EU:n GDPR juhlistaa tietosuojan uutta aikakautta, jossa rastiruutujen noudattaminen on korvattu ymmärryksellä ja vastuullisuudella.
Vielä tammikuussa Elizabeth Denham, Yhdistyneen kuningaskunnan tietokomissaari, piti puheen GDPR:stä ja tilivelvollisuudesta Institute of Chartered Accountantsille.
Viesti oli selvä:
”Uusi lainsäädäntö asettaa yrityksille velvollisuuden ymmärtää riskit, joita ne aiheuttavat muille, ja lieventää niitä. Kyse on siitä, että lakeja ei pidetä ruutujen tikkuharjoituksena, vaan sen sijaan työstetään puitteet, joiden avulla voidaan rakentaa yksityisyyden kulttuuria, joka vallitsee koko organisaation.
Yhdistyneen kuningaskunnan tiedotusvaltuutettu
GDPR-asetus korvaa nykyisen Tietosuojalaki vain 10 kuukaudessa. Se keskittyy sinuun rekisterinpitäjänä Henkilökohtaisesti tunnistettavat tiedot (PII), jotka liittyvät asiakkaisiin, myyntinäkymiin ja henkilöstöön. Se keskittyy myös sinuun tietojen käsittelijänä muista arvokkaista tiedoista.
GDPR:n valtavuus ja sen vaikutukset kaikenkokoisiin yrityksiin ovat vasta alkamassa monille.
Koska sinulla ei voi olla tietosuojaa ilman tietosuojaa, eikä sinulla voi olla tietosuojaa ilman tietoturvaa. Sitä syvemmälle GDPR-vaatimukset kattavat prosessit, ihmiset ja teknologian, ja ne kattavat koko organisaation ja edellyttävät monilta kulttuurista merimuutosta tai jopa "C"-muutosta.
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
Vaikka Denham viittaa kehyksiin, riskien lieventämiseen ja kulttuurien luomiseen, sitä ei tällä hetkellä tunneta GDPR:n "kehys", jota seurataan, tai jopa sertifikaatti, joka voidaan osoittaa sääntelijöille ja asiakkaille, että olet vaatimusten mukainen.
Kehyksen noudattamisen etu on se, että todistettu rakenne on jo määritelty, mikä säästää valtavasti aikaa. Ja kun aika loppuu, miksi rakentaa puitteita, kun on jo jotain, joka vie sinut merkittävään tien siihen?
jotkut lainaa NIST Cyber Security ja Cyber Essentials hyödyllisinä lähestymistavoina. Valitettavasti ne eivät sinänsä riitä täyttämään GDPR:n tietoturvaa koskevia säännöksiä.
Kuitenkin ISO 27001 ei täyttää monet GDPR-vaatimukset ja on kattava tietoturvan hallintajärjestelmän (ISMS) hallintokehys. Se on myös kansainvälisesti tunnustettu parhaiden käytäntöjen ISMS-kehys, joka kattaa ainoana prosessin, ihmiset ja teknologian kaikkeen arvokkaaseen tietoomaisuuteen, esimerkiksi IP- ja talousasioihin liittyvien riskien lieventämiseen, ei vain henkilökohtaisiin tietoihin.
ISO 27001:n avulla voit muuttaa GDPR-haasteen mahdollisuudeksi.
Poistaa organisaatiosi puhtaasti säännösten noudattamisesta ulkoisesti akkreditoidun ISMS:n osoittamista koskevat vaatimukset vaatii vain vähän enemmän vaivaa. Se tuo kuitenkin suurempia organisaatiohyötyjä uusien liiketoimintamahdollisuuksien, vahvemman tietosuojan ja tietoturvan muodossa koko organisaatiossasi ja toimitusketjussasi ja viime kädessä riskien vähenemisenä.
Toukokuuhun 2018 mennessä organisaatioiden on kyettävä osoittamaan noudattavansa GDPR tai vaarana on kalliiden rikkomusten lisäksi myös viranomaistutkimukset ja paljon rankaisevampi sakkojen soveltaminen. UK Information Commissioners Office auttaa organisaatioita valmistautumaan GDPR:ään yksinkertaisilla tavoilla itsearviointityökalut mittaamaan GDPR-valmiutta tietosuojan, tietoturvan ja tietueiden hallinnan osalta.
Sääntelyviranomaiset varmistavat, että olet ymmärtänyt ja hallinnut tietoriskit, sinulla on dokumentoidut menettelyt käytössä ja että sinulla on henkilöstön tietoisuus ja sitoutuminen tietosuojaan. Käyttämällä ISMS.onlinea voit nopeuttaa GDPR-valmisteluasi vastaamaan odottavia määräaikoja.
Ja jos olet valmis ottamaan muutaman lisävaiheen, voit rakentaa ISO 27001 mukautettu ISMS ja hanki ulkoinen sertifikaatti osoittaaksesi helposti luottamuksen sinua ja toimitusketjuasi kohtaan.
