Opnåelse af lovgivningsmæssig overensstemmelse med BS 10012

BS 10012 viser dig, hvordan du bygger en stand-alone Personal Information Management System (PIMS). Dine PIMS vil hjælpe din organisation med at overholde GDPR eller relaterede regler, ligesom Sydafrikas POPIA. Vores forenklede, sikre, bæredygtige platform hjælper dig med at følge standardens strukturerede tilgang.

BS 10012 eller ISO 27701?

BS 10012 og ISO 27701 kan både hjælpe dig med at overholde GDPR og andre regler om privatliv ved at oprette en PIMS. Men der er vigtige forskelle mellem dem.

• BS 10012 er en stand-alone standard. Men at opnå ISO 27701, skal du også oprette eller allerede have en ISO 27001-baseret ISMS.
• BS 10012 er GDPR-baseret, så den hjælper dig med at overholde GDPR eller GDPR-baserede regler. Men ISO 27701 er regulerings-agnostisk, så den hjælper dig med alle reguleringer, inklusive GDPR og GDPR-baserede.

Oprettelse af et BS 10012-baseret PIMS for at opnå GDPR-overholdelse

Vores BS 10012-rammeværk vil hjælpe dig, når du opretter dine PIMS. Det vil sørge for, at din PIMS stemmer overens med og opfylder behovene i hver del af standarden. Og fordi BS 10012 stemmer overens med GDPR, vil det hjælpe dig med at overholde GPDR eller en GDPR-baseret forordning.

Din PIMS følger BS 10012 og hjælper dig med at opnå GDPR-overholdelse ved at:

Reagerer på det store billede

BS 10012 beder dig om at tage et stort billede af den kontekst, din organisation arbejder i, og de personlige datarisici, den står over for. Det betyder at have en klar fornemmelse af faktorer, herunder:

• Enhver bredere sammenhæng, der påvirker din organisation
• Hvis personlige data, du skal beskytte og hvordan de har brug for dig til at beskytte det
• Hvilke lovgivningsmæssige, kontraktmæssige, professionelle eller andre forpligtelser skal du følge
• Hvor stor risiko er din organisation villig til at påtage sig

Hele din organisationens behov at købe ind i din PIMS. Dit lederskab bør forstå behovet for det og være tæt involveret i at definere og administrere det. Det vil hjælpe dig med at integrere det i din bredere organisationskultur og sikre, at alle:

• Forstår det
• Overholder det
• Hjælper til at løbende forbedre it

At være nøje planlagt

BS 10012 kræver, at du omhyggeligt planlægger og designer dine PIMS. Du vil gennemtænke alle aspekter af, hvordan disse data flyder gennem din virksomhed, herunder:

• Hvor det kommer fra, hvorfor du har brug for det, og hvordan du beder om det
• Hvordan din organisation gør brug af det
• Hvad det bruges til, og hvem kan få adgang til det
• Hvilken af ​​dine systemer gemmer og administrerer it
• Hvis det er relevant, hvordan det bevæger sig mellem forskellige jurisdiktioner
• Hvornår, hvordan og hvorfor det gemmes eller slettes

Når du har forstået disse processer, skal du kontrollere og dokumentere, hvordan hver del af dem overholder din valgte standard. Du vil også dække eventuelle regulatoriske eller andre relevante forpligtelser.

Det vil betyde, at du arbejder gennem privatlivsimplikationerne af stort set alt, hvad din organisation gør. Og det er ikke en abstrakt opgave. Du vil definere den virkelige verden risikerer dine privatlivsdata ansigter og finde på praktiske måder at håndtere eller håndtere dem alle på.

Det hjælper dig med at opstille klare mål for dine PIMS. Du bestemmer, hvad det skal opnå, hvordan det vil opnå det, hvordan du vil måle dets effektivitet, og hvordan du vil blive ved med at forbedre det. Du vil også dække spørgsmål som nødvendige ressourcer, budget, timings og ansvar.

At have al den støtte, den har brug for

Din PIMS er ikke et fil-og-glem-dokument. BS 10012 kræver, at det er kernen i din organisation. Så du skal sørge for, at den har de rigtige ressourcer bag sig for at hjælpe den med at overleve, trives og udvikle sig. Det betyder at sikre, at dine kolleger har:

• Det rigtige kompetencer for at få din PIMS til at fungere
• Klar viden om, hvordan og hvorfor den skal overholdes

Du skal nå alle, der har brug for at vide om det, med de oplysninger, de har brug for at høre. Og du bliver nødt til at dokumentere det på måder, de nemt kan få adgang til og forstå.

Husk på, at det kan være ret udfordrende at dokumentere dine PIMS. Du bliver nødt til at holde din vejledning og instruktioner opdateret, efterhånden som din PIMS udvikler sig. Og du vil sikre dig, at kun de rigtige personer kan få adgang til dem.

Arbejder effektivt i praksis

Vi har dækket, hvordan BS 10012 fortæller dig, at du skal afgrænse, planlægge og dokumentere din BILLEDER. Alt det er meget vigtigt, men dens rigtige test kommer, når den går live. Det skal vise sit værd ved at beskytte din organisationens personoplysninger på praktiske, konstruktive måder.

Som du implementerer og administrere dine PIMS, BS 10012 beder dig om at sikre dig, at du:

• Udnævn de rigtige personer til at overvåge og administrere dine PIMS, og sørg for, at de både er ansvarlige og ansvarlige for dens succes.
• Forstå, hvornår og hvordan din organisation bruger personlige data, så du ved, hvilken slags oplysninger, den behandler, og hvilken slags risici der skaber.
• Vurder evt risici for din organisations persondata og sørg for, at du har klare planer for at håndtere dem alle.
• Deliver træning i og skabe opmærksomhed af dine PIMS, så dine kollegaer ved præcis, hvordan de skal håndtere alle personlige data, de behandler eller støder på.
• Hold dit PIMS opdateret, og sørg for, at det udvikler sig med din organisation, holder trit med eventuelle lovgivningsmæssige ændringer og følger udviklingen af ​​bedste praksis.
• Forbliv altid retfærdig, lovlig og gennemsigtig – at sikre, at du er opmærksom på og klar til at følge alle relevante love og love, bør altid være dit allerførste skridt
• Indhent og behandle kun personoplysninger for at opnå specifikke, legitime mål, og brug dem aldrig på måder, der går ud over eller ikke hjælper dig med at nå disse mål
• Sørg for, at du altid indsamler den rigtige mængde data – hverken mere eller mindre, end du har brug for for at nå dine specifikke, legitime mål
• Behold evt Personlig data du indsamler nøjagtige og opdaterede, og er klar til at tjekke og ændre det, hvis du bliver bedt om det
• Sæt klare, gennemsigtige grænser for, hvor længe du holder på, og hvornår du bortskaffer de personlige data, du indsamler, så du ikke opbevarer dem i længere tid, end du har brug for
• Sørg for at holde dine personlige data sikre, beskytte dem mod enhver uautoriseret eller ulovlig behandling eller enhver form for tab, ødelæggelse eller beskadigelse
• Sørg altid for, at du forstår og fuldt ud respekterer rettighederne for de naturlige mennesker, hvis data, du opbevarer og behandler

Gennemgår løbende evaluering

En ikke-undersøgt PIMS er ikke værd at have. Du bliver nødt til at undersøge din regelmæssigt, mens du løber interne revisioner med planlagte intervaller, og når der sker større ændringer. Du skal sikre dig, at dine revisorer er upartiske, og at du følger deres anbefalinger.

Og selvfølgelig skal du dokumentere evt revision. Det er delvist til eget brug og delvist for at hjælpe dig med eksterne revisioner. Eksterne revisorer vil gerne se, at du korrekt og fuldt ud følger BS 10012.

Du bør også sørge for, at dine seniorledere regelmæssigt gennemgår dine PIMS. De bør se på alt fra eksterne faktorer, der kan påvirke det, til overtrædelse af data og sikkerhedsproblemer, der rent faktisk har fundet sted.

Konstant udvikling og forbedring

Måske ser du, at en del af dit PIMS ikke overholder en standard eller regulering, du følger. Måske skaber eksterne eller interne ændringer en ny persondatarisiko. Måske ændrer din organisation fokus, og din PIMS skal ændres med det.

Uanset årsagen til ændringen, pålægger BS 10012 dig at sørge for, at du optager det, handler på det og registrerer, hvordan du har handlet på det. Dine PIMS skal gøre det nemt at både flage og tage korrigerende handlinger, og finde og handle på måder at gøre det mere effektivt og effektivt.