Die bereiking van regulatoriese voldoening aan BS 10012

BS 10012 wys jou hoe om 'n alleenstaande te bou Persoonlike inligtingbestuurstelsel (PIMS). Jou PIMS sal jou organisasie help om daaraan te voldoen GDPR of verwante regulasies, soos Suid-Afrika se POPIA. Ons vereenvoudigde, veilige, volhoubare platform help jou om die standaard se gestruktureerde benadering te volg.

BS 10012 of ISO 27701?

BS 10012 en ISO 27701 kan beide jou help om aan GDPR en ander privaatheidsregulasies te voldoen deur 'n PIMS te skep. Maar daar is belangrike verskille tussen hulle.

• BS 10012 is 'n alleenstaande standaard. Maar om te bereik ISO 27701, moet jy ook 'n ISO 27001-gebaseerde skep of reeds hê ISMS.
• BS 10012 is GDPR gebaseer, so dit sal jou help om aan GDPR of GDPR-gebaseerde regulasies te voldoen. Maar ISO 27701 is regulasie-agnosties, so dit sal jou help met alle regulasies, insluitend GDPR en GDPR-gebaseerde.

Die skep van 'n BS 10012-gebaseerde PIMS om GDPR-nakoming te bereik

Ons BS 10012-raamwerk sal jou help wanneer jy jou PIMS skep. Dit sal seker maak dat jou PIMS ooreenstem met en aan die behoeftes van elke afdeling van die standaard voldoen. En omdat BS 10012 ooreenstem met GDPR, sal dit jou help om aan GPDR of 'n GDPR-gebaseerde regulasie te voldoen.

Jou PIMS sal BS 10012 volg en jou help om GDPR-voldoening te bereik deur:

Reageer op die groot prentjie

BS 10012 vra jou om 'n groot prentjie te neem van die konteks waarin jou organisasie werk en die persoonlike data-risiko's wat dit in die gesig staar. Dit beteken om 'n duidelike sin te hê vir faktore, insluitend:

• Enige wyer kontekste wat jou organisasie raak
• Wie se persoonlike data wat jy moet beskerm en hoe hulle jou nodig het om dit te beskerm
• Watter regulatoriese, kontraktuele, professionele of ander verpligtinge jy moet nakom
• Hoeveel risiko is jou organisasie bereid om te neem

Jou geheel organisasie se behoeftes om in jou PIMS in te koop. Jou leierskap moet die behoefte daaraan verstaan, en nou betrokke wees by die definiëring en bestuur daarvan. Dit sal jou help om dit in jou breër organisasiekultuur in te sluit en seker te maak dat almal:

• Verstaan ​​dit
• Voldoen daaraan
• Help om voortdurend te verbeter it

Word noukeurig beplan

BS 10012 vereis dat jy jou PIMS noukeurig beplan en ontwerp. Jy sal deur elke aspek dink van hoe daardie data deur jou besigheid vloei, insluitend:

• Waar dit vandaan kom, hoekom jy dit nodig het en hoe jy daarvoor vra
• Hoe jou organisasie daarvan gebruik maak
• Waarvoor dit gebruik word en wie het toegang daartoe
• Watter van jou stelsels stoor en bestuur it
• Indien relevant, hoe dit tussen verskillende jurisdiksies beweeg
• Wanneer, hoe en hoekom dit gestoor of uitgevee word

Sodra jy daardie prosesse verstaan ​​het, sal jy moet kontroleer en dokumenteer hoe elke deel daarvan aan jou gekose standaard voldoen. Jy sal ook enige regulatoriese of ander relevante verpligtinge dek.

Dit sal beteken om deur die privaatheidsimplikasies van feitlik alles wat jou organisasie doen, deur te werk. En dit is nie 'n abstrakte taak nie. Jy sal die werklike wêreld definieer jou privaatheidsdata in gevaar stel gesigte, en vorendag kom met praktiese maniere om hulle almal te bestuur of te hanteer.

Dit sal jou help om duidelike doelwitte vir jou PIMS te stel. Jy sal besluit wat dit moet bereik, hoe dit dit sal bereik, hoe jy die doeltreffendheid daarvan sal meet en hoe jy dit sal aanhou verbeter. Jy sal ook kwessies soos benodigde hulpbronne, begroting, tydsberekeninge en verantwoordelikhede dek.

Met al die ondersteuning wat dit nodig het

Jou PIMS is nie 'n lêer-en-vergeet-dokument nie. BS 10012 vereis dat dit die kern van jou organisasie moet wees. Jy sal dus moet seker maak dat dit die regte hulpbronne het om dit te help oorleef, floreer en ontwikkel. Dit beteken om seker te maak dat jou kollegas:

• Die reg vaardighede om jou PIMS te laat werk
• Duidelike kennis van hoe en hoekom om daaraan te voldoen

Jy sal almal moet bereik wat daaroor moet weet met die inligting wat hulle moet hoor. En jy sal dit moet dokumenteer op maniere waarop hulle maklik toegang kan kry en verstaan.

Hou in gedagte dat die dokumentasie van jou PIMS nogal uitdagend kan wees. Jy sal jou leiding en instruksies op datum moet hou soos jou PIMS ontwikkel. En jy sal seker maak dat net die regte mense toegang daartoe het.

Werk effektief in die praktyk

Ons het gedek hoe BS 10012 vir jou sê om jou te bepaal, te beplan en te dokumenteer PIMS. Al wat baie belangrik is, maar die werklike toets sal kom wanneer dit regstreeks gaan. Dit moet sy waarde wys deur jou te beskerm organisasie se persoonlike data op praktiese, konstruktiewe maniere.

Soos jy implementeer en bestuur jou PIMS, BS 10012 vra jou om seker te maak jy:

• Stel die regte mense aan om toesig te hou oor en bestuur oor jou PIMS, om seker te maak hulle is beide aanspreeklik en verantwoordelik vir die sukses daarvan.
• Verstaan ​​wanneer en hoe jou organisasie persoonlike data gebruik, sodat jy weet watter soort inligting wat dit verwerk en watter soort risiko's wat skep.
• Evalueer enige risiko's vir jou organisasie se persoonlike data en maak seker dat jy duidelike planne in plek het om hulle almal te hanteer.
• Lewer opleiding in en bou bewustheid van jou PIMS, sodat jou kollegas presies weet hoe om enige persoonlike data wat hulle verwerk of teëkom, te hanteer.
• Hou jou PIMS op datum, maak seker dit ontwikkel saam met jou organisasie, hou tred met enige regulatoriese veranderinge en volg die ontwikkeling van beste praktyke.
• Bly altyd regverdig, wettig en deursigtig – om seker te maak dat jy bewus is van en gereed is om enige relevante wette en wetgewing te volg, behoort altyd jou heel eerste stap te wees
• Verkry en verwerk slegs persoonlike data om spesifieke, wettige doelwitte te bereik, en gebruik dit nooit op maniere wat verder gaan of jou nie help om daardie doelwitte te bereik nie
• Maak seker dat jy altyd die regte hoeveelheid data insamel – nie meer of minder as wat jy nodig het om jou spesifieke, wettige doelwitte te bereik nie
• Hou enige persoonlike data jy versamel akkuraat en op datum, en is gereed om dit na te gaan en te verander as jy gevra word om dit te doen
• Stel duidelike, deursigtige limiete vir hoe lank jy vashou en wanneer jy wegdoen met enige persoonlike data wat jy versamel, sodat jy dit nie langer hou as wat jy nodig het nie
• Maak seker jy hou jou persoonlike data veilig, beskerm dit teen enige ongemagtigde of onwettige verwerking, of enige soort verlies, vernietiging of skade
• Maak altyd seker dat jy die regte van die natuurlike mense wie se regte verstaan ​​en ten volle respekteer data wat jy hou en verwerk

Ondergaan gereelde evaluering

'n Onondersoekte PIMS is nie die moeite werd om te hê nie. Jy sal joune gereeld moet ondersoek, hardloop interne oudits met beplande tussenposes en wanneer groot veranderinge plaasvind. Jy moet seker maak dat jou ouditeure onpartydig is en dat jy hul aanbevelings volg.

En natuurlik sal jy enige dokument moet dokumenteer oudit. Dit is gedeeltelik vir jou eie gebruik en gedeeltelik om jou te help met eksterne oudits. Eksterne ouditeure sal wil sien dat jy BS 10012 behoorlik en volledig volg.

Jy moet ook seker maak dat jou senior bestuurders gereeld jou PIBS hersien. Hulle moet na alles kyk van enige eksterne faktore wat dit kan beïnvloed, tot data oortredings en sekuriteitskwessies wat werklik plaasgevind het.

Voortdurend ontwikkel en verbeter

Miskien sien jy dat 'n deel van jou PIMS nie voldoen aan 'n standaard of regulasie wat jy volg nie. Miskien skep eksterne of interne veranderinge 'n nuwe persoonlike datarisiko. Miskien verander jou organisasie fokus, en jou PIMS moet daarmee saam verander.

Wat ook al die rede vir verandering, BS 10012 vra jou om seker te maak dat jy dit opneem, daarop reageer en aanteken hoe jy daarop opgetree het. Jou PIMS moet dit maklik maak om beide te vlag en te neem regstellende stappe, en maniere te vind en op te tree om dit meer doeltreffend en doeltreffend te maak.