Det är mycket bra att ha goda avsikter att hålla personuppgifter säkra, men för att verkligen vara kompatibla bör organisationer se till att de använder lämpliga tekniska och organisatoriska åtgärder.
Med den första riktiga förändringen av dataskyddslagen på 20 år, låt oss ta en titt på vad den allmänna dataskyddsförordningen (BRP) säger om säkerhetsprinciper.
Smakämnen säkerhet för personuppgifter är inget nytt. De Dataskydd Act (DPA) 1998 rekommenderar att bästa praxis inkluderar att bedöma risken för information och införa lämpliga säkerhetsåtgärder. Men med tillkomsten av GDPR är dessa rekommendationer nu ett lagkrav.
I det nya regelverket talar artikel 5 f om integritet och konfidentialitet för personuppgifter, nu känd som GDPR:s "säkerhetsprincip":
"Behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inklusive skydd mot otillåten eller olaglig behandling och mot oavsiktlig förlust, förstörelse eller skada, med hjälp av lämpliga tekniska eller organisatoriska åtgärder."
Syftet med säkerhetsprincipen är att säkerställa att din organisations säkerhetsåtgärder hjälper till att förhindra att de personuppgifter du innehar från att förloras, stjälas eller på något sätt äventyras. Så när vi pratar om informationssäkerhet, inkluderar vi även cybersäkerhet, fysisk och organisatorisk säkerhet.
Information Commissioner's Office (ICO) rekommenderar att säkerhetsprincipen beaktas vid sidan av GDPR:s artikel 32, närmare bestämt artikel 32.
”Med hänsyn till teknikens ståndpunkt, kostnaderna för genomförandet och behandlingens art, omfattning, sammanhang och syften samt risken för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter, ska den registeransvarige och registerföraren implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken."
Om organisationer och individer inte följer efter informationssäkerhet processer och principer kan risken för egendom och liv vara betydande. Några exempel på skada inkluderar:
Framför allt är informationssäkerhet ett lagkrav som också hjälper dig att utöva god datastyrning och visa för din leveranskedjan och kunder som du kan lita på.
Dessutom, ju mer arbete du lägger ner här desto bättre, eftersom ICO bedömer de tekniska och organisatoriska åtgärder du har vid bedömningen av böter – om det värsta skulle hända.
ISMS.online kommer att spara tid och pengar för ISO 27001-certifiering och göra det enkelt att underhålla.
Informationssäkerhetschef, Honeysuckle Health
Med ISMS.online är utmaningar kring versionskontroll, policygodkännande och policydelning ett minne blott.
Som vi redan har berört omfattar säkerhetsprinciperna varje aspekt av personuppgiftsbehandling (cyber och fysisk).
Så säkerhetsåtgärderna kommer att säkerställa att personuppgifter endast kan nås av behöriga personer i syfte att avslöja eller radera. Åtgärderna kommer att säkerställa att uppgifterna är korrekta och fullständiga och förblir tillgängliga och användbara. Detta hänvisar till principen om konfidentialitet, integritet och tillgänglighet.
Även om GDPR inte ger specifika rekommendationer eller definitioner av dina säkerhetsåtgärder, förväntas din organisation implementera en "lämplig" säkerhetsnivå. För att avgöra vad som anses lämpligt för dig bör du först mäta risken och bedöma värdet av personuppgifterna.
En organisatorisk åtgärd skulle innefatta att genomföra en informationsriskbedömning. Dessutom bygga en kultur av information och Cybersäkerhet i din organisation är avgörande för att genomföra principerna på en daglig basis. Detta kan vara ett ansvar Dataskyddsombud (DPO) eller någon annan anställd som är ansvarig för att kommunicera säkerhetsmedvetenhet.
ICO föreslår också att du inkluderar följande när du vidtar åtgärder för att uppfylla säkerhetsprincipen:
- samordning mellan nyckelpersoner i din organisation (t.ex. säkerhetschefen kommer att behöva veta om driftsättning och kassering av all IT-utrustning);
- tillgång till lokaler eller utrustning som ges till någon utanför din organisation (t.ex. för datorunderhåll) och de ytterligare säkerhetsöverväganden som detta kommer att generera;
- kontinuitet i verksamheten arrangemang som identifierar hur du kommer att skydda och återställa alla personuppgifter du har; och
- regelbundna kontroller för att säkerställa att dina säkerhetsåtgärder förblir lämpliga och uppdaterade.
En skräddarsydd praktisk session utifrån dina behov och mål
Det första steget i att följa principen om konfidentialitet, integritet och tillgänglighet är att veta var alla dina personuppgifter finns. Lyckligtvis ISMS.online har en lösning för det.
100 % av våra användare uppnår ISO 27001-certifiering första gången