BS-10012, The Privacy Information Management Standard Simplified

Vilka är principerna för BS 10012?

Eftersom BS 10012 är utformad kring GDPR syftar den till att matcha de principer som anges i dessa förordningar. Därför är principerna för BS 10012 följande:

• (a) Lagligt, rättvist och öppet behandlat
• (b) Samlas in för specificerade, uttryckliga och legitima ändamål
• (c) Lämpliga, relevanta och begränsade till de ändamål för vilka de behandlas
• (d) Korrekt och hålls uppdaterad vid behov, felaktiga uppgifter raderas eller korrigeras vid behov utan dröjsmål
• (e) Lagras i en form som tillåter identifiering av individer inte längre än vad som är nödvändigt
• (f) Behandlas på ett sätt som säkerställer en hög nivå av säkerhet, konfidentialitet och integritet; skyddas mot olaglig åtkomst eller oavsiktlig förlust

Du kommer att hållas ansvarig för att uppnå och upprätthålla allt ovanstående. Alla personuppgifter som lagras eller hanteras av ditt företag måste följa dessa principer om du vill säkerställa att din BS 10012-certifiering är framgångsrik.

BS 10012 kretsar kring följande nyckelteman:

Bolagsstyrning

BS 10012 var strukturerad för att vara kompatibel med andra ledningssystemstandarder, vilket säkerställer att majoriteten av klausulerna som stöder implementeringen av ett PIMS, såsom styrning/ledarskap, medarbetarförståelse, riskhantering och ständiga förbättringar, är förenliga med ISO 27001-klausuler; detta förhindrar onödig dubblering av journalföring och ansträngning.

Dataskydd och lagring

Dataskydd och lagring är väsentliga affärskrav som du måste uppfylla för att säkerställa efterlevnad av relevanta integritetslagar. Underlåtenhet att göra det kan leda till betydande ekonomiska påföljder och skada på ryktet. Eftersom dataintrång har ökat exponentiellt under de senaste åren måste organisationer, nu mer än någonsin, vidta de åtgärder som behövs för att skydda sekretessdata.

Hantera risker för personlig information

En grundläggande princip i BS 10012 är riskhantering, vilket innebär att man definierar potentiella integritetsrisker och implementerar skyddsåtgärder för att minska dessa risker till en acceptabel nivå.

Ett PIMS som är anpassat till BS 10012 bekräftar GDPR-principerna och försäkrar intressenter om att personuppgifter hanteras i enlighet med bästa praxis. BS 10012 främjar effektiv hantering av risker i samband med hantering av personuppgifter.

Bedömning av integritetspåverkan

GDPR kräver att organisationer utför en integritetskonsekvensbedömning (PIA) om insamling av personligt identifierbar information (särskilt med användning av framväxande teknologier) sannolikt kommer att leda till en hög risk för en individs rättigheter och friheter.

Riskbedömning

Modern teknik tillåter insamling och analys av enorma mängder data, vilket ökar risken att äventyra integriteten för dem som delar sin personliga information. Men med en BS 10012-kompatibel PIMS kan du känna igen potentiella risker förknippade med personuppgiftssäkerhet och vidta åtgärder för att minska dessa risker.

Behandling av personuppgifter

Med många organisationer som hanterar någon typ av personlig information kan BS 10012 hjälpa till med att implementera policyer, procedurer och kontroller som gör det möjligt för en organisation att effektivt behandla personuppgifter. Att följa ramverket BS10012 kommer att hjälpa dig att utforma och leverera utbildning för personlig informationsmedvetenhet och riskbedömningar, såväl som processerna för datahantering, lagring och kassering inom din organisation.

Förbättringar i kontroller/policyer

Förutom att uppfylla GDPR-kriterierna tar BS10012 upp hur företag kan säkerställa att deras dataskyddsskyldigheter är anpassade till deras övergripande affärsplan genom kontinuerlig förbättring av kontroller och policyer. Detta åstadkoms med hjälp av Plan-Do-Check-Act-modellen kontinuerlig förbättring.

Fördelarna med BS 10012

En av de främsta fördelarna med att bygga eller anpassa ditt PIMS i linje med BS 10012-standarden är att det för ditt företag närmare överensstämmelse med GDPR. Överensstämmelse med GDPR krävs för företag och organisationer som arbetar inom EU. I Storbritannien har GDPR assimilerats i brittiska dataskyddslagar, vilket betyder mycket liten praktisk skillnad mellan EU GDPR och UK GDPR.

BS 10012 främjar god praxis i hela din organisation när det gäller hantering av personuppgifter.

Några av fördelarna med BS 10012-standarden är:

• BS 10012 uppmuntrar kontinuerliga förbättringar, vilket gör att din ledningspersonal kan göra snabba förändringar i hur din PIMS fungerar
• Standarden hjälper ditt företag att upprätthålla efterlevnad av lagar och förordningar, såsom GDPR
• BS 10012 kan enkelt integreras med andra integritetsstandarder som ISO 27701 på grund av dess Annex L/SL-baserade design
• Standarden vägleder bästa praxis vid design och utveckling av en hanteringssystem för personlig information
• BS10012 hjälper integritetsanalytiker och personuppgiftshanterare att identifiera och hantera risker för personlig identifierbar information
• Att uppfylla den stränga standarden inger förtroende och förtroende från kunder, partners, personal och din bransch i allmänhet

Hur kommer BS 10012 att tillföra värde till min verksamhet?

Om du menar allvar med att få ditt företag uppdaterat med de senaste sekretessdatastandarderna kan BS 10012 ge dig ett ramverk för bästa praxis. Vilka fördelar kommer en PIMS-standard att ge ditt företag?

Håll dig i linje med juridiska skyldigheter

Att hålla sig själv i enlighet med lagen är avgörande. Genom att implementera BS 10012 kommer du att kunna ha ett ramverk som vägleder efterlevnaden av integritetsdatalagar. Du vill ha dokumenterade rutiner på plats för dina dataprocesser och hur och var data lagras. BS 10012 är tillämplig inom olika branscher och hjälper dig att uppfylla dina juridiska skyldigheter.

Efterlevnad av dataskyddslagstiftningen

Om du driver ett företag som hanterar personlig information i Storbritannien måste du se till att du följer de brittiska dataskyddslagarna. Storbritannien har införlivat GDPR i Storbritanniens dataskyddslagar, vilket innebär att ditt GDPR-ansvar är i stort sett oförändrat efter Brexit.

Minska risken för böter

Genom att uppnå BS 10012 kommer ditt företag att ha infört policyer och procedurer för bästa praxis som är inriktade på att hantera integritetsdata på rätt sätt. Att ha BS 10012 kommer att minska riskerna förknippade med dataintrång och böter genom att tillhandahålla dokumentära bevis på att din PIMS uppfyller den brittiska standarden.

Förbättra ditt företags image

Genom att uppnå BS 10012 kan du visa dina kunder, industri och tillsynsmyndigheter att du är engagerad i högkvalitativ hantering av personlig information. Detta kan förbättra ditt företags image. Om du drabbas av ett dataintrång, men har följt bästa praxis för att utveckla ditt PIMS, kommer du förmodligen att minska ryktesskadorna.

Kundens förtroende/konkurrensfördel

Genom att implementera BS 10012 kommer kunderna att känna sig säkra på att ditt företag är pålitligt och kompetent. Kunder och partners vill veta att du följer robusta processer. Att använda standardramverket BD 10012 är ett bra sätt att visa att du respekterar ditt ansvar relaterat till sekretessdata.

Hur lång tid tar BS-10012?

Det är svårt att ange exakta tidsramar eftersom BS-10012-certifieringen bygger på en mängd olika faktorer, inklusive komplexiteten i ditt företag och din bransch, hur nära du är att uppfylla standarden eller din nuvarande nivå av PIMS-efterlevnad av standarden, storleken på din organisation och så vidare. Det är en bra idé att budgetera mellan 6 månader till ett år för processen. Några av de faktorer som kommer att påverka BS-10012-certifieringen inkluderar:

Implementering av BS 10012

Varje företag har sin egen uppsättning personliga data och står inför olika integritetsrisker. Varje företag befinner sig också i ett annat stadium när det gäller att hantera personlig information. Det är därför det är viktigt att ditt Privacy Information Management System är byggt på BS 10012 men är designat för att passa din verksamhet. BS 10012 kan anpassas för att inkludera vad ditt företag behöver för att skydda personlig information, effektivisera processer och följa regler och lagar.

För att börja implementera BS 10012 måste följande steg vidtas:

• Skaffa högsta ledningens stöd och engagemang
• Ta med alla intressenter, inklusive databehandlare och controllers genom effektiv intern kommunikation
• Analysera befintliga processer och protokoll mot BS 10012-standarder
• Samla in synpunkter från kunder och leverantörer om krav på personlig informationshantering
• Bilda ett implementeringsteam och ledande implementerare
• Definiera och kommunicera uppgifter, uppgifter och tidsramar
• Uppmuntra anställdas deltagande genom engagemang och utbildning
• Dela fördelarna med BS 10012 och motivera anställda att bli internrevisorer.
• Genomför regelbundna granskningar av BS 10012-ramverket för att säkerställa att det kontinuerligt förbättras

BS 10012 kan vara lite knepigt att komma runt - som de flesta ISO- och BS-standarder. ISMS.online hjälper dig genom att tillhandahålla en molnbaserad lösning som kan hjälpa dig att dokumentera efterlevnad av BS 10012-kraven.

Visar god praxis

BS 10012 sätter standarden för beteenden, processer, teknik och kunskap som representerar bästa praxis för effektiv hantering av risker för integritetsdata. Genom att implementera BS 10012 kan din organisation visa "god praxis" när det gäller att hantera personligt identifierbar information.

Planera, gör, kontrollera, agera

PDCA (Plan-Do-Check-Act) är en iterativ metod i fyra steg för att kontinuerligt förbättra procedurer, tjänster eller produkter, såväl som för problemlösning. Det innebär att genomföra rigorösa tester av potentiella alternativ, analysera resultaten och tillämpa de som har visat sig lyckas.

BS 10012 är en kvalitetsledningsstandard som är baserad på Plan-Do-Check-Act-modellen (PDCA) för kontinuerlig kvalitetskontroll och förbättring. Som sådan är ramverket kompatibelt med annat ISO-godkänt ledningssystem standarder, vilket möjliggör en strömlinjeformad distribution och interoperabilitet för ett PIMS inom applikationer som ett Information Security Management System (ISMS).

Krav i BS 10012

Att införa ett ledningssystem tar ett systematiskt tillvägagångssätt som involverar alla intressenter.

Följande är de viktiga kraven för att uppnå överensstämmelse med BS 10012:

• Bestäm PIMS intressenternas krav.
• Bestäm omfattningen av PIMS för att säkerställa att all relevant data adresseras.
• Sätt ihop ett projektteam och utse en ledande implementerare.
• Involvera företagsledningen och säkra deras samarbete.
• Upprätta PIMS-mål och en PIMS-policy.
• Utveckla erforderlig kompetens och kompetens för implementering och hantering av PIMS.
• Gör en inventering av data och en dataflödeskartläggning.
• Skapa ett förfarande för att fastställa den rättsliga ramen för behandling av personligt identifierbar information.
• PIA (privacy impact assessments) och riskhanteringsstrukturer bör upprättas.
• Genomföra utbildningsprogram för anställda.
• Skapa de nödvändiga PIMS-policyerna och procedurerna, inklusive samtycke, begäranden om tillgång till föremål och meddelande om dataintrång.
• Utveckla en metod för datautbyte, lagring, kassering och överföring.
• Upprätta ett program för ständiga förbättringar.
• Utför en internrevision.

När dessa steg har vidtagits och du är säker på din organisations implementering av BS 10012, kommer du att vilja ansöka om en extern revision och certifiering.

Bilaga L/SL

Smakämnen ram för nuvarande ISO-standarder sammanfattas i bilaga SL. Strukturen i bilaga SL är sammansatt av tio paragrafer som definierar hur allt innehåll i en ledningssystemstandard ska klassificeras:

• Punkt 1 – Räckvidd Detta definierar de avsedda resultaten av ledningssystemet
• Klausul 2 – Normativa referenser Refererar till alla standarder eller publikationer som är relevanta
• Punkt 3 – Termer och definitioner Definitioner av de vanliga termer som används i standarden definieras här
• Klausul 4 – Organisationens sammanhang Detta definierar de områden som ledningssystemet kommer att täcka
• Klausul 5 – Ledarskap Detta område betonar vikten av att ledningsgruppen involveras i driften av ledningssystemet
• Punkt 6 – Planering Hur ledningssystemet kommer att uppnå sina mål och hur verksamheten kommer att hantera risker
• Punkt 7 – Support Hur driften av Management System kommer att stödjas för att fungera effektivt
• Klausul 8 – Drift Detaljer om de dagliga processerna och verksamheten i ditt företag, inklusive hur du kommer att spåra resultatet för dessa områden
• Punkt 9 – Prestationsbedömning Analysera och övervaka hur väl ditt företag fungerar mot kraven i ditt ledningssystem
• Punkt 10 – – Förbättring Använda resultaten av din prestationsutvärdering för att förbättra ditt företag och dess processer

Efterlevnad vs certifiering

Termerna efterlevnad och certifiering används ofta omväxlande men de är inte samma sak. Ett företag kan vara kompatibelt utan att vara certifierat, och ett företag kan ibland bli certifierat utan att det är helt kompatibelt.

Efterlevnad innebär att din PIMS uppfyller kraven för lagar, förordningar eller standarder. BS10012-certifiering innebär att du har bevisat att din organisation har uppfyllt kraven i personuppgiftsstandarden. Certifiering kräver dokumentation. Vanligtvis kommer du att få ett certifikat som säger att du är kompatibel med din valda standard; BS 10012 i detta fall. Certifiering är ett utmärkt sätt att visa efterlevnad för potentiella kunder!

Är BS 10012 certifiering rätt för mig?

BS 10012-certifieringen är rätt för ditt företag om du behöver visa bevis på att du har vidtagit alla rätta åtgärder för att skydda kritisk data och information från hot som dataläckor, säkerhetsriskeroch missbruk.

Dessutom är BS 10012 ett smart val om du vill följa regulatoriska krav, skydda information och data och minimera dataskyddsrisker.

Oavsett omfattningen av ditt företag eller vilken typ av personlig information du behandlar, innehåller BS 10012-ramverket riktlinjer som hjälper dig att identifiera hot mot personlig dataintegritet och implementera lämpliga policyer, protokoll och kontroller för att säkerställa efterlevnad av dataskyddskrav.

BS 10012 certifieringsprocess

Det finns vissa steg du kan vidta för att göra BS 10012-certifieringen så smidig som möjligt.

Stegen är:

1. Förklaring av skillnaden: Det är då en utbildad konsult besöker din organisation för att analysera ditt nuvarande PIMS och ta reda på vad som kan göras för att anpassa det till ett BS 10021-system. Det kan också handla om att samarbeta med erfarna revisorer, både interna och externa, för att tillhandahålla expertverifiering av din organisations PIMS's (hanteringssystem för personlig information) effektivitet.
2. Genomförande: Det är här alla rekommendationer som gjordes i steg ett implementeras och eventuella procedurändringar genomförs för att säkerställa att din nuvarande PIMS uppfyller minimikravet för överensstämmelse med BS 10012.

certifiering:En revisor kommer att besöka din anläggning för att verifiera att dina processer är i linje med BS 10012-standarderna och att alla nödvändiga ändringar har implementerats. Om allt stämmer kan du fortsätta att ansöka om BS 10012-certifiering. Detta certifikat är normalt giltigt i tre år.

På din resa mot BS 10012-certifiering kan du dra fördel av ISMS.online power molnbaserade system för att dokumentera din PIMS-process för att visa efterlevnad och bli certifierad.

Prata med våra experter på informationssäkerhet eller begär en demo genom att ringa +44 (0)1273 041140.

Vem behöver vara involverad i BS 10012?

Effektiv implementering av BS 10012 innebär samarbete mellan alla i organisationen.

Senior ledningen måste vara ombord och engagerad i att implementera data bästa praxis för sekretess. Men för att korrekt hantera alla din organisations personuppgifter måste du ta med alla avdelningar i organisationen.

Hanteringssystem för personlig information förklaras

A hanteringssystem för personlig information är en uppsättning protokoll, praxis och organisatoriska processer som är avsedda att skydda personuppgifter från obehörig åtkomst, hämtning eller användning av andra skäl än de för vilka de samlades in, samt att säkerställa datasekretess och säkerhet.

Ett hanteringssystem för personuppgifter är avsett att säkerställa efterlevnad av alla tillämpliga GDPR- och dataskyddslagar.

Standarder som BS 10012 och ISO 27701 definierar ramverket för ett hanteringssystem för personlig information (PIMS), hjälper dig att upprätthålla och förbättra efterlevnaden av dataskyddslagstiftningen och försäkra intressenter.

Kommer det att skapa byråkrati?

Byrån kan undvikas helt om implementeringen av BS 10012 görs korrekt.

Även om det kan vara frestande att dokumentera alla aspekter och steg i processen, kan detta vara krävande och tidskrävande för personer inblandade. Att dokumentera steg spelar en viktig roll om du planerar att uppgradera dina system, men för mycket dokumentation kan leda till byråkrati.

Hur upprätthåller jag BS 10012-certifieringen?

Att upprätthålla BS 10012-certifieringen är inte en svår uppgift, förutsatt att den ursprungliga BS 10012-implementeringen utfördes korrekt. Till behålla ditt certifikats giltighet, måste årliga revisioner utföras av en kvalificerad person, följt av en omfattande omvärdering av din PIMS innan certifieringen förnyas, vilket sker vart tredje år. Du bör också vara villig att investera i ständiga förbättringar.

Fortsatt förbättring

Kontinuerlig förbättring är en bred term som används för att beskriva alla metoder eller tillvägagångssätt för gradvisa och permanenta förbättringar av hur din organisation hanterar personligt identifierbar information, identifiera nya risker för efterlevnad och vidta systemiska åtgärder för att åtgärda dem.

Ständiga förbättringar är särskilt viktiga med BS 10012, som är designad kring Plan-Do-Check-Act-metoden. För att kvalificera dig för certifiering eller omcertifiera till BS10012 måste du visa ett kontinuerligt förbättringsfokus i ditt PIMS.

Jag har redan en ISO-certifiering; kan du integrera BS 10012?

BS 10012 är baserad på ständiga förbättringskonceptet 'Plan-Do-Check-Act' och är kompatibel med ISO Annex SL, som antas av alla större ramverk för ledningssystem. Detta tillåter organisationer att införliva sina BS10012-certifierade PIMS med andra standarder, framför allt ISO 27001.

Hur integreras BS 10012 och GDPR med varandra?

GDPR står för General Data Protection Regulation. GDPR är en lag som företag måste följa när de håller och behandlar PII i EU. Den stora majoriteten av kraven för GDPR omfattas av BS 10012, så BS 10012 underlättar efterlevnaden av GDPR.

Hur BS 10012 kan hjälpa dig att visa efterlevnad av GDPR

BS 10012 ändrades i mars 2017 som svar på artikel 42 i GDPR, som främjar "etablering av dataskyddscertifieringsmekanismer för syftet att visa efterlevnad av GDPR behandlingsoperationer av registeransvariga och processorer.” Det är precis vad BS 10012:2017 syftar till att göra.

Detta innebär att ett BS 10012-kompatibelt PIMS visar att organisationen har vidtagit alla lämpliga och nödvändiga åtgärder för att uppfylla kraven för att hantera personlig information, enligt definitionen i GDPR.

BS 10012 är inte ett alternativ till GDPR. BS 10012 hjälper dig att visa att du har tittat på ditt företag och etablerat och upprätthåller de policyer, processer och teknologier som bör göra dig GDPR-kompatibel.

BS 10012 och ISO 27701

ISO 27701 och BS 10012 är standarder som företag mäter sina organisationspolicyer och rutiner mot i utformningen av sina PIMS. Båda tillhandahåller dokumentation, genom certifiering, för att visa att ett företag har följt en robust process.

BS 10012 är lämplig för företag som är verksamma i Storbritannien som vill säkerställa efterlevnad av GDPR och Data Protection Act. ISO 27701 är en globalt erkänd standard.

ISO 27701 adresserar många av samma specifikationer som BS 10012 men har en bredare räckvidd och kan anpassas till olika länder, territorier och industrier. En betydande skillnad mellan ISO 27701 och BS 10012 är att en ISO 27701 PIMS är strukturerad som en förlängning av de ISMS-standarder och kontroller som specificeras i ISO 27001.

BS 10012 å andra sidan ger en helt annan uppsättning GDPR-kompatibla kriterier för att implementera ett PIMS. För att förhindra dubbelarbete har BS 10012 utformats för att vara kompatibel med internationellt erkända ledningssystemstandarder, såsom ISO 27001.

Hur integreras BS 10012 och ISO 27701 med varandra?

BS 10012 är baserad på modellen för ständiga förbättringar av 'Plan-Do-Check-Act' och är kompatibel med ISO Annex SL, som antas av alla större ledningssystemstandarder, inklusive ISO 27701. Detta innebär att organisationer kan införliva en PIMS-baserad på BS 10012 med en ISO 27701-kompatibel PIMS.

Hur mycket kostar BS 10012?

Det finns två uppsättningar avgifter kopplade till BS 10012:

1. Avgiften som betalas till ett ackrediterat certifieringsorgan för BS 10012-certifiering, som normalt är från £2000 till £3000.
2. Arvoden betalas till den BS-konsult du väljer. Avgifterna bestäms av företagets storlek, antalet platser, verksamhetens karaktär och komplexiteten i din verksamhet.

Vilka är fördelarna med att bygga din egen BS 10012 PIMS jämfört med att köpa?

Att bygga ditt eget BS 10012 PIMS-system är ett bättre sätt att få ett system som är skräddarsytt för dina specifika affärsprocesser. Ett personligt system kan spara pengar och vara lättare att använda, anpassa och anpassa.

Vissa företag, å andra sidan, tycker att möjligheten att utveckla sitt eget system är överväldigande och väljer därför färdiga lösningar. Oavsett vilken väg du tar med ditt företag, kommer våra molnbaserade lösningar på ISMS.online att hjälpa dig att hålla reda på de checklistor du behöver för att uppfylla kraven i PIMS-standarder när du söker certifiering.

Hur gör ISMS.online det enkelt att hantera personlig information?

ISMS.online tillhandahåller en lättanvänd molnbaserad plattform som gör det möjligt för organisationer att visa BS 10012-efterlevnad. Vi har experter på informationssäkerhet internt för att hjälpa dig att förstå och slutföra dokumentationsprocessen. Våra coachningsvideor och ytterligare resurser ger ytterligare vägledning och stöd för att underlätta din resa till BS 10012-certifiering.

Men det är inte allt. Vårt system stöder även:

Ramar för BS 10012

Det kan vara svårt att veta var man ska börja med BS 10012, särskilt om det är första gången. Det är här ISMS.online kommer in.

Våra lösningar tillhandahåller ramverk för att visa din organisations efterlevnad av BS 10012. Våra informationssäkerhetsexperter kan också hjälpa dig att ta fram en implementeringsplan som överensstämmer med standardens dokumentationskrav.

Mycket effektiv projektövervakning och samarbete

Varje medlem i ditt implementeringsteam kan använda checklistfunktionen i ISMS.online för att lägga till sitt bidrag. Vårt lättanvända samarbetsverktyg, med en enkel godkännandeprocess, inbyggda automatiserade granskningar och ett användarvänligt gränssnitt gör att du kan övervaka dina framsteg mot certifiering. Med vårt molnbaserade system får du enklare projektsamarbete och full överblick på ett ställe.

Valfria verktyg för hantering av försörjningskedjan

Vi har lösningar som hjälper dig att ta mer kontroll över din leveranskedja, från kontrakt till kommunikation och relationer, hela vägen till resultatövervakning och rapportering. Genom att välja våra ytterligare verktyg för försörjningshantering kan du utöka dina sekretessdatastandarder till din försörjningskedja. Genom att välja våra ytterligare verktyg för försörjningshantering kan du utöka dina sekretessdatastandarder till din försörjningskedja.

Hjälp och stöd att engagera ditt folk

För att framgångsrikt implementera ett GDPR-kompatibelt PIMS-system måste du få inköp från alla intressenter i ditt företag. Det är här våra kommunikations- och engagemangsverktyg kan göra skillnad. Våra lösningar kan hjälpa dig att integrera nyckelintressenter och visa fördelarna med efterlevnad av BS10012.

Kontakta ISMS.online idag på + 44 (0) 1273 041140 för att lära dig mer om hur vår molnbaserade programvara kan hjälpa dig att visa överensstämmelse med BS 10012.