GDPR και ISO 27001

Τελευταία Άρθρα

December 19, 2020

gdpr-iso-27001

GDPR και ISO 27001

Με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (General Data Protection Regulation), ευρύτερα γνωστό ως GDPR ή ΓΚΠΔ, καθιερώνεται ένα ενιαίο νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων σε όλη την Ευρωπαϊκή Ένωση. Ο GDPR, ο οποίος τέθηκε σε εφαρμογή στις 25 Μαΐου 2018, επηρεάζει άμεσα ή έμμεσα κάθε πολίτη, επιχείρηση και οργανισμό.

GDPR

Με τον νέο Κανονισμό ενισχύονται τα δικαιώματα των υποκειμένων των δεδομένων, αυξάνονται, ποσοτικά και ποιοτικά, οι υποχρεώσεις των υπεύθυνων και εκτελούντων την επεξεργασία και γενικώς ενισχύεται σημαντικά η προστασία των προσωπικών δεδομένων των πολιτών της ΕΕ. Τα προβλεπόμενα πρόστιμα (μπορεί να φτάσουν τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου τζίρου) σε συνδυασμό με τις αυξημένες υποχρεώσεις συμμόρφωσης που οφείλουν να επιδεικνύουν οι επιχειρήσεις, αποτελούν τεράστια πρόκληση για την αγορά και τη Δημόσια Διοίκηση στην Ελλάδα αλλά και σε ολόκληρη την Ευρωπαϊκή Ένωση.

ISO 27001

Το ISO 27001 είναι ένα σύστημα διαχείρισης ασφάλειας πληροφοριών η εφαρμογή του οποίου έχει στόχο να προστατεύσει τον οργανισμό από πιθανή παραβίαση όχι μόνο προσωπικών δεδομένων αλλά γενικά όλων των πληροφοριών ενός οργανισμού καθώς επίσης και να εξασφαλίσει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των πληροφοριών και των δεδομένων.

Πώς το ISO 27001 βοηθάει στη συμμόρφωση με τον GDPR

Η εφαρμογή ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών ISO 27001 παρέχει ένα ιδανικό σημείο εκκίνησης για να επιτύχετε τη συμμόρφωση με τον GDPR. O GDPR ενθαρρύνει την εφαρμογή τέτοιων πιστοποιημένων συστημάτων ως μία απόδειξη ότι ο οργανισμός εφαρμόζει αποτελεσματικά πρακτικές για την ασφάλεια των πληροφοριών.

To ISO 27001 ορίζει 114 σημεία ελέγχου για τη μείωση ή και την εξάλειψη κινδύνων που αφορούν στην ασφάλεια πληροφοριών.

Ακολουθούν συγκεκριμένα σημεία του προτύπου ISO 27001 που εξασφαλίζουν τη συμμόρφωση με τον GDPR:

ΝΟΜΟΘΕΣΙΑ

Το σημείο Ελέγχου A.18.1.4 του παραρτήματος Α του προτύπου απαιτεί από τον οργανισμό να εξασφαλίζει την προστασία των προσωπικών δεδομένων σύμφωνα με ό,τι ορίζει η σχετική νομοθεσία, η οποία από τον Μάιο του 2018, είναι ο GDPR.

ΚΡΥΠΤΟΓΡΑΦΗΣΗ

Η κρυπτογράφηση των δεδομένων προτείνεται στο σημείο ελέγχου Α 10.1 του προτύπου ως ένα μέτρο που μπορεί και θα έπρεπε να εφαρμοστεί ώστε να μειώσει τους εντοπισθέντες κινδύνους και να επιτευχθεί τελικά η προστασία των πληροφοριών και των προσωπικών δεδομένων. O GDPR απαιτεί να εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένης, μεταξύ άλλων, της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα. (Άρθρο 32 του κανονισμού)

RISK ASSESSMENT

Το ISO 27001 απαιτεί την εκπόνηση μιας μελέτης εκτίμησης κινδύνου στην οποία εντοπίζονται όλοι οι πιθανοί κίνδυνοι που αφορούν στις πληροφορίες ενός οργανισμού καθώς επίσης απαιτεί να ληφθούν τα κατάλληλα μέτρα ελέγχου για να μειωθούν ή και να εξαλειφθούν οι εντοπισθέντες κίνδυνοι. Ο GDPR συγκεκριμένα απαιτεί την ύπαρξη μίας τέτοιας μελέτης έτσι ώστε να διασφαλιστεί ότι ο οργανισμός έχει εντοπίσει τους κίνδυνους που επηρεάζουν τα προσωπικά δεδομένα και ότι έχουν ληφθεί τα απαραίτητα μέτρα ελέγχου ώστε να αποφευχθεί κάποια παραβίαση δεδομένων.

BUSINESS CONTINUITY

Το ISO 27001 απαιτεί από τον οργανισμό να καθορίσει τις απαιτήσεις για την προστασία των πληροφοριών και τη διαθεσιμότητά τους σε περίπτωση δυσμενών καταστάσεων (καταστροφή , κρίση κλπ.) γεγονός που ικανοποιεί και την απαίτηση του GDPR για διαρκή διαθεσιμότητα των προσωπικών δεδομένων (Άρθρο 32 του Κανονισμού)

AUDITS

Το ISO 27001 απαιτεί να γίνονται εσωτερικές επιθεωρήσεις για να επιβεβαιωθεί ότι το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών εφαρμόζεται και συντηρείται αποτελεσματικά. O GDPR ορίζει να υπάρχει διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας. (Άρθρο 32 του Κανονισμού)

  • Εάν επιθυμείτε να ενημερωθείτε εκτενώς για τον GDPR, στην ιστοσελίδα lawspot.gr/gdpr μπορείτε να βρείτε χρήσιμες πληροφορίες, ενημερώσεις αλλά και γνώμες ειδικών σχετικά με τα προσωπικά δεδομένα και την εφαρμογή του Κανονισμού.

  • Ενημερωθείτε για όλα τα ISO εδώ