Ein mikilvægasta krafa persónuverndarlaganna frá 2018 og almennu persónuverndarreglugerðarinnar (GDPR) er í 24. gr. laganna og 25. grein reglugerðarinnar um innbyggða og sjálfgefna persónuvernd. Þar er ábyrgðaraðili skyldaður til að tryggja vernd persónuupplýsinga allan tímann meðan vinnsla upplýsinganna fer fram, þ. e. frá því að persónuupplýsinganna er aflað og þar til þeim er fargað. Eða, í tilfelli opinberra aðila, upplýsingunum er komið í hendur opinberra skjalasafna.
Með innbyggðri og sjálfgefinni persónuvernd er átt við að innleiddar séu viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að kröfur laganna og reglugerðarinnar séu uppfylltar. Þessum ráðstöfunum er nánar lýst í 78. inngangsgrein GDPR. Þar segir að setja eigi „innri stefnu og innleiða ráðstafanir sem fylgja meginreglum um innbyggða persónuvernd og sjálfgefna persónuvernd“. Þó að reglugerðin tilgreini hvað væri hægt að gera, t.d. takmarka söfnun, takmarka vinnslu og nota gerviauðkenni, þá krefst innbyggð og sjálfgefin persónuvernd þess að mun meira sé að gert.
Uppfylla kröfur með stöðlum
Alþjóðlegi staðallinn ISO/IEC 27701 leggur til viðbætur við staðlana ISO/IEC 27001 og ISO/IEC 27002 þannig að stjórnunarkerfi um upplýsingaöryggi, byggt á ISO/IEC 27001, geti innifalið stjórnunarkerfi um persónuvernd. Kosturinn við að nýta sér þessa þrjá staðla við að uppfylla kröfur um innbyggða og sjálfgefna persónuvernd er sá að þar er flest ef ekki allt sem þarf til að uppfylla tæknilegar og skipulagslegar kröfur laganna og reglugerðarinnar um persónuvernd. ISO/IEC 27701 er í reynd gátlisti yfir þessar tæknilegu og skipulagslegu kröfur.
Í 78. inngangslið GDPR segir meðal annars:
„Þegar framleiðendur vöru, þjónustu og hugbúnaðar þróa, hanna, velja og nota hugbúnað, vöru og þjónustu, sem er byggð á vinnslu persónuupplýsinga, eða vinna persónuupplýsingar í störfum sínum ætti að hvetja þá til að taka tillit til réttarins til persónuverndar við þróun og hönnun á slíkum vörum, þjónustu og hugbúnaði og ganga úr skugga um, að teknu tilhlýðilegu tilliti til nýjustu tækniþekkingar, að ábyrgðaraðilar og vinnsluaðilar geti uppfyllt skyldur sínar um persónuvernd“.
Fullvissa og meginreglur persónuverndar
Sem sagt, byrja þarf á því að fullvissa sig um, að „að ábyrgðaraðilar og vinnsluaðilar geti uppfyllt skyldur sínar um persónuvernd“. Ekki á að fara af stað fyrr en þessi fullvissa er fyrir hendi! Það er einmitt í þessu sem krafan um innbyggða og sjálfgefna persónuvernd felst. Að frá upphafi sé tryggt að kröfur laganna og reglugerðarinnar séu uppfylltar, skref fyrir skref eftir því sem vinnslunni vindur fram. Það felst í því að persónuupplýsingar skulu vera:
Þetta eru svo kallaðar meginreglur persónuverndar. Þær ber að uppfylla öllum stundum og ein besta leiðin til að ná því markmiði er að notast við viðurkennda alþjóðlega staðla á borð við ISO/IEC 27701.
Höfundur hefur nokkra reynslu af beitingu staðalsins við að útvíkka stjórnunarkerfi um upplýsingaöryggi þannig að þau nái yfir persónuvernd. Samt skal varað við því, að þótt ISO/IEC 27701 sé mjög gagnlegt verkfæri, þá er í persónuverndarreglugerðinni (GDPR) sjálfri að finna góðar leiðbeiningar sem skýra betur stýringar staðalsins og þá leiðsögn um innleiðingu sem veitt er í köflum 7 og 8 í staðlinum.
Marinó G. Njálsson, tölvunarfræðingur og sérfræðingur í stjórnun upplýsingaöryggis.
Námskeið 10. og 11. febrúar:
MARKMIÐ námskeiðsins er að þátttakendur geti gert grein fyrir lykilatriðum staðlanna ISO/IEC 27001 og ISO/IEC 27002 og þekki hvernig þeim er beitt við stjórnun upplýsingaöryggis í fyrirtækjum og stofnunum. - Nánari upplýsingar og skráning >>
ATH! Námskeiðið er mjög æskilegur undanfari námskeiðsins Vernd persónuupplýsinga með hliðsjón af ISO/IEC 27701, sem haldið verður í maí. Sjá nánar hér >>
Staðlar sem nefndir eru í greininni fást í Staðlabúðinni á vef Staðlaráðs:
ÍST EN ISO/IEC 27001 Upplýsingatækni - Öryggisaðferðir - Stjórnunarkerfi um upplýsingaöryggi - Kröfur (íslensk þýðing)
ÍST EN ISO/IEC 27002 Upplýsingatækni - Öryggisaðferðir - Starfsvenjur fyrir upplýsingaöryggisstýringar (íslensk þýðing)
ISO/IEC 27701 Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines