Μπορεί το πρότυπο ISO 27001 να συμβάλει στην συμμόρφωση των απαιτήσεων περί ασφάλειας πληροφοριών που απαιτεί ο ΓΚΠΔ και πως;
Του Χρίστου Κόζιαρη
IT, Risk And Assurance Management
(MBA, MSc, COBIT, Certified DPO)
C-RISC | Certified in Risk and Information Systems Control
ISACA Board member
Ο νέος Ευρωπαϊκός Κανονισμός Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ 2016/679 | General Data Protection Regulation, GDPR) έχει τεθεί σε εφαρμογή από την 25η Μαΐου 2018, και έχει καθορίζει ένα νέο νομικό πλαίσιο για την διακυβέρνηση της επεξεργασίας αλλά και της ασφάλειας των προσωπικών δεδομένων για τους οργανισμούς της Ευρωπαϊκής Ένωσης (European Commission, 2018). Ο κανονισμός τυποποιεί τους κανόνες στην ΕΕ, ώστε να εξασφαλιστεί αυστηρότερος έλεγχος των οργανισμών που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, με αυστηρά πρόστιμα για μη συμμόρφωση. Το πρότυπο ISO 27001:2013 ασχολείται με την ασφάλεια της πληροφορίας (International Organization for Standardization, 2018) και έχει αρκετά κοινά σημεία με τον κανονισμό GDPR.
Το πρότυπο ISO 27001 έχει εφαρμογή στην ασφάλεια όλης της πληροφορίας ενός οργανισμού διασφαλίζοντας τα συμφέροντα των ενδιαφερόμενων μερών, ενώ ο ΓΚΠΔ μεταξύ άλλων, αφορά την ασφάλεια των προσωπικών δεδομένων προστατεύοντας τις ελευθερίες και τα δικαιώματα των φυσικών προσώπων (των υποκειμένων των προσωπικών δεδομένων). Αφού τα προσωπικά δεδομένα είναι υποσύνολα της συνολικής πληροφορίας ενός οργανισμού, το πρότυπο έχει ευρύτερο πεδίο εφαρμογής.
Ποιές πληροφορίες αποτελούν προσωπικά δεδομένα;
Τα προσωπικά δεδομένα ορίζονται ως οποιαδήποτε πληροφορία που δύναται να ταυτοποιήσει ένα άτομο, άμεσα ή έμμεσα, από τα εν λόγω δεδομένα ή το σύνολο δεδομένων. Αυτό σημαίνει ότι οποιαδήποτε ονόματα, αριθμοί αναγνώρισης ή τοποθεσίες που μπορούν να χρησιμοποιηθούν για την αναγνώριση ενός ατόμου συνιστούν δεδομένα προσωπικού χαρακτήρα. Μεμονωμένα, τέτοια πληροφορία μπορεί να μην προσδιορίζει άτομο, δηλ. ένα όνομα χρήστη ή επάγγελμα αλλά όταν χρησιμοποιείται συνδυαστικά με διεύθυνση ή/και ταχυδρομικό κώδικα ή/και επώνυμο, αυτό γίνεται προσωπικό δεδομένο, αφού μπορεί να ταυτοποιήσει πρόσωπο. Διευθύνσεις IP, cookies, γεωχωρικά δεδομένα ή δεδομένα που εξάγονται από προγράμματα περιήγησης του διαδικτύου ή κινητές συσκευές, μπορούν να θεωρηθούν ως προσωπικά δεδομένα εφόσον δύναται να προσδιοριστεί ένα πρόσωπο, ως αποτέλεσμα της επεξεργασίας τους.
Πώς υποστηρίζει το πρότυπο ISO 27001 την προστασία προσωπικών δεδομένων και πώς σχετίζεται με τις απαιτήσεις του κανονισμού GDPR;
Στο παράρτημα Α, του προτύπου ISO 27001 περιγράφονται οι στόχοι και τα σημεία ελέγχου, που απαιτεί το πρότυπο. Ακολουθούν παραδείγματα τέτοιων σημείων ελέγχου του προτύπου 27001 που μπορούν να χρησιμοποιηθούν για την υποστήριξη συμμόρφωσης με τον κανονισμό GDPR και σχετικά του άρθρα.
- Το σημείο ελέγχου Α.18.1.4 του προτύπου ISO 27001, προβλέπει και ορίζει την προστασία Προσωπικών Δεδομένων (ΠΔ) και την προστασία Πληροφοριών Προσωπικής Ταυτοποίησης (ΠΠΤ) και απαιτεί από τους οργανισμούς να προστατεύουν τις ΠΠΤ σύμφωνα με τις σχετικές νομοθετικές και κανονιστικές διατάξεις όπως ο ΓΚΠΔ.
- Το πρότυπο ISO 27001 συνιστά την εφαρμογή πολιτικής προστασίας δεδομένων (Α.5) που θα λαμβάνει υπ’ όψιν της συγκεκριμένες νομικές ή άλλες απαιτήσεις, υποστηριζόμενη από συγκεκριμένες διεργασίες, για παράδειγμα, τήρηση αρχείου για συγκεκριμένο χρονικό διάστημα, και καταστροφή μετά το πέρας της χρήσης (άρθρο 5).
- Οι κρυπτογραφικοί μηχανισμοί που αναφέρει το πρότυπο (A.10.1) και οι σχετικές τεχνολογίες μπορούν να χρησιμοποιηθούν για την προστασία προσωπικών πληροφοριών που βρίσκονται αποθηκευμένες ή μεταφέρονται σε δίκτυα. Η χρήση της κρυπτογράφησης σε συνδυασμό με τεχνικές ψευδωνυμοποίησης σε μεγάλες βάσεις δεδομένων μπορεί να εξασφαλίσει την εμπιστευτικότητα των ΠΔ και ΠΠΤ ικανοποιώντας τις απαιτήσεις του ΓΚΠΔ (άρθρο 32). Τεχνικές κρυπτογράφησης ήδη ενσωματώνονται σε τεχνολογίες μεταφοράς δεδομένων όπως VPN, SSL, η ακόμη και σε διακομιστές ηλεκτρονικού ταχυδρομείου.
- Ο ΓΚΠΔ ορίζει ρόλους «υπεύθυνων επεξεργασίας δεδομένων» (Controllers) και «εκτελούντες την επεξεργασία δεδομένων» (Processors) για τις επεξεργασίες, υποχρεώνοντας τους πρώτους να συνεργάζονται μόνο με τους εκτελούντες που παρέχουν εγγυήσεις για την επάρκεια των ελεγκτικών μηχανισμών στην επεξεργασία ΠΔ (άρθρα 24, 26 – 29), ενώ το πρότυπο ISO 27001 εστιάζει στην διαχείριση προμηθευτών και τρίτων (Α.15). Με την αξιολόγηση των εκτελούντων της επεξεργασίας δεδομένων ή μια εγκεκριμένη πιστοποίησή τους, οι υπεύθυνοι επεξεργασίας δεδομένων μπορούν να υποστηρίξουν την κανονιστική συμμόρφωση, μέσα από συμφωνίες/συμβάσεις μεταξύ των δύο μερών.
- Ένα αξιοσημείωτο σημείο ελέγχου για το πρότυπο ISO 270001 αφορά την διαχείριση της επιχειρηματικής συνέχειας (A.17), όπου κατάλληλοι μηχανισμοί και συστήματα μπορούν να χρησιμοποιηθούν για την εξασφάλιση της διαρκούς διαθεσιμότητας της πληροφορίας, ικανοποιώντας και τις αντίστοιχες απαιτήσεις του ΓΚΠΔ (άρθρο 32.1(γ)).
Συνοπτικά η δημιουργία ενός ολοκληρωμένου Συστήματος Διαχείρισης της Ασφάλειας των Πληροφοριών (ΣΔΑΠ | Information Security Management System, ISMS), όπως προτείνεται από το πρότυπο ISO 27001, επιτρέπει στους οργανισμούς που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, να αποδεικνύουν ότι οι κίνδυνοι για τα προσωπικά δεδομένα επανεξετάζονται (άρθρα 32.1(δ), 32.2), και οι σχετικές διαδικασίες ενημερώνονται και βελτιώνονται συνεχώς. Επιπλέον, ο ενεργός ρόλος της διοίκησης για τη διαμόρφωση της εταιρικής κουλτούρας, η θέσπιση του «υπευθύνου ασφαλείας πληροφοριών», η διαμόρφωση διαδικασιών συνεχούς παρακολούθησης και βελτίωσης, κ.α., συντελούν αποφασιστικά στην στήριξη ενός τέτοιου συστήματος. Ένα εδραιωμένο ΣΔΑΠ είναι το ιδανικό πλαίσιο για τη διαχείριση των κινδύνων για όλα τα περιουσιακά στοιχεία της επιχείρησης, συμπεριλαμβανομένων των ΠΔ και μπορεί να παρέχει τη συνεχή διαβεβαίωση ότι ο οργανισμός λαμβάνει σοβαρά υπόψη τις προδιαγραφές ασφάλειας ISO 27001 αλλά και του ΓΚΠΔ (άρθρο 32).
Συμπερασματικά η συμμόρφωση με το πρότυπο ISO 27001 μπορεί να λειτουργήσει συμπληρωματικά για την συνολική συμμόρφωση με τον ΓΚΠΔ, διότι ότι οι απαιτήσεις συμμόρφωσης του ΓΚΠΔ επεκτείνονται και στην συμμόρφωση του οργανισμού με της αρχές επεξεργασίας, την εξασφάλιση της άσκησης των δικαιωμάτων των φυσικών προσώπων και την γενικότερη ισορροπία μεταξύ της ελεύθερης κυκλοφορίας των ΠΔ και της προστασίας της ελευθερίας και των δικαιωμάτων των φυσικών προσώπων.
Αναφορές
- Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (πρόσβαση 07), ‘Ελληνική Νομοθεσία για την Προστασία των Προσωπικών Δεδομένων’, http://www.dpa.gr/portal/page?_pageid=33,123437&_dad=portal
- International Organization for Standardization (πρόσβαση 07), ISO/IEC 27001:2013, https://www.iso.org/standard/54534.html
- European Commission (πρόσβαση 07), ‘General Data Protection Regulation’, http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf