kostnadene ved implementering og arten, omfanget, konteksten og formålene med behandlingen samt risikoen for varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren implementere passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er tilpasset risikoen.»
Hvis organisasjoner og enkeltpersoner ikke klarer å følge med informasjonssikkerhet prosesser og prinsipper, kan risikoen for eiendom og liv være betydelig. Noen eksempler på skade inkluderer:
Fremfor alt er informasjonssikkerhet et lovkrav som også hjelper deg med å praktisere god datastyring og demonstrere for din forsyningskjeden og kunder som du kan stole på.
I tillegg, jo mer arbeid du legger ned her, jo bedre, ettersom ICO vurderer de tekniske og organisatoriske tiltakene du har på plass når du vurderer en bot – hvis det verste skulle skje.
ISMS.online vil spare deg for tid og penger mot ISO 27001-sertifisering og gjøre det enkelt å vedlikeholde.
Informasjonssikkerhetssjef, Honeysuckle Health
Med ISMS.online er utfordringer rundt versjonskontroll, policygodkjenning og policydeling en saga blott.
Som vi allerede har vært inne på, inkluderer sikkerhetsprinsippene alle aspekter ved behandling av personopplysninger (cyber og fysisk).
Så sikkerhetstiltakene vil sikre at personopplysninger kun kan nås av autoriserte personer med det formål å avsløre eller slette. Tiltakene vil sørge for at dataene er nøyaktige og fullstendige og forblir tilgjengelige og brukbare. Dette refererer til "konfidensialitet, integritet og tilgjengelighet"-prinsippet.
Selv om GDPR ikke gir spesifikke anbefalinger eller definisjoner av sikkerhetstiltakene dine, forventes det at organisasjonen din implementerer et "passende" sikkerhetsnivå. For å finne ut hva som anses som passende for deg, bør du først måle risikoen og vurdere verdien av personopplysningene.
Et organisatorisk tiltak vil omfatte å gjennomføre en informasjonsrisikovurdering. Også bygge en kultur av informasjon og cybersikkerhet i organisasjonen din er avgjørende for å gjennomføre prinsippene på en daglig basis. Dette kan være ansvaret til en Databeskyttelsesansvarlig (DPO) eller et annet medarbeider som er ansvarlig for å kommunisere sikkerhetsbevissthet.
ICO foreslår også at du inkluderer følgende når du tar skritt for å tilfredsstille sikkerhetsprinsippet:
- koordinering mellom nøkkelpersoner i organisasjonen din (f.eks. må sikkerhetssjefen vite om igangkjøring og avhending av alt IT-utstyr);
- tilgang til lokaler eller utstyr gitt til noen utenfor organisasjonen din (f.eks. for datamaskinvedlikehold) og de ekstra sikkerhetshensynene dette vil generere;
- Forretnings kontinuitet ordninger som identifiserer hvordan du vil beskytte og gjenopprette personopplysninger du har; og
- periodiske kontroller for å sikre at sikkerhetstiltakene dine forblir hensiktsmessige og oppdaterte.
En skreddersydd praktisk økt basert på dine behov og mål
Det første trinnet i å overholde prinsippet om konfidensialitet, integritet og tilgjengelighet er å vite hvor alle dine personlige data er. heldigvis ISMS.online har en løsning for det.
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang