POATE FI ISO27701 CERTIFICAREA GDPR PE CARE O AȘTEPTĂM?


De la intrarea în vigoare a GDPR și demararea cursei pentru atingerea unui efemer stadiu de conformitate s-a simțit tot mai mult nevoia unui standard care să susțină eforturile de aliniere la cerințele Regulamentului 679. Se caută asiduu o modalitate clară, palpabilă și cuantificabilă de a demonstra starea de conformitate, pe modelul proiectelor de implementare a unor standarde.  Este noul ISO27701 soluția pentru aceste demersuri?

Rezolvă noul standard cerințele de conformitate GDPR?

Mulți cred că ISO27701 nu poate fi identificat cu un standard pentru demonstrarea conformității. Principalul impediment al asimilării cu o certificare GDPR este numărul relativ restrâns de organizații unde ar putea funcționa, în condițiile în care pe tot parcursul anului 2018 au fost emise mai puțin de 100 de certificate ISO 27001 pentru 47% dintre țările SEE. Un studiu Capgemini apreciază că la 1 an de la intrarea în vigoare a GDPR doar 28% dintre organizații se puteau considera conforme, o cifră mult mai realistă decât procentul de conformitate de 78% asumat la momentul mai 2018.

Conform articolelor 40-43 din GDPR, singurul mod în care o organizație se poate considera „oficial” certificată este adoptarea unui cod de conduită, creat de o asociație profesională și monitorizat de un organism care dispune de un nivel adecvat de expertiză şi care este acreditat în acest scop de o autoritatea de supraveghere competentă. De asemenea, GDPR acordă o atenție specială codurilor de conduită, sigiliilor, mărcilor și schemelor de certificare destinate companiilor mici și mijlocii. Problema este că, până acum, singura țară în care s-au luat măsuri concrete de numire a unui astfel de organism de expertiză este Spania.

Chiar dacă ISO 27701 nu a fost (încă) oficial aprobat ca etalon pentru conformitatea GDPR, asta nu înseamnă că ar trebui să ignorăm apropierea de spiritul GDPR pe care o oferă.

De ce un sistem de management al confidențialității ISO /IEC?

Publicat în august 2019, ISO /IEC 27701 este o extensie la standardele internaționale ISO /IEC27001 și ISO / IEC27002 pentru gestionarea informațiilor de confidențialitate, fiind unul dintre cele mai așteptate standarde în domeniul securității informațiilor și gestionării vieții private. Acesta urmărește să acopere diferența dintre conceptele de securitate și confidențialitate și să ofere o abordare pragmatică a protecției datelor, ca o extensie la securitatea informațiilor. În plus, asta înseamnă că ISO 27701 acceptă respectarea unei game mai largi, internaționale de protecție a datelor și legislației privind confidențialitatea, inclusiv HIPAA (Health Information Portability and Accountability Act) și CCPA (California Consumer Privacy Act) din SUA.

Dincolo de aceste inițiative locale, există și ISO27018 și ISO29151, care sunt coduri de practică pentru protejarea informațiilor de identificare personală (PII). ISO27018 este dedicat în special furnizorilor de Cloud public, în timp ce ISO29151 reprezintă o abordare mai generală pentru protejarea PII. Aceste standarde stabilesc obiective, controale și linii directoare pentru protejarea PII în conformitate cu o evaluare a impactului și a riscurilor. Acestea oferă îndrumări eficiente, dar nu sunt supuse unui cadru auditabil extern care poate oferi asigurări terților. ISO 27701 depășește aceste limite, stabilind cerințele sistemului de management și de control. Deși ISO 27701 nu are încă o schemă de certificare, aceasta este doar o problemă de timp. În plus, există opțiuni provizorii pentru afirmarea conformității.

Chiar dacă un sistem „complet” de gestionare a securității informațiilor (ISMS) aliniat la ISO / IEC27001: 2013 ar putea soluționa multe dintre problemele de confidențialitate, cerințele nu pot fi îndeplinite fără a aborda în întregime confidențialitatea. Acest lucru înseamnă că certificatele de conformitate cu ISO27001 sunt eliberate fără a garanta că nevoile de protecție a datelor au fost îndeplinite în mod adecvat. În timp ce protecția datelor necesită în mod natural un grad de securitate a informațiilor (GDPR le abordează ca fiind „măsuri tehnice și organizaționale”), aceasta merge mult mai departe decât protejarea informațiilor – organizația trebuie să protejeze și drepturile persoanelor vizate, care nu pot fi garantate numai prin securitatea informațiilor.

Confidențialitate vs. Securitate

Un sistem de gestionare a vieții private este diferit de unul de management al securității, dar sunt strâns legate. Abordarea adoptată de ISO27701 recunoaște că securitatea informațiilor (păstrarea confidențialității, integrității și disponibilității informațiilor) este un aspect cheie al gestionării eficiente a vieții private și că cerințele ISMS (Information Security Management System) documentate în ISO27001 pot susține adăugarea de cerințe specifice.  ISO27701 definește cerințele suplimentare pentru un ISMS, care acoperă confidențialitatea și procesarea PII. Acestea sunt acceptate de controale suplimentare care se referă în mod special la protecția datelor și confidențialitate. Ca un tot nou, acest lucru creează ceea ce Standardul numește un sistem de gestionare a informațiilor privind confidențialitatea (PIMS – Personal Information Management System).

ISO27701 a fost dezvoltat de comitetul tehnic ISO SC27 care a colaborat cu alte 25 de organisme externe, inclusiv Consiliul European pentru Protecția Datelor (EDPB), care au avut în vedere crearea unui cadru ISMS care îndeplinește și cerințele de protejare a vieții private. Cu alte cuvinte, oriunde ISO27001 se referă la „securitatea informației”, în cazul ISO27701 se poate citi „securitatea informației și confidențialitate”, iar în cazul în care ISO27001 folosește „performanța de securitate a informațiilor”, în ISO27701 aceasta se citește ca „securitatea informației și performanță în confidențialitate”.

Viața privată ca cerință complementară la securitatea datelor personale

Standardul ISO27701 adaugă cerințe specifice confidențialității la unele dintre clauzele din ISO27001 și la controalele din anexa A și unele controale specifice confidențialității peste controalele de securitate a informațiilor (și acum confidențialitate) existente. În cele din urmă, oferă îndrumări care se bazează pe cele disponibile în ISO27002, cu condiția ca organizația în cauză să fie un operator de date și /sau un procesator de date. ISO27701 se bazează, de asemenea, pe principiul securității informațiilor, orientând organizația către principiile de confidențialitate mai extinse din ISO /IEC29100. Acestea acoperă o gamă mai largă de preocupări privind confidențialitatea, inclusiv cele utilizate în reglementările privind protecția datelor la nivel internațional.

Definiții

ISO27701 ia unele dintre definițiile sale cheie din ISO29100, care utilizează termeni diferiți de alte surse. Noțiunea de ”informații de identificare personală (PII)” poate fi identificată cu cea de „date personale” din GDPR. ISO29100 definește aceasta ca „informație care: (a) poate fi folosită pentru a identifica principalul PII la care se referă aceste informații sau (b) este sau poate fi direct sau indirect legată de un principal PII” (clauza 2.9).

Noțiunea de ”Principal PII”, adică „data subject/ persoană vizată ” din GDPR e definită de ISO29100 ca „persoană fizică la care se referă informațiile de identificare personală (PII)” (clauza 2.11).

Noțiunea de ”Controlor PII”, adică „data controller/ operator de date personale” din GDPR se regăsește în ISO29100 ca „părțile interesate de confidențialitate care determină scopurile și mijloacele pentru prelucrarea informațiilor de identificare personală (PII), altele decât persoanele fizice care utilizează date în scopuri personale” (clauza 2.10).

Noțiunea de ”Procesator PII”, adică „data processor/ procesator de date” din GDPR, e definită de ISO29100 ca „factorul de confidențialitate care procesează informații de identificare personală (PII) în numele și în conformitate cu instrucțiunile unui controlor PII” (clauza 2.12).

La fel ca la alte standarde, ISO27701 împarte conținutul său după clauză, dintre care clauzele 5-8 stabilesc cerințele și modificările suplimentare care trebuie aplicate ISO27001 și garantează o atenție deosebită.

Clauza 5: Cerințe specifice PIMS – abordează fiecare clauză din ISO27001 și identifică unde este necesar un conținut suplimentar. Majoritatea clauzelor ISO27001 rămân neschimbate, cu precizarea că ISO27701 cere organizației să își recunoască nevoia de protecție a datelor în contextul său, iar acest context informează toate celelalte cerințe. O altă completare notabilă afectează evaluarea riscurilor, care va trebui să țină seama de rolul organizației în raport cu PII – adică dacă este un operator sau un procesator și modul în care acest lucru ar putea afecta riscurile pentru PII. O altă recunoaștere este cea a existenței noilor seturi de control și permite organizației concilierea cu o gamă mai largă de controale.

Clauza 6: Îndrumări specifice PIMS – secțiune ce oferă conținut suplimentar pentru ghidurile de control stabilite în ISO27002. Stabilește o modificare la nivel înalt, potrivit căreia toate referințele la „securitatea informațiilor” ar trebui luate, incluzând protecția vieții private. Controalele cu un impact potențial semnificativ asupra confidențialității și protecției datelor sunt oferite ca îndrumări suplimentare pentru suporturi amovibile, criptografie și dezvoltare sigură.

Clauza 7: Îndrumări suplimentare pentru operatori – oferă îndrumări privind controalele din anexa A/ ISO27701, care sunt specifice confidențialității în scopul controlorilor PII. Aceste controale abordează multe dintre domeniile critice de protecție a datelor și confidențialității care nu sunt contabilizate de controalele prevăzute în ISO27001.

Clauza 8: Îndrumări suplimentare pentru procesatori – oferă îndrumări privind controalele din anexa B/ ISO27701, care sunt specifice vieții private în scopul procesatorilor PII. Aceste controale abordează multe dintre domeniile critice de protecție a datelor și confidențialității care nu sunt contabilizate de controalele prevăzute în ISO27001.

Concluzii

Articolul 42 din GDPR se referă la sistemele de certificare, precizând că statele membre, autoritățile de supraveghere, EDPB și Comisia ar trebui să încurajeze sistemele care demonstrează respectarea regulamentului. Cu toate evoluțiile către certificarea vieții private descrise mai sus, certificarea ISO27701 nu va putea îndeplini cerințele GDPR pentru o ”schemă de certificare”. Pe de altă parte, Articolul 43 din GDPR prevede ca orice sistem de certificare să fie operat în baza unui sistem acreditat ISO17065.