ISO 27701 - Il Nuovo Standard sulla Privacy dei Dati
Nel 2018, il GDPR è stato implementato in tutta l'UE e ha influenzato le considerazioni sulla privacy dei dati che le organizzazioni devono offrire ai propri clienti, dipendenti, partner e potenziali clienti.
Da questo lancio legislativo estremamente significativo, non vi è stata alcuna vera guida su come un'organizzazione possa rimanere conforme ai requisiti del GDPR all'interno dei sistemi di gestione esistenti.
ISO 27001:2013 include requisiti di sicurezza che possono essere implementati per proteggere i dati ma c'era comunque un divario tra questo standard e la conformità al GDPR.
L'efficacia di un sistema di gestione della sicurezza delle informazioni è limitata nella garanzia alla conformità al GDPR e alle altre normative sulla privacy dei dati. L'ISO/IEC ha identificato il problema e ha composto un nuovo standard che si basa sul SGSI implementato per migliorare i requisiti e i controlli esistenti e colmare il divario tra il SGSI e la conformità della privacy dei dati.
ISO 27701:2019 è il nuovo standard. NQA ha recentemente registrato un webinar che dà una prima occhiata su come implementare questo standard.
Per altre organizzazioni la cui funzione principale può essere la raccolta o l'hosting di grandi quantità di dati considerati informazioni personali identificabili (PII), garantire la conformità con i loro requisiti legislativi per la privacy dei dati è estremamente importante per la loro reputazione.
La portata del regolamento va ben oltre i confini dell'UE. Alcuni esempi di alto profilo di violazione dei dati:
I vantaggi dell'implementazione di un SGSI sono ben documentati. Qui delineamo alcune delle implicazioni più ampie per un'organizzazione per l'implementazione dell'estensione tecnica PIMS.
ISO 27001:2013 fornisce un quadro in base al quale un'organizzazione può identificare la legislazione sulla sicurezza delle informazioni applicabile alle sue attività, prodotti, servizi e rischi identificati. Tale quadro si estende per fornire i mezzi per conformarsi ai requisiti normativi identificati.
ISO 27701:2019 è in grado di dare maggiore chiarezza e sicurezza alla conformità dei requisiti legislativi e regolamentari grazie alla specifica attenzione alle aree tematiche.
I rischi e i problemi di sicurezza delle informazioni identificati nelle ISO 27001 e ISO 27701 forniscono i mezzi con cui un'organizzazione può comunicare e consultare i propri rischi per la sicurezza delle informazioni. Il cui output potrebbe:
Implementando strategie di miglioramento della sicurezza delle informazioni e attraverso l'effettiva attuazione di un sistema documentato di gestione della sicurezza delle informazioni, è possibile realizzare significativi risparmi finanziari, senza dimenticare l'effetto che la riduzione degli incidenti può avere sul morale dei dipendenti, dei clienti e di altri stakeholder chiave.
Man mano che gli incidenti di sicurezza delle informazioni e i relativi rischi associati vengono eliminati o le passività vengono ridotte, offrendo maggiore stabilità all'azienda.
Infine, una cosa che non può essere ignorata è il vantaggio reputazionale che arriverà con la certificazione ISO 27701. Mostrare a partner, clienti, concorrenti e potenziali clienti che si è impegnati a dimostrare la conformità ai requisiti sulla privacy dei dati non può essere sottovalutato.
Nell'era dell'informazione - dimostrare che si è impegnati nella privacy dei dati dovrebbe far parte del tessuto di ogni impresa. Laddove il trattamento delle informazioni costituisca una significativa considerazione procedurale, avere la certezza di essere conformi alle normative è d'obbligo. Le conseguenze dell'inosservanza possono essere gravi.
Se hai bisogno di un preventivo o di maggiori informazioni sulla certificazione ISO 27701 clicca qui.
ISO 27001:2013 include requisiti di sicurezza che possono essere implementati per proteggere i dati ma c'era comunque un divario tra questo standard e la conformità al GDPR.
L'efficacia di un sistema di gestione della sicurezza delle informazioni è limitata nella garanzia alla conformità al GDPR e alle altre normative sulla privacy dei dati. L'ISO/IEC ha identificato il problema e ha composto un nuovo standard che si basa sul SGSI implementato per migliorare i requisiti e i controlli esistenti e colmare il divario tra il SGSI e la conformità della privacy dei dati.
ISO 27701:2019 è il nuovo standard. NQA ha recentemente registrato un webinar che dà una prima occhiata su come implementare questo standard.
Che cosa sono i dati personali?
I dati personali sono informazioni relative a un individuo identificato o identificabile. Ciò che identifica un individuo potrebbe essere semplice come un nome o un numero o potrebbe includere altri identificatori come un indirizzo IP o cookie o altri fattori come informazioni personali (ad esempio indirizzo, numero di telefono o immagine).
Anche se un individuo è identificato o identificabile, direttamente o indirettamente, dai dati che stai elaborando, non si tratta di dati personali a meno che non si riferiscano all'individuo. Quando si considerano le informazioni in riferimento ad un individuo, è necessario tenere conto di una serie di fattori, tra cui il contenuto delle informazioni, lo scopo o gli scopi per cui le si sta elaborando e il probabile impatto o effetto di tale elaborazione sull'individuo.
Esempi di dati personali includono:
- Nome e cognome
- Indirizzo di casa
- Indirizzo e-mail come nome.cognome@azienda.com
- Numero della Carta d'Identità
- Dati posizione (ad esempio la funzione dati posizione su un telefono cellulare)
- Indirizzo IP (Internet Protocol)
- ID cookie
- Dati ospedale/paziente
Per altre organizzazioni la cui funzione principale può essere la raccolta o l'hosting di grandi quantità di dati considerati informazioni personali identificabili (PII), garantire la conformità con i loro requisiti legislativi per la privacy dei dati è estremamente importante per la loro reputazione.
Violazione
Dall'arrivo del GDPR un certo numero di organizzazioni di alto profilo hanno infranto la legislazione e ciò ha portato a multe che ammontano a miliardi di euro. Ciò includeva non solo organizzazioni con sede nell'UE, ma aziende con affari commerciali all'interno dell'UE che hanno sede al di fuori dell'UE.La portata del regolamento va ben oltre i confini dell'UE. Alcuni esempi di alto profilo di violazione dei dati:
- Marriot Hotels: Criminal Activity ha preso di mira il sistema di prenotazione delle catene dando accesso a nomi e dettagli di pagamento. 383 milioni di registrazioni violate. Ammenda GDPR per un totale di circa €100 milioni.
- Google: mancata risposta alle richieste dei clienti in merito al trattamento delle informazioni personali. Altri reati registrati tra cui il non avere una base legale per indirizzare la pubblicità in base ai profili utente. Circa €44 milioni di multa.
Vantaggi del PIMS
Chiaramente, il "bastone" è evidente e dannoso per un'organizzazione; ma per quanto riguarda la carota? I vantaggi associati all'implementazione di una gestione delle informazioni sulla privacy sono significativi. Inoltre, se un'organizzazione ha già un SGSI funzionante, l'implementazione del PIMS è un processo relativamente semplice poiché si basa sui controlli dell'Annex A che sono previsti durante l'implementazione del SGSI.I vantaggi dell'implementazione di un SGSI sono ben documentati. Qui delineamo alcune delle implicazioni più ampie per un'organizzazione per l'implementazione dell'estensione tecnica PIMS.
ISO 27001:2013 fornisce un quadro in base al quale un'organizzazione può identificare la legislazione sulla sicurezza delle informazioni applicabile alle sue attività, prodotti, servizi e rischi identificati. Tale quadro si estende per fornire i mezzi per conformarsi ai requisiti normativi identificati.
ISO 27701:2019 è in grado di dare maggiore chiarezza e sicurezza alla conformità dei requisiti legislativi e regolamentari grazie alla specifica attenzione alle aree tematiche.
I rischi e i problemi di sicurezza delle informazioni identificati nelle ISO 27001 e ISO 27701 forniscono i mezzi con cui un'organizzazione può comunicare e consultare i propri rischi per la sicurezza delle informazioni. Il cui output potrebbe:
- Ridurre in modo significativo i carichi di lavoro sulla conformità eliminando la necessità di supportare più certificazioni
- Aumentare la fiducia tra organizzazioni e clienti dimostrando la conformità alle leggi sulla privacy dei dati
- Generare prove che i responsabili della protezione dei dati possano fornire al senior management e ai membri del consiglio di amministrazione per mostrare i loro progressi nella conformità alle normative sulla privacy
- Aumentare le opportunità per le imprese e il commercio attraverso flussi di dati transfrontalieri
Implementando strategie di miglioramento della sicurezza delle informazioni e attraverso l'effettiva attuazione di un sistema documentato di gestione della sicurezza delle informazioni, è possibile realizzare significativi risparmi finanziari, senza dimenticare l'effetto che la riduzione degli incidenti può avere sul morale dei dipendenti, dei clienti e di altri stakeholder chiave.
Man mano che gli incidenti di sicurezza delle informazioni e i relativi rischi associati vengono eliminati o le passività vengono ridotte, offrendo maggiore stabilità all'azienda.
Infine, una cosa che non può essere ignorata è il vantaggio reputazionale che arriverà con la certificazione ISO 27701. Mostrare a partner, clienti, concorrenti e potenziali clienti che si è impegnati a dimostrare la conformità ai requisiti sulla privacy dei dati non può essere sottovalutato.
Nell'era dell'informazione - dimostrare che si è impegnati nella privacy dei dati dovrebbe far parte del tessuto di ogni impresa. Laddove il trattamento delle informazioni costituisca una significativa considerazione procedurale, avere la certezza di essere conformi alle normative è d'obbligo. Le conseguenze dell'inosservanza possono essere gravi.
Se hai bisogno di un preventivo o di maggiori informazioni sulla certificazione ISO 27701 clicca qui.