Sertifikalı kişisel veri yönetim sistemi

İÇERİK

• ISO 27701'de neler var?
• Bilgi Güvenliği YS ve Kişisel Veri YS: Benzerlikler ve farklılıklar
• Veri koruma hedefleri ve bilgi güvenliği hedefleri: Benzerlikler ve farklılıklar
• ISO 27701 sertifikası elinizin altında
• ISO 27701: Kişisel veri korumaya yönelik büyük bir adım
• Net sorumluluklar oluşturmak
• Artı: Risk odaklılık
• Bir bakışta: ISO 27701'in avantajları
• Sonuç: Veri korumaya yönelik sistematik ve yapılandırılmış bir yaklaşım
• DQS: Simply leveraging Quality.

Bir yönetim sisteminin tamamlayıcısı olarak veri koruma

İdeal olarak, veri koruma yönetimi ISO 27001 ile birlikte uluslararası bir standart yardımıyla tasarlanır. İyi bilinen ISO/IEC 27001 standardı, bir bilgi güvenliği yönetim sistemi (BGYS) için gereklilikleri ele alır ve bu uygulama alanı için de sertifikalandırılabilir. Veri koruma yönetimine yönelik yeni ISO/IEC 27701 standardı ISO 27001'i temel alır ve ona veri koruma kriterleri ekler. Bu uzantı, bir veri koruma bilgi yönetim sistemi için gereklilikleri bilgi güvenliği yönetim sistemine entegre eder.

Uluslararası kişisel veri yönetim sistemi standardının tam adı şöyledir:

ISO 27001 gibi ISO 27701 de yönetim sistemi yaklaşımını dikkate alır ve modern yönetim sistemi standartlarının temel yapısı olan Üst Düzey Yapıya (HLS) atıfta bulunur.

Yeni uluslararası standart, tüm veri koruma ilkelerini içeren ISO 29100'ün bir parçasıdır. Başlangıçta ISO 27552 olarak adlandırılacaktı, ancak daha sonra ISO 27701 olarak yeniden adlandırıldı. Bunun arka planında Uluslararası Standardizasyon Örgütü'nün (ISO) tüm önemli sertifikalandırılabilir standartların 01'de sona ermesi kararı yatıyor.

Kisisel veri yönetim sistemi: ISO 27701'de neler var?

Yeni kişisel veri yönetim sistemi standardı "bilgi güvenliği" yerine "bilgi güvenliği ve veri koruma"dan bahsediyor. Üstelik içeriğe eklemeler de var. Örneğin, kuruluşun bağlamı göz önünde bulundurulduğunda, ilgili veri koruma yasalarının ve yargı kararlarının dahil edilmesi gerekmektedir. Aynı şekilde, kişisel verilerin işlenmesine yönelik kriterler, etkilenen kişilerin korunması ve olası bir etki değerlendirmesi her zaman akılda tutularak risk değerlendirmesinde dikkate alınmalıdır.

Buna ek olarak, ISO 27701, ISO 27001'in Ek A'sındaki önlemlerin uygulanmasına yönelik kılavuz olan ISO 27002'ye ilaveler içerir.

ISO standardı ayrıca veri koruma yönetimi konusunda aşağıdaki rehberliği sağlar:

• Kılavuzun ve politikaların veri koruma yönlerini içerecek şekilde genişletilmesi
• Gizlilik bilgi yönetim sistemi için şirkette sorumlu bir kişinin (veri koruma görevlisi) atanması
• Çalışanlar için veri koruma eğitimi
• Erişimlerin ve değişikliklerin günlüğe kaydedilmesi
• Şifreleme, örneğin sağlık verileri gibi özel kategorilerdeki kişisel veriler
• "Tasarım Yoluyla Gizlilik" ilkesinin dikkate alınması
• Veri gizliliği ihlalleri için güvenlik olaylarının incelenmesi

ISO 27701'in eki, GDPR'ın gerekliliklerine yönelik tedbirlerin ayrıntılı bir tablosunu içermektedir. Burada AB Genel Veri Koruma Yönetmeliği'nin veri korumaya yönelik bu uluslararası standart üzerinde nasıl bir etkiye sahip olduğu açıkça ortaya çıkmaktadır.

BGYS ve KVYS: Benzerlikler ve farklılıklar

Bilgi güvenliği yönetim sistemleri (BGYS) ve kişisel veri yönetim sistemleri (KVYS) birbiriyle yakından ilişkilidir.

Gizlilik ve veri güvenliği kişisel verilerle ilgilidir. ISO 27000 standartlar serisi öncelikle bilginin korunması ile ilgilidir ve kişisel veriler bunun bir alt kümesidir. Yani bir şeyin veri ihlali mi yoksa bilgi güvenliği olayı mı ya da her ikisi birden mi olduğunu hangi bakış açısı belirler?

"ISO 27701'in faydası nedir? Bilgi güvenliği yönetim sisteminde veri koruma konularına odaklanmayı keskinleştiriyor!"

Stephan Rehfeld, DQS veri koruma uzmanı ve baş denetçisi

ISO 27001 veya ISO 27002'de "bilgi güvenliği" teriminin kullanıldığı yerlerde, ISO 27701'de "bilgi güvenliği ve kişisel veri koruma" olarak adlandırılır. Bu ekleme, veri korumayı bilgi güvenliği yönetim sisteminin bir parçası haline getirir.

Bununla birlikte, bir KVYS'nin bir BGYS'den farklı işlediği sapmalar da vardır. Bir örnek: kuruluşun bağlamının farklı anlaşılması. ISO 27701'de, Madde 4.1'de, ISO 27001'e ek olarak "kuruluş, paylaşılan sorumluluklar için sorumlu taraf veya ortak kontrolör ve/veya sözleşmeli işlemci olarak rolünü tanımlamalıdır" şeklinde bir gereklilik vardır.

Bu gereklilik Bilgi Güvenliği Yönetim Sisteminde mevcut değildir çünkü BGYS "Kontrolör" ve "İşlemci" arasındaki ayrımı tanımamaktadır. Sonuç olarak, ISO 27701 "kontrolörler" ve "işleyiciler" için veri korumaya özgü önlemler içeren iki ek içermektedir.

Veri koruma hedefleri ve bilgi güvenliği hedefleri: Benzerlikler ve farklılıklar

ISO 29100, şirketin kendi yönetim sisteminin yerine getirmesi gereken veri koruma ilkelerini tanımlar. Genel Veri Koruma Yönetmeliği'nin (GDPR) 5. Maddesi, GDPR'ın operasyonel maddeleri ile hangi veri koruma hedeflerine ulaşılacağını göstermektedir. İlkeler ve hedefler büyük ölçüde uyumludur. Bunun nedeni OECD'nin 1980 yılında veri koruma hedeflerini tanımlamış olmasıdır. Bunlar hem ISO 29100 hem de GDPR için temel teşkil etmiştir.

Bilgi Güvenliği Yönetim Sisteminde (BGYS), bilgi güvenliği hedefleri gizlilik, bütünlük, kullanılabilirlik bulunur. Bu aynı zamanda sırasıyla Madde 5 ve Madde 32 DS-GVO'da da bulunmaktadır. Ancak önemli bir fark, BGYS'deki "ilgili taraflar" tanımıdır. Bu, örneğin şirketin kendi çalışanlarını, müşterilerini, tedarikçilerini, yatırımcılarını veya yetkililerini içerir. Öte yandan veri korumada ilgili taraf yalnızca veri sahibidir.

Dolayısıyla, veri koruma risk yönetimi de bilgi güvenliği risk yönetiminden farklıdır. Sonuç olarak BGYS, veri korumaya özgü süreçleriyle birebir KVYS olarak kullanılamaz. Bununla birlikte, örneğin ortak iç denetimlerin gerçekleştirilebilmesi için entegrasyon fırsatları vardır.

Veri koruma yönetimi: ISO 27701 sertifikası elinizin altında

Sertifikasyon açısından, yeni ISO 27701 standardı gelecekte ISO 27001'i tamamlayacak ve veri korumasını sertifika ile onaylayan ilk standart olacak. Bu amaçla, DQS şu anda Alman Akreditasyon Kurumu (DAkkS) ile akreditasyon sürecindedir ve yakında onay almayı beklemektedir. ISO 27701, ISO 27001'in bir uzantısı olarak tasarlandığından, ISO 27701'e göre veri koruma yönetim sistemi, ISO 27001'e göre bir bilgi güvenliği yönetim sistemi olmadan belgelendirilemez.

ISO 27701: Veri koruma yönetimine doğru büyük bir adım

ISO 27701'e uygun olarak sistematik bir kişisel veri yönetim sistemi (KVYS) geliştiren ve uygulayan herkes - başka bir deyişle, kişisel verilerini sistematik olarak koruyan ve yöneten herkes - yasal gerekliliklere uygunluğu sağlamayı ve göstermeyi kolay bulacaktır. Şirketler yeni standardı, büyük ölçüde veri koruma ile uyumlu bilgi güvenliği ve ilgili veri korumasını tesis etmek için kullanabilirler.

ISO 27701 ile net sorumluluklar oluşturun

Yeni ISO standardını uygularken, şirketler veri koruma alanında net sorumluluklar tanımlamaktan kaçınamazlar. Bu avantaj küçümsenmemelidir. Sistematik bir veri koruma yönetim sistemi olmayan çoğu şirkette, sorumluluklar çoğu zaman yanlış anlaşılan bir nezaketle yumuşak bir şekilde formüle edilir ("Bunu devralabilir misin?"). Ya da sorumluluklar "Birlikte yapacağız!" sloganına göre paylaşılır. Her ikisi de kaçınılmaz olarak sonunda kimsenin sorumluluk almamasına yol açar. İyi yapılandırılmış bir veri koruma yönetim sisteminde net kurallar vardır ve bu paha biçilemezdir.

"Sonuç olarak, her şirket veri korumasını sistematik hale getirmekten gerçekten fayda sağlar - Tüm sektörlerde ve şirket boyutlarında."

Stephan Rehfeld, veri koruma uzmanı ve DQS denetçisi

Yeni ISO standardı hiçbir şekilde yalnızca Genel Veri Koruma Yönetmeliği (GDPR) ilkelerine dayanmamakta, aynı zamanda şirketleri küresel veri koruma standartlarına uyma konusunda desteklemeyi amaçlamaktadır. Amaç, bir kişisel veri yönetim sistemini kurmak, uygulamak, sürdürmek ve sürekli iyileştirmektir.

Başka bir avantaj: Risk odaklılık

ISO 27701'in ISO 27001 ile entegre edilmesi noktasında bir başka artı daha vardır. ISO 27701'in yürürlüğe girmesiyle birlikte şirketler, kişisel verilerin korunmasına yönelik risk odaklı bir yaklaşım benimsemeye adeta "zorlanmaktadır". Bu, örneğin, risklerin tam olarak tanımlanmasını ve değerlendirilmesini ve bunların gerçekleşme olasılığının tahmin edilmesini içerir.

Bu risk değerlendirmesi daha sonra somut zarar potansiyelinin kabul edilebilir bir seviyeye indirilmesi için başlangıç noktasını oluşturur. Bu arada, bu harika pragmatik yaklaşımı GDPR ile de benzer bir biçimde buluyoruz, böylece çember pratik alaka açısından da kapanıyor.

Bir bakışta: ISO 27701'in avantajları

• ISO 27701, bir bilgi gizliliği yönetim sistemi için gereksinimleri formüle eder.
• ISO 27701 ile bilgi güvenliği yönetiminizin genel bağlamında veri koruma alanındaki güvenlik risklerini belirleyebilir, değerlendirebilir ve en aza indirebilirsiniz.
• ISO 27001'e ek olarak ISO 27701, veri korumasını sertifika ile onaylayan ilk belgelendirilebilir uluslararası standarttır (yakında: DQS ile DAkkS onaylı sertifikasyon).
• ISO 27701, Avrupa'da ve uluslararası alanda veri koruma için önemli bir gelişmedir.

Sonuç: Veri koruma yönetimine sistematik ve yapılandırılmış bir yaklaşım

Ulusal ve uluslararası veri koruma yönetmelikleri arasında güvenli bir şekilde gezinmek istiyorsanız, konuya yapılandırılmış ve sistematik bir şekilde yaklaşmaktan kaçınamazsınız. Bu bağlamda ISO 27701 yüksek katma değer sunmaktadır.

Veri koruma ve veri güvenliği böylece orta ölçekli şirketler tarafından da yönetilebilir ve uyumluluk sayesinde veri koruma için mükemmel bir plan sağlar. Bu, şirketlerin kritik verileri işlerken gereken özeni gösterdiklerini güvenle belgelemek için kullanabilecekleri kapsamlı bir en iyi uygulamalar koleksiyonunu içerir.

DQS: Simply leveraging Quality.

Dinamikler ve istikrar arasındaki etkileşimde, sertifikalı yönetim sistemleri giderek daha önemli hale geliyor - DQS'in olumlu bir şekilde hissettiği bir gelişme. Çünkü başarılı şirketler ve kuruluşlar sonuçlarını sürekli iyileştirmek için denetimlerimizden elde ettikleri bulguları kullanmaktadır. Ayrıca, dünya çapında tanınan sertifikalarımızı kalite kapasitelerinin objektif kanıtı olarak kullanmaktadırlar. Bu da şirketinizin hem içinde hem de dışında güven yaratır.

Uzmanlık ve güven

Metinlerimiz ve broşürlerimiz yalnızca standart uzmanlarımız veya uzun süredir görev yapan denetçilerimiz tarafından yazılmaktadır. Metin içeriği veya sunduğumuz hizmetler hakkında yazarımıza herhangi bir sorunuz varsa, lütfen bizimle iletişime geçin.