Mitä kohta A.3.13 edellyttää?
Henkilötietojen käsittelyyn liittyvän tietoturvallisuuden kannalta olennaiset lakisääteiset, säädöksiin perustuvat, sääntelyyn perustuvat ja sopimukselliset vaatimukset sekä organisaation lähestymistapa näiden vaatimusten täyttämiseksi on dokumentoitava ja tämä dokumentaatio on pidettävä ajan tasalla.
Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja siinä vahvistetaan perustavanlaatuinen velvoite: et voi noudattaa lakisääteisiä vaatimuksia, ellet ole tunnistanut, mitä ne ovat. Tämä valvonta varmistaa, että organisaatiot ylläpitävät ajantasaista rekisteriä kaikista sovellettavista velvoitteista ja dokumentoitua lähestymistapaa kunkin velvoitteen täyttämiseksi.
Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?
Liitteessä B (kohta B.3.13) annetaan seuraavat ohjeet:
- Tunnista mahdolliset pakotteet — Organisaatioiden tulisi tunnistaa mahdolliset oikeudelliset seuraamukset velvoitteidensa laiminlyönnistä, mukaan lukien huomattavat sakot, joita valvontaviranomaiset voivat määrätä velvoitteiden noudattamatta jättämisestä
- Kansainväliset standardit sopimuspohjana — Joillakin lainkäyttöalueilla kansainväliset standardit, kuten ISO 27701, voivat muodostaa perustan osapuolten välisille sopimuksille ja tarjota tunnustetun kehyksen yksityisyyden suojaa koskeville velvoitteille.
- Katso myös A.3.3: Tietoturvakäytännöt asiaankuuluvia vaatimuksia varten
- Katso myös A.3.4: Tietoturvaroolit ja -vastuut asiaankuuluvia vaatimuksia varten
Ohjeistus on tarkoituksella laaja, koska erityiset lakisääteiset vaatimukset vaihtelevat valtavasti lainkäyttöalueen, toimialan ja käsiteltävien henkilötietojen tyypin mukaan. Periaate on sama kaikkialla: tunne velvollisuutesi ja dokumentoi, miten täytät ne.
Miten tämä vastaa GDPR:ää?
Kontrolli A.3.13 kohdistuu useisiin GDPR artikkeleita:
- 5 artiklan 1 kohdan f alakohta — Eheyden ja luottamuksellisuuden periaate, joka on turvallisuusvaatimusten perusta
- 32 artiklan 1 kohdan d alakohta — Prosessi toimenpiteiden tehokkuuden säännölliseksi testaamiseksi, arvioimiseksi ja arvioimiseksi
- Article 32 (2) — Asianmukaisen turvallisuustason arviointi ottaen huomioon käsittelyyn liittyvät riskit
- Article 5 (2) — Vastuuvelvollisuusperiaate, jonka mukaan rekisterinpitäjän on oltava vastuussa vaatimustenmukaisuudesta ja osoitettava se
- 32 artiklan 1 kohdan b alakohta — Jatkuvan luottamuksellisuuden, eheyden, saatavuuden ja vikasietoisuuden varmistaminen
Alle GDPRmahdolliset sakot vaatimustenvastaisuudesta voivat olla jopa 4 prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta tai 20 miljoonaa euroa, sen mukaan kumpi on suurempi – mikä tekee lakisääteisten vaatimusten tunnistamisesta liiketoiminnan kannalta kriittistä toimintaa.
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdissa 6.15.1.1 (sovellettavan lainsäädännön ja sopimusvaatimusten määrittäminen) ja 6.15.1.5 (kryptografisten kontrollien sääntely). Vuoden 2025 painos yhdistää nämä yhdeksi kontrolliksi (A.3.13) ja laajentaa soveltamisalaa kattamaan kaikki lakisääteiset, säädösperusteiset, sääntelyyn liittyvät ja sopimusvaatimukset yhdessä paikassa. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.3.13 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Laki- ja sääntelyrekisteri — Dokumentoitu rekisteri, jossa luetellaan kaikki sovellettavat lait, asetukset ja sopimusvelvoitteet, jotka liittyvät henkilötietojen käsittelyyn, mukaan lukien lainkäyttöalue ja voimaantulopäivät
- Vaatimustenmukaisuuden kartoitus — Todisteet siitä, miten organisaation toimintaperiaatteet, menettelyt tai valvontamekanismit vastaavat kutakin lakisääteistä vaatimusta
- Arviointiaikataulu — Määritelty prosessi rekisterin tarkistamiseksi ja päivittämiseksi lakien muuttuessa, uusien lainkäyttöalueiden tullessa rekisteriin tai uusien sopimusten allekirjoittaessa
- Pakotetietoisuus — Dokumentaatio, joka osoittaa organisaation ymmärtävän vaatimustenvastaisuuden mahdolliset seuraukset, mukaan lukien taloudelliset rangaistukset
- Versiohistoria — Todiste siitä, että dokumentaatiota on ylläpidetty aktiivisesti, eikä sitä ole vain luotu kerran ja unohdettu
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.3.10 Toimittajasopimukset | Sopimusvaatimukset toimittajien kanssa on tunnistettava ja dokumentoitava |
| A.3.11 Häiriönhallintasuunnittelu | Tietomurtoilmoitusmenettelyissä on otettava huomioon sovellettavat lakisääteiset aikataulut |
| A.3.16 Käytäntöjen noudattaminen | Säännölliset tarkastukset varmistavat, että lakisääteiset vaatimukset täyttyvät käytännössä |
| A.3.14 Asiakirjojen suojaaminen | Laki- ja vaatimustenmukaisuusasiakirjat on suojattava ja säilytettävä asianmukaisesti |
| A.3.15 Riippumaton arviointi | Riippumattomat tarkastukset voivat varmistaa, että lakisääteisten vaatimustenmukaisuustietojen kartoitus on tarkka |
Ketä tämä valvonta koskee?
A.3.13 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Rekisterinpitäjillä on tyypillisesti laajempi joukko lakisääteisiä velvoitteita (tietosuojalait, toimialakohtaiset määräykset, sopimusvelvoitteet rekisteröityjä kohtaan), ja käsittelijöiden on myös tunnistettava omat velvoitteensa käsittelysopimusten ja sovellettavan lainsäädännön nojalla. Molemmat roolit tarvitsevat ylläpidettyä vaatimustenmukaisuusrekisteriä.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miksi valita ISMS.online lakisääteisten ja sääntelyyn liittyvien vaatimusten seurantaa varten?
ISMS.online tarjoaa käytännön työkaluja vaatimustenmukaisuusrekisterin ylläpitoon ja jatkuvan tietoisuuden osoittamiseen:
- Sääntelyrekisteri — Ylläpidä jäsenneltyä rekisteriä kaikista sovellettavista laeista, asetuksista ja sopimusvaatimuksista, joihin on merkitty lainkäyttöalueet ja voimaantulopäivät
- Vaatimustenmukaisuuden kartoitus — Yhdistä jokainen lakisääteinen vaatimus tiettyihin käytäntöihin, valvontatoimiin ja näyttöön, jotka osoittavat vaatimustenmukaisuuden
- Automaattiset tarkistusmuistutukset — Aseta tarkistusjaksot niin, että rekisterisi tarkistetaan suunnitelluin väliajoin ja päivityksiä varten on tehtävämäärityksiä.
- Muutoksen hallinta — Seuraa lainsäädännön muutoksia ja uusia sopimusvelvoitteita versiohistorian ja tarkastusketjun avulla
- Usean kehyksen tasaus — Kartoittaa lakisääteiset vaatimukset standardin ISO 27701 mukaisesti ISO 27001, GDPR ja muut viitekehykset yhdessä näkymässä
UKK
Kuinka usein lakisääteisten vaatimusten rekisteri tulisi tarkistaa?
Standardi edellyttää dokumentaation pitämistä ajan tasalla. Organisaatioiden tulisi vähintäänkin tarkistaa rekisteri vuosittain ja aina, kun tapahtuu merkittävä muutos – kuten uuteen lainkäyttöalueeseen siirtyminen, uuden henkilötietoja käsittelevän tuotteen lanseeraus tai asiaankuuluvan lainsäädännön muuttuminen. Arviointien kytkeminen johdon arviointikierroksiin auttaa varmistamaan, että ne tapahtuvat johdonmukaisesti.
Voiko ISO 27701 -sertifiointi täyttää sopimusvelvoitteet?
Täytäntöönpano-ohjeissa todetaan, että joissakin lainkäyttöalueissa kansainväliset standardit, kuten ISO 27701, voivat muodostaa sopimusten perustan. Vaikka sertifiointi osoittaa vankan yksityisyydensuojan hallintajärjestelmän, yksittäiset sopimukset voivat asettaa standardin lisäksi lisävaatimuksia. Jokainen sopimusvelvoite tulisi arvioida erikseen ja sisällyttää vaatimustenmukaisuusrekisteriin.
Mitä seurauksia on sovellettavien lakisääteisten vaatimusten tunnistamatta jättämisestä?
Sovellettavien lakisääteisten vaatimusten tunnistamatta jättäminen voi johtaa merkittäviin sakkoihin valvontaviranomaisilta, asiakkaiden ja kumppaneiden sopimusrikkomusvaatimuksiin, liiketoiminnan menetykseen ja maineen vahingoittumiseen. GDPR:n mukaan sakot voivat olla jopa 4 % vuotuisesta maailmanlaajuisesta liikevaihdosta. Taloudellisten seuraamusten lisäksi lakisääteisen vaatimuksen tietämättömyys ei ole puolustuskeino täytäntöönpanomenettelyissä.
Katso analyysimme aiheesta Vaatimusten noudattamatta jättämisen ja sertifioinnin kustannukset sääntelyn noudattamatta jättämisen taloudellisten vaikutusten osalta.
Useissa viitekehyksissä toimivien organisaatioiden tulisi lukea ISO 27701:2025 vs. SOC 2: Kumpaa tarvitset?.
