Παρασκευή 2 Φεβρουαρίου 2018

Η συμβολή του ISO 27001 στην συμμόρφωση του GDPR



Ο νέος Ευρωπαϊκός Κανονισμός Προστασίας Προσωπικών Δεδομένων (General Data Protection Regulation – GDPR) με υποχρεωτική εφαρμογή από την 25η Μαΐου 2018, καθορίζει ένα νέο νομικό πλαίσιο για την διακυβέρνηση της ασφάλειας των προσωπικών δεδομένων για τους οργανισμούς της Ευρωπαϊκής Ένωσης (European Commission, 2018). 

Ο κανονισμός τυποποιεί τους κανόνες στην ΕΕ, ώστε να εξασφαλιστεί αυστηρότερος έλεγχος των οργανισμών που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, με αυστηρά πρόστιμα για μη συμμόρφωση. Το πρότυπο ISO 27001:2013 ασχολείται με την ασφάλεια της πληροφορίας (International Organization for Standardization, 2018) και έχει αρκετά κοινά σημεία με τον κανονισμό GDPR.
Μπορεί η συμμόρφωση με το πρότυπο ISO 27001 να διασφαλίσει τη συμμόρφωση με τις απαιτήσεις GDPR;
Για να απαντηθεί αυτό το ερώτημα θα πρέπει να κατανοηθεί πως ορίζονται τα προσωπικά δεδομένα στο GDPR. Όπως και στην ισχύουσα νομοθεσία περί προστασίας δεδομένων (ΑΠΔΠΧ, 2018), τα προσωπικά δεδομένα ορίζονται ως οποιαδήποτε πληροφορία που μπορεί να ταυτοποιήσει ένα άτομο, άμεσα ή έμμεσα, από τα εν λόγω δεδομένα ή το σύνολο δεδομένων. Αυτό σημαίνει ότι οποιαδήποτε ονόματα, αριθμοί αναγνώρισης ή τοποθεσίες που μπορούν να χρησιμοποιηθούν για την αναγνώριση ενός ατόμου συνιστούν δεδομένα προσωπικού χαρακτήρα. Μεμονωμένα, τέτοια πληροφορία μπορεί να μην προσδιορίζει άτομο, δηλ. ένα όνομα χρήστη ή επάγγελμα αλλά όταν χρησιμοποιείται συνδυαστικά με διεύθυνση ή/και ταχυδρομικό κώδικα ή/και επώνυμο, αυτό γίνεται προσωπικό δεδομένο, αφού μπορεί να ταυτοποιήσει πρόσωπο. Διευθύνσεις IP, cookies, γεωχωρικών δεδομένα ή και άλλων δεδομένα που εξάγονται από προγράμματα περιήγησης του διαδικτύου ή κινητές συσκευές, μπορούν να θεωρηθούν ως προσωπικά δεδομένα εφόσον μπορεί να προσδιοριστεί ένα πρόσωπο, ως αποτέλεσμα της επεξεργασίας τους. Έχοντας αυτούς τους ορισμούς ξεκάθαρους στη συνέχεια ακολουθούν παραδείγματα συσχετισμού του προτύπου ISO 27001 και του κανονισμού GDPR.
Πώς υποστηρίζει το πρότυπο ISO 27001 την προστασία προσωπικών δεδομένων και πώς σχετίζεται με τις απαιτήσεις του κανονισμού GDPR;
Στο παράρτημα Α, του προτύπου ISO 27001 περιγράφονται οι στόχοι και τα σημεία ελέγχου, που απαιτεί το πρότυπο. Ακολουθούν παραδείγματα τέτοιων σημείων ελέγχου του προτύπου 27001 που μπορούν να χρησιμοποιηθούν για την υποστήριξη συμμόρφωσης με τον κανονισμό GDPR.
Το σημείο ελέγχου Α.18.1.4 του προτύπου ISO 27001, ορίζει την προστασία Προσωπικών Δεδομένων (ΠΔ) και την προστασία Πληροφοριών Προσωπικής Ταυτοποίησης (ΠΠΤ) και απαιτεί από τους οργανισμούς να προστατεύουν τις ΠΠΤ σύμφωνα με τις σχετικές νομοθετικές και κανονιστικές διατάξεις. Από το 2018, ο κανονισμός GDPR πλέον θα καθορίζει ειδικότερα την προστασία αυτή.
Το πρότυπο ISO 27001 συνιστά την εφαρμογή πολιτικής προστασίας δεδομένων που θα λαμβάνει υπ’ όψιν της συγκεκριμένες νομικές ή άλλες απαιτήσεις, υποστηριζόμενη από συγκεκριμένες διεργασίες, για παράδειγμα, τήρηση αρχείου για συγκεκριμένο χρονικό διάστημα, και καταστροφή μετά το πέρας της χρήσης. Συνεπώς, εφόσον η προστασία των ΠΔ και ΠΠΤ και η συμμόρφωση με τη νομοθεσία αποτελεί ένα βασικό σημείο ελέγχου στο ISO 27001, μπορεί να υποστηριχθεί και η συμμόρφωση με το GDPR.
Οι κρυπτογραφικοί μηχανισμοί (A.10.1) και οι σχετικές τεχνολογίες μπορούν να χρησιμοποιηθούν για την προστασία προσωπικών πληροφοριών είτε αυτές βρίσκονται αποθηκευμένες ή κατά την μεταφορά τους σε δίκτυα. Η χρήση της κρυπτογράφησης ή/και ψευδωνυμοποίησης μπορεί να διατηρήσει την εμπιστευτικότητα των ΠΔ και ΠΠΤ, είτε στο δίκτυο, είτε σε κινητές συσκευές εξυπηρετώντας και τις απαιτήσεις του GDPR.
Ο κανονισμός GDPR ορίζει ρόλους «υπεύθυνων επεξεργασίας δεδομένων» (Controllers) και «επεξεργαστών δεδομένων» (Processors) για τις διεργασίες, υποχρεώνοντας τους πρώτους να συνεργάζονται μόνο με τους επεξεργαστές που παρέχουν επαρκή εγγύηση για τους ελεγκτικούς μηχανισμούς στη διαχείριση ΠΔ. Μια παρόμοια προσέγγιση χρησιμοποιείται στο πρότυπο ISO 27001 για τη διαχείριση προμηθευτών και τρίτων (Α.15 Σχέσεις Προμηθευτών). Με την αξιολόγηση των επεξεργαστών δεδομένων ή μια εγκεκριμένη πιστοποίησή τους, οι υπεύθυνοι επεξεργασίας δεδομένων μπορούν να υποστηρίξουν την κανονιστική συμμόρφωση. Τέτοιες απαιτήσεις μπορούν να τεκμηριώνονται στις συμφωνίες/συμβάσεις μεταξύ των δύο μερών.
Ένα αξιοσημείωτο σημείο ελέγχου για το πρότυπο ISO 270001 αφορά την διαχείριση της επιχειρηματικής συνέχειας (A.17), όπου κατάλληλοι μηχανισμοί και συστήματα μπορούν να χρησιμοποιηθούν για την εξασφάλιση της διαρκούς διαθεσιμότητας των ΠΔ στις διεργασίες που απαιτείται, ικανοποιώντας και το GDPR.
Προχωρώντας ένα βήμα παραπάνω, αξίζει να σημειωθεί ότι η δημιουργία ενός ολοκληρωμένου συστήματος διαχείρισης της ασφάλειας των πληροφοριών (Information Security Management System - ISMS) επιτρέπει στους οργανισμούς που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, να αποδεικνύουν ότι οι κίνδυνοι για τα προσωπικά δεδομένα επανεξετάζονται, και οι σχετικές διαδικασίες ενημερώνονται και βελτιώνονται συνεχώς. Επιπλέον, ο ενεργός ρόλος της διοίκησης για την διαμόρφωση της εταιρικής κουλτούρας, η θέσπιση του «υπευθύνου ασφαλείας», η διαμόρφωση διαδικασιών συνεχούς παρακολούθησης και βελτίωσης, κ.α., συντελούν αποφασιστικά στην στήριξη ενός τέτοιου συστήματος. Ένα εδραιωμένο ISMS είναι το ιδανικό πλαίσιο για τη διαχείριση των κινδύνων για όλα τα περιουσιακά στοιχεία της επιχείρησης, συμπεριλαμβανομένων των ΠΔ και μπορεί να παρέχει τη συνεχή διαβεβαίωση ότι ο οργανισμός λαμβάνει σοβαρά υπόψη τις προδιαγραφές ISO 27001 και GDPR.
Συμπερασματικά η συμμόρφωση με το πρότυπο ISO 27001 και τον κανονισμό GDPR μπορεί να λειτουργήσει συμπληρωματικά. Αν και η συμμόρφωση με το ISO 27001 δεν είναι υποχρεωτική, υπάρχουν σαφέστατα πεδία συνέργειας μιας και τα δύο πλαίσια μπορούν να συμβάλλουν στην ασφάλεια της πληροφορίας και των ΠΔ για κάθε οργανισμό από διαφορετική σκοπιά το καθένα.