EU GDPR hylder en ny æra af databeskyttelse, hvor afkrydsningsfelt-overholdelse erstattes af forståelse og ansvarlighed.
Tilbage i januar holdt Elizabeth Denham, den britiske informationskommissær, en tale om GDPR og ansvarlighed til Institute of Chartered Accountants.
Budskabet var klart:
"Den nye lovgivning pålægger virksomhederne et ansvar for at forstå de risici, de skaber for andre, og at mindske disse risici. Det handler om at gå væk fra at se loven som en afkrydsningsøvelse, og i stedet arbejde på en ramme, som kan bruges til at opbygge en privatlivskultur, der præger en hel organisation.”
Storbritanniens informationskommissær
GDPR-forordningen erstatter den nuværende Lov om databeskyttelse på kun 10 måneder. Den fokuserer på dig som dataansvarlig af Personligt identificerbare oplysninger (PII) relateret til kunder, salgsmuligheder og personale. Det fokuserer også på dig som databehandler andres værdifulde data.
Omfanget af GDPR og dets implikationer for virksomheder af alle størrelser er lige begyndt at ramme hjem for mange.
Fordi du ikke kan have databeskyttelse uden databeskyttelse, og du kan ikke have databeskyttelse uden informationssikkerhed. Dybere end det spænder GDPR-kravene over processer, mennesker og teknologi, der går på tværs af hele organisationen og kræver en kulturel havændring, eller faktisk 'C'-ændring, for mange.
En skræddersyet hands-on session baseret på dine behov og mål
Mens Denham refererer til rammer, mindsker risici og skaber kulturer, er der i øjeblikket ingen anerkendt GDPR 'ramme' til at følge eller faktisk en certificering, der kan demonstrere til regulatorer og kunder, at du overholder kravene.
Fordelen ved at følge en ramme er, at den gennemprøvede struktur allerede er defineret, hvilket sparer enormt meget tid. Og når tiden løber ud, hvorfor så bygge en ramme, når der allerede er noget, der vil bringe dig en væsentlig vej dertil?
Nogle citer NIST Cyber Security and Cyber Essentials som nyttige tilgange. Desværre er de ikke i sig selv tilstrækkelige til at opfylde regulatoriske krav omkring informationssikkerhed til GDPR.
Dog ISO 27001 gør opfylder mange af GDPR-kravene og er en overordnet styringsramme for Information Security Management System (ISMS). Det er også den internationalt anerkendte best practice ISMS-ramme, den eneste til at dække processer, mennesker og teknologi til at mindske risici omkring alle værdifulde informationsaktiver, for eksempel IP og økonomi, og ikke kun PII.
Ved at bruge ISO 27001 kan du gøre din GDPR-udfordring til en mulighed.
At tage din organisation fra udelukkende at opfylde lovgivningen krav til demonstration af et eksternt akkrediteret ISMS kræver bare lidt mere indsats. Det vil dog levere større organisatoriske fordele i form af nye forretningsmuligheder, styrket databeskyttelse og informationssikkerhed i hele din egen organisation og i din forsyningskæde og i sidste ende reducerede risici.
Inden maj 2018 skal organisationer kunne påvise overholdelse af GDPR eller risikerer ikke kun dyre brud, men også lovgivningsmæssige undersøgelser og en langt mere strafbar anvendelse af bøder. UK Information Commissioners Office hjælper organisationer med at forberede sig til GDPR med et sæt enkle værktøjssæt til selvevaluering at måle parathed til GDPR med hensyn til databeskyttelse, informationssikkerhed og styring af registre.
Regulatorer vil se efter, at du har forstået og håndteret datarisici, har dokumenterede procedurer på plads og har fuld personalebevidsthed og engagement i databeskyttelse. Ved at bruge ISMS.online kan du fremskynde din GDPR-forberedelse for at overholde de afventende deadlines.
Og hvis du er klar til at tage yderligere et par skridt, kan du bygge en ISO 27001 tilpasset ISMS og opnå ekstern certificering for nemt at vise tillid til dig og din forsyningskæde.
