Henkilötietojen ja GDPR-vaatimusten hallinta ISO 27701:n avulla

Henkilötietojen ja GDPR-vaatimusten hallinta ISO 27701:n avulla

ISO/IEC 27701 on laajennus ISO 27001 -standardoituun tietoturvan hallintajärjestelmään ja se keskittyy nimenomaan henkilötietojen käsittelyyn. Tietoturvallisuuden hallintajärjestelmään lisänä ISO 27701 on hyvä askel kohti Euroopan Unionin tietosuoja-asetuksen (GDPR) vaatimuksenmukaisuutta.

Miten ISO27701 ja ISO 27001 liittyvät toisiinsa?

ISO 27701 -standardi tarjoaa organisaatioille viitekehyksen, joka auttaa kehittämään eri tietosuojalainsäädännöt ja -vaatimukset huomioon ottavan henkilötietojen hallintajärjestelmän. Standardi voidaan lisätä rakennus- tai implementointivaiheessa taikka jälkeenpäin osaksi ISO 27001 -hallintajärjestelmää, joka on kansainvälisesti käytössä oleva tietoturvan hallintajärjestelmä.

Kyseessä on hallintajärjestelmän laajennus, joka koskee nimenomaan tietosuojaa, joten ISO 27701:stä ei käytetä yksinään ilman tietoturvan hallintajärjestelmää ISO 27001:stä. ISO 27001 -standardin myötä otetaan käyttöön ISMS (Information Security Management System), eli tietoturvan hallintajärjestelmä. Kun järjestelmään lisätään ISO 27701, tuloksena on henkilötietojen hallintajärjestelmä (Privacy Information Management System, PIMS). Kun käytössä on ISO 27701 -sertifioitu järjestelmä, on silloin siis käytössä tietoturvan ja tietosuojan hallintajärjestelmä. Näiden avulla organisaation helpompi huolehtia tietoturvastaan ja tietosuojastaan kokonaisuutena asianmukaisella tavalla.

GDPR ja ISO 27701

Standardissa viitataan suoraan Euroopan Unionin tietosuoja-asetukseen GDPR:ään. On hyvä huomata, ettei tämä ole juridinen tae GDPR:n ehtojen täyttämisestä. Eli sakkojen mahdollisuus on edelleen olemassa. Niiden riski on kuitenkin olennaisesti pienempi ja standardi toimii hyvin niin sanotun regulaatioriskin hallintaan. Hallintajärjestelmään voidaan lisäksi sisällyttää GDPR:n vaatimukset, jolloin ollaan kokonaisuutena erittäin hyvässä tilanteessa GDPR:n ehtojen täyttämisen suhteen. Kun organisaatio haluaa varmistua GDPR:n vaatimuksien täyttämisestä, voi organisaatio teettää tietosuojavaikutusten arvioinnin, josta toteuttamisesta voit lukea lisää aiemmasta blogistamme.

ISO 27701 -standardilla on vielä toinenkin vahvuus GDPR:n suhteen: Sertifioitua hallintajärjestelmää voidaan käyttää täyttämään EU:n lainsäädäntöön kuuluvaa osoitusvelvollisuutta.

Kuten muutkin kolmannen osapuolen sertifioimat standardit, on ISO 27701 apuna sopimusneuvotteluissa, joissa asiakkaalla on tietoturvaa tai tietosuojaa koskevia vaatimuksia. Ottamalla käyttöön tämän laajennusosan, voi yritys saada suoraa kilpailuetua, sen lisäksi, että tietoturva ja tietosuoja ovat hoidettu huolellisesti.

Jäikö kysyttävää tai mietitkö vahvemman tietosuojapolitiikan käyttöönottoa organisaatiollesi? Ota yhteyttä ja autamme mielellämme hallinnollisen tietoturvan kehittämisessä. Jos haluat lähteä polulle kohti ISO 27001 tai ISO 27701 -hallintajärjestelmää, tutustu prosessiin täällä tarkemmin.