Es ist schön und gut, wenn man gute Absichten hat, die Sicherheit personenbezogener Daten zu gewährleisten. Um die Vorschriften wirklich einzuhalten, sollten Unternehmen jedoch sicherstellen, dass sie geeignete technische und organisatorische Maßnahmen ergreifen.
Angesichts der ersten wirklichen Änderung des Datenschutzgesetzes seit 20 Jahren werfen wir einen Blick auf die Datenschutz-Grundverordnung (BIPR) sagt über Sicherheitsprinzipien.
Das Sicherheit personenbezogener Daten ist nichts Neues. Der Datenschutz Das Gesetz (DPA) von 1998 empfiehlt, dass bewährte Verfahren die Bewertung des Informationsrisikos und die Einführung geeigneter Sicherheitsmaßnahmen umfassen. Doch mit der Einführung der DSGVO sind diese Empfehlungen nun gesetzlich vorgeschrieben.
In den neuen Vorschriften spricht Artikel 5 Absatz 1 Buchstabe f davon Integrität und Vertraulichkeit personenbezogener Daten, heute als „Sicherheitsprinzip“ der DSGVO bekannt:
„In einer Weise verarbeitet, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und vor unbeabsichtigtem Verlust, zufälliger Zerstörung oder Beschädigung, unter Verwendung geeigneter technischer oder organisatorischer Maßnahmen.“
Der Zweck des Sicherheitsprinzips besteht darin, sicherzustellen, dass die Sicherheitsmaßnahmen Ihrer Organisation dazu beitragen, zu verhindern, dass die von Ihnen gespeicherten personenbezogenen Daten verloren gehen, gestohlen oder in irgendeiner Weise gefährdet werden. Also, wenn wir darüber reden InformationssicherheitDazu zählen auch Cyber-, physische und organisatorische Sicherheit.
Das Information Commissioner's Office (ICO) empfiehlt, den Sicherheitsgrundsatz neben Artikel 32 der DSGVO, insbesondere Artikel 32 Absatz 1, zu berücksichtigen.
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen haben der Verantwortliche und der Auftragsverarbeiter vorzugehen.“ geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.“
Wenn Organisationen und Einzelpersonen nicht folgen Informationssicherheit Bei der Einhaltung von Prozessen und Grundsätzen kann das Risiko für Eigentum und Leben erheblich sein. Einige Beispiele für Schäden sind:
Informationssicherheit ist vor allem eine gesetzliche Anforderung, die Ihnen auch dabei hilft, eine gute Datenverwaltung zu praktizieren und gegenüber Ihren Kunden zu demonstrieren Supply Chain und Kunden, die Ihnen vertrauen können.
Darüber hinaus gilt: Je mehr Arbeit Sie hier investieren, desto besser, da das ICO die von Ihnen getroffenen technischen und organisatorischen Maßnahmen bewertet, wenn es um die Verhängung einer Geldbuße geht – falls das Schlimmste passieren sollte.
Mit ISMS.online sparen Sie Zeit und Geld bei der ISO 27001-Zertifizierung und vereinfachen die Wartung.
Informationssicherheitsmanager, Honeysuckle Health
Mit ISMS.online gehören Herausforderungen rund um Versionskontrolle, Richtliniengenehmigung und Richtlinienfreigabe der Vergangenheit an.
Wie wir bereits angesprochen haben, umfassen die Sicherheitsgrundsätze jeden Aspekt der Verarbeitung personenbezogener Daten (cyber und physisch).
Durch die Sicherheitsmaßnahmen wird sichergestellt, dass personenbezogene Daten nur von autorisierten Personen zum Zwecke der Offenlegung oder Löschung eingesehen werden können. Durch die Maßnahmen wird sichergestellt, dass die Daten korrekt und vollständig sind und weiterhin zugänglich und nutzbar bleiben. Gemeint ist der Grundsatz der „Vertraulichkeit, Integrität und Verfügbarkeit“.
Obwohl die DSGVO keine spezifischen Empfehlungen oder Definitionen Ihrer Sicherheitsmaßnahmen enthält, wird von Ihrer Organisation erwartet, dass sie ein „angemessenes“ Sicherheitsniveau implementiert. Um festzustellen, was für Sie angemessen ist, sollten Sie zunächst das Risiko abschätzen und den Wert der personenbezogenen Daten beurteilen.
Eine organisatorische Maßnahme wäre die Durchführung einer Informationsrisikobewertung. Auch der Aufbau einer Informationskultur und Internet-Sicherheit in Ihrer Organisation ist für die tägliche Umsetzung der Grundsätze von entscheidender Bedeutung. Dies kann in der Verantwortung von a liegen Datenschutzbeauftragter (DPO) oder ein anderer Mitarbeiter, der für die Vermittlung des Sicherheitsbewusstseins verantwortlich ist.
Das ICO empfiehlt Ihnen außerdem, Folgendes einzubeziehen, wenn Sie Maßnahmen ergreifen, um dem Sicherheitsprinzip gerecht zu werden:
- Koordination zwischen Schlüsselpersonen in Ihrer Organisation (z. B. muss der Sicherheitsmanager über die Inbetriebnahme und Entsorgung von IT-Geräten Bescheid wissen);
- Zugang zu Räumlichkeiten oder Geräten, der jemandem außerhalb Ihrer Organisation gewährt wird (z. B. zur Computerwartung) und die damit verbundenen zusätzlichen Sicherheitsbedenken;
- Geschäftskontinuität Vereinbarungen, die festlegen, wie Sie die von Ihnen gespeicherten personenbezogenen Daten schützen und wiederherstellen; Und
- Regelmäßige Kontrollen stellen sicher, dass Ihre Sicherheitsmaßnahmen angemessen und auf dem neuesten Stand bleiben.
Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen
Der erste Schritt zur Einhaltung des Grundsatzes der Vertraulichkeit, Integrität und Verfügbarkeit besteht darin, zu wissen, wo sich alle Ihre persönlichen Daten befinden. Glücklicherweise ISMS.online hat eine Lösung dafür.
100 % unserer Benutzer erreichen beim ersten Mal die ISO 27001-Zertifizierung