EU GDPR hyllar en ny era av dataskydd där tick-box efterlevnad ersätts av förståelse och ansvarsskyldighet.
Redan i januari höll Elizabeth Denham, Storbritanniens informationskommissionär, ett tal om GDPR och ansvarsskyldighet till Institute of Chartered Accountants.
Budskapet var tydligt:
"Den nya lagstiftningen skapar en skyldighet för företag att förstå de risker som de skapar för andra och att minska dessa risker. Det handlar om att gå bort från att se lagen som en ruta, och istället arbeta med ett ramverk som kan användas för att bygga en integritetskultur som genomsyrar en hel organisation.”
Storbritanniens informationskommissionär
GDPR-förordningen ersätter den nuvarande Dataskyddslagen på bara 10 månader. Den fokuserar på dig som personuppgiftsansvarig för Personligt identifierbar information (PII) relaterad till kunder, försäljningsmöjligheter och personal. Den fokuserar också på dig som databehandlare andra värdefulla data.
Den enorma omfattningen av GDPR och dess konsekvenser för företag av alla storlekar har precis börjat slå igenom för många.
För du kan inte ha datasekretess utan dataskydd och du kan inte ha dataskydd utan informationssäkerhet. Djupare än så sträcker sig GDPR-kraven över processer, människor och teknik, som sträcker sig över hela organisationen och kräver en kulturell förändring i havet, eller faktiskt "C"-förändring, för många.
En skräddarsydd praktisk session utifrån dina behov och mål
Även om Denham hänvisar till ramverk, minskar risker och skapar kulturer, finns det för närvarande inget erkänt GDPR "ramverk" att följa eller faktiskt en certifiering som kan visa för tillsynsmyndigheter och kunder att du är kompatibel.
Fördelen med att följa ett ramverk är att den beprövade strukturen redan har definierats vilket sparar enormt mycket tid. Och, när tiden rinner ut, varför bygga ett ramverk när det redan finns något som kommer att ta dig en betydande väg dit?
Några citera NIST Cyber Security and Cyber Essentials som användbara tillvägagångssätt. Tyvärr är de i sig inte tillräckliga för att uppfylla regulatoriska krav kring informationssäkerhet för GDPR.
Dock ISO 27001 gör uppfyller många av GDPR-kraven och är ett övergripande styrningsramverk för informationssäkerhetshanteringssystem (ISMS). Det är också det internationellt erkända ISMS-ramverket för bästa praxis, det enda som täcker process, människor och teknik för att minska risker kring alla värdefulla informationstillgångar, till exempel IP och ekonomi, och inte bara PII.
Genom att använda ISO 27001 kan du förvandla din GDPR-utmaning till en möjlighet.
Att ta din organisation från att bara uppfylla regelverket krav på att visa ett externt ackrediterat ISMS kräver bara lite mer ansträngning. Det kommer dock att leverera större organisatoriska fördelar i form av nya affärsmöjligheter, stärkt datasekretess och informationssäkerhet i hela din egen organisation och din försörjningskedja och i slutändan minskade risker.
Senast i maj 2018 måste organisationer kunna visa att de följer GDPR eller riskerar inte bara kostsamma överträdelser, utan även regulatoriska utredningar och en mycket mer straffbar tillämpning av böter. UK Information Commissioners Office, hjälper organisationer att förbereda sig för GDPR med en uppsättning enkla självutvärderingsverktyg för att mäta beredskapen för GDPR när det gäller dataskydd, informationssäkerhet och hantering av register.
Tillsynsmyndigheter kommer att se till att du har förstått och hanterat datariskerna, har dokumenterade rutiner på plats och har full personalens medvetenhet och engagemang i datasekretess. Genom att använda ISMS.online kan du påskynda din GDPR-förberedelse för att uppfylla de väntande deadlines.
Och om du är redo att ta ytterligare några steg kan du bygga en ISO 27001 anpassat ISMS och uppnå extern certifiering för att enkelt visa förtroende för dig och din leverantörskedja.
