Dit is alles baie goed om goeie bedoelings te hê om persoonlike data veilig te hou, maar om werklik te voldoen moet organisasies verseker dat hulle toepaslike tegniese en organisatoriese maatreëls gebruik.
Met die eerste werklike verandering aan die Databeskermingswet in 20 jaar, kom ons kyk na wat die Algemene Databeskermingsregulasie (BBP) sê oor sekuriteitsbeginsels.
Die sekuriteit van persoonlike data is niks nuuts nie. Die data Protection Wet (DPA) 1998 beveel aan dat beste praktyk die beoordeling van die risiko vir inligting en die instel van toepaslike sekuriteitsmaatreëls insluit. Maar met die koms van GDPR is hierdie aanbevelings nou 'n wetlike vereiste.
In die nuwe regulasies praat artikel 5(1)(f) oor integriteit en vertroulikheid van persoonlike data, nou bekend as die GDPR se 'sekuriteitsbeginsel':
"Verwerk op 'n wyse wat toepaslike sekuriteit van die persoonlike data verseker, insluitend beskerming teen ongemagtigde of onwettige verwerking en teen toevallige verlies, vernietiging of skade, met behulp van toepaslike tegniese of organisatoriese maatreëls."
Die doel van die sekuriteitsbeginsel is om te verseker dat jou organisasie se sekuriteitsmaatreëls help om te verhoed dat die persoonlike data wat jy besit verlore, gesteel of op enige manier in gevaar gestel word. So wanneer ons praat oor inligting-sekuriteit, sluit ons ook kuber-, fisieke en organisatoriese sekuriteit in.
Die inligtingskommissaris se kantoor (ICO) beveel aan dat die sekuriteitsbeginsel saam met die GDPR se artikel 32, spesifiek artikel 32(1) oorweeg word.
“Met inagneming van die stand van die kuns, die koste van implementering en die aard, omvang, konteks en doeleindes van verwerking sowel as die risiko van wisselende waarskynlikheid en erns vir die regte en vryhede van natuurlike persone, sal die kontroleerder en die verwerker toepaslike tegniese en organisatoriese maatreëls te implementeer om 'n vlak van sekuriteit te verseker wat geskik is vir die risiko."
As organisasies en individue versuim om te volg inligting-sekuriteit prosesse en beginsels, kan die risiko vir eiendom en lewens aansienlik wees. Enkele voorbeelde van skade sluit in:
Bowenal is inligtingsekuriteit 'n wetlike vereiste wat jou ook help om goeie databestuur te beoefen en aan jou ketting en kliënte wat jy kan vertrou.
Daarbenewens, hoe meer werk jy hier insit, hoe beter, aangesien die ICO die tegniese en organisatoriese maatreëls beoordeel wat jy in plek het wanneer jy 'n boete oorweeg - as die ergste sou gebeur.
ISMS.online sal jou tyd en geld spaar vir ISO 27001-sertifisering en dit maklik maak om te onderhou.
Bestuurder van inligtingsekuriteit, Kamperfoelie Gesondheid
Met ISMS.online is uitdagings rondom weergawebeheer, beleidsgoedkeuring en beleiddeel iets van die verlede.
Soos ons reeds aangeroer het, sluit die sekuriteitsbeginsels elke aspek van persoonlike dataverwerking (kuber en fisies) in.
Die sekuriteitsmaatreëls sal dus verseker dat persoonlike data slegs deur gemagtigde persone verkry kan word vir die doel van openbaarmaking of uitvee. Die maatreëls sal seker maak dat die data akkuraat en volledig is en toeganklik en bruikbaar bly. Dit verwys na die 'vertroulikheid, integriteit en beskikbaarheid'-beginsel.
Alhoewel die GDPR nie spesifieke aanbevelings of definisies van jou sekuriteitsmaatreëls maak nie, word daar van jou organisasie verwag om 'n 'gepaste' vlak van sekuriteit te implementeer. Om te bepaal wat as geskik vir jou geag word, moet jy eers die risiko meet en die waarde van die persoonlike data assesseer.
'n Organisatoriese maatreël sal die uitvoering van 'n inligting risiko-evaluering. Ook die bou van 'n kultuur van inligting en kuber-sekuriteit in jou organisasie is noodsaaklik om die beginsels op 'n daaglikse basis deur te voer. Dit kan die verantwoordelikheid wees van a Databeskermingsbeampte (DPO) of 'n ander personeellid wat verantwoordelik gemaak word vir die kommunikasie van sekuriteitsbewustheid.
Die ICO stel ook voor dat u die volgende insluit wanneer u stappe doen om aan die sekuriteitsbeginsel te voldoen:
- koördinasie tussen sleutelpersone in jou organisasie (bv. die sekuriteitsbestuurder sal moet weet oor die ingebruikneming en wegdoening van enige IT-toerusting);
- toegang tot persele of toerusting wat aan enigiemand buite jou organisasie gegee word (bv. vir rekenaaronderhoud) en die bykomende sekuriteitsoorwegings wat dit sal genereer;
- besigheids kontinuïteit reëlings wat identifiseer hoe jy enige persoonlike data wat jy hou sal beskerm en herwin; en
- periodieke kontrole om te verseker dat u sekuriteitsmaatreëls toepaslik en op datum bly.
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
Die eerste stap om aan die beginsel van vertroulikheid, integriteit en beskikbaarheid te voldoen, is om te weet waar al jou persoonlike data is. Gelukkig ISMS.online het 'n oplossing vir wat.
100% van ons gebruikers behaal die eerste keer ISO 27001-sertifisering