EU GDPR roem 'n nuwe era van databeskerming waar tikblokkie-nakoming vervang word deur begrip en aanspreeklikheid.
Terug in Januarie het Elizabeth Denham, die Britse inligtingskommissaris, 'n toespraak oor GDPR en aanspreeklikheid aan die Instituut van Geoktrooieerde Rekenmeesters gelewer.
Die boodskap was duidelik:
“Die nuwe wetgewing skep 'n onus op maatskappye om die risiko's wat hulle vir ander skep, te verstaan, en om daardie risiko's te versag. Dit gaan daaroor om weg te beweeg daarvan om die wet as ’n boks-tikoefening te sien, en eerder om te werk aan ’n raamwerk wat gebruik kan word om ’n kultuur van privaatheid te bou wat ’n hele organisasie deurdring.”
Britse inligtingskommissaris
Die GDPR regulasie vervang die huidige Wet op Databeskerming in slegs 10 maande tyd. Dit fokus op jou as 'n databeheerder van Persoonlike inligting (PII) wat verband hou met kliënte, verkoopsvooruitsigte en personeel. Dit fokus ook op jou as dataverwerker van ander waardevolle data.
Die omvang van GDPR en die implikasies daarvan vir sakeondernemings van alle groottes begin net vir baie tuis raak.
Omdat jy nie dataprivaatheid kan hê sonder databeskerming nie en jy kan nie databeskerming hê nie sonder inligtingsekuriteit. Dieper as dit strek die GDPR-vereistes oor prosesse, mense en tegnologie, wat deur die hele organisasie strek en vir baie 'n kulturele seeverandering, of inderdaad 'C'-verandering, vereis.
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
Terwyl Denham na raamwerke verwys, risiko's versag en kulture skep, word daar tans geen erken nie GDPR 'raamwerk' om te volg of inderdaad 'n sertifisering wat aan reguleerders kan demonstreer en kliënte wat jy voldoen.
Die voordeel om 'n raamwerk te volg, is dat die bewese struktuur reeds gedefinieer is, wat 'n enorme hoeveelheid tyd bespaar. En, met die tyd wat min is, hoekom 'n raamwerk bou as daar reeds iets is wat jou 'n beduidende pad daarheen sal bring?
sommige haal NIST Cyber Security and Cyber Essentials aan as bruikbare benaderings. Ongelukkig is dit op sigself nie voldoende om aan regulatoriese vereistes oor inligtingsekuriteit vir GDPR te voldoen nie.
Maar ISO 27001 nie voldoen aan baie van die GDPR-vereistes en is 'n oorkoepelende inligtingsekuriteitbestuurstelsel (ISMS) bestuursraamwerk. Dit is ook die internasionaal erkende beste praktyk ISMS-raamwerk, die enigste een wat proses, mense en tegnologie dek in die versagting van risiko's rondom alle waardevolle inligtingsbates, byvoorbeeld IP en finansies, en nie net PII nie.
Deur ISO 27001 te gebruik, kan jy jou GDPR-uitdaging in 'n geleentheid omskep.
Neem jou organisasie van suiwer voldoening aan die regulatoriese vereistes om 'n ekstern geakkrediteerde ISMS te demonstreer verg net 'n bietjie meer moeite. Dit sal egter groter organisatoriese voordele lewer in terme van nuwe sakegeleenthede, versterkte dataprivaatheid en inligtingsekuriteit regdeur jou eie organisasie en dié van jou voorsieningsketting en uiteindelik verminderde risiko's.
Teen Mei 2018 moet organisasies voldoening aan BBP of risiko nie net duur oortredings nie, maar regulatoriese ondersoeke en 'n veel meer bestraffende toepassing van boetes. Die UK Information Commissioners Office, help organisasies om voor te berei vir GDPR met 'n stel eenvoudige self-evaluering gereedskapstelle om gereedheid vir GDPR te peil in terme van databeskerming, inligtingsekuriteit en bestuur van rekords.
Reguleerders sal kyk om te sien dat jy die datarisiko's verstaan en bestuur het, gedokumenteerde prosedures in plek het en volledige personeelbewustheid en betrokkenheid by dataprivaatheid. Deur ISMS.online te gebruik, kan jy jou GDPR-voorbereiding versnel om die hangende spertye te haal.
En as jy gereed is om nog 'n paar stappe te neem, kan jy 'n bou ISO 27001-belynde ISMS en eksterne sertifisering te bereik om maklik vertroue in jou en jou voorsieningsketting te demonstreer.
