Το νέο πρότυπο (standard) ISO/IEC 27701:2019 «Τεχνικές ασφαλείας – Επέκταση των ISO/IEC 27001 και ISO/IEC 27002 για τη διαχείριση των πληροφοριών Ιδιωτικότητας – Απαιτήσεις και κατευθυντήριες γραμμές»[1] εκδόθηκε τον Αύγουστο του 2019 και μας συστήνει ένα γενικό οδηγό Ιδιωτικότητας που βασίζεται στις προβλέψεις του «GDPR». Αποτελεί την επέκταση των διαδεδομένων προτύπων Ασφάλειας Πληροφοριών ISO/IEC 27001 και ISO/IEC 27002 στην προστασία των προσωπικών δεδομένων. [2]

 

Δέσποινα Στυλ. Βεζακίδου Δικηγόρος με ειδίκευση στο Δίκαιο σύγχρονων τεχνολογιών, Διαδικτύου και Ιδιωτικότητας

Νικόλαος Μουχτιδιώτης
Διπλ. Ηλεκτρολόγος Μηχανικός και Μηχανικός Υπολογιστών με ειδίκευση στην Ασφάλεια Πληροφοριών
Επικεφαλής Επιθεωρητής Συστημάτων Διαχείρισης EUROCERT

 

 

 

 

 

 

 

 

 

 

 

 

Ακολουθούν ερωτήσεις και απαντήσεις που αποσκοπούν να διευκολύνουν τις επιχειρήσεις, ιδιαίτερα τις μικρομεσαίες, να αντιληφθούν ότι οι πληροφορίες και τα προσωπικά δεδομένα που επεξεργάζονται αποτελούν περιουσιακά στοιχεία αλλά συνεπάγονται και διακινδύνευση,[3] συνεπώς να αναγνωρίσουν την αναγκαιότητα της συστηματοποιημένης και έγκυρης διαχείρισης τους.

Τι είναι ο «GDPR» ;

Από το Μάιο του 2018 ισχύει πανευρωπαϊκά ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (ΕΕ) 679/2016, γνωστός με το αγγλικό ακρωνύμιο «GDPR», που ρυθμίζει την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των προσωπικών τους δεδομένων, προβλέποντας συγκεκριμένες υποχρεώσεις για φορείς του δημοσίου και ιδιωτικού τομέα που επεξεργάζονται προσωπικά δεδομένα και ορίζοντας αυστηρές κυρώσεις για τυχόν παραβιάσεις του.

Τα μέτρα εφαρμογής του GDPR στην Ελλάδα ρυθμίζονται με το Νόμο 4624/2019.

Πως συμμορφώνεται μια επιχείρηση με τον GDPR ;

H διαδικασία συμμόρφωσης είναι συνεχής και προϋποθέτει ενδελεχή γνώση του συνόλου της νομοθεσίας που διέπει την προστασία των δεδομένων. Απαιτεί ένα σύνολο αποφάσεων βάσει κριτηρίων, όπως η αξιολόγηση της αναγκαιότητας και αναλογικότητας κάθε επεξεργασίας προσωπικών δεδομένων, καθώς και των πιθανών κινδύνων που προκύπτουν και του αντικτύπου τους, με σκοπό τη λήψη μέτρων περιορισμού των κινδύνων αυτών, μέσω της επιλογής των πλέον κατάλληλων τεχνικών και οργανωτικών μέτρων ασφάλειας. Ακόμη, η συμμόρφωση προϋποθέτει τη σύνταξη και υιοθέτηση Πολιτικών και Διαδικασιών, τον ορισμό, υπό προϋποθέσεις, του Data Protection Officer (DPO), την υλοποίηση δράσεων, όπως για την εκπαίδευση του προσωπικού, καθώς και τη διαρκή παρακολούθηση της εφαρμογής όλων αυτών.

Η ανωτέρω διαδικασία συμμόρφωσης είναι σκόπιμο να συστηματοποιηθεί με έγκυρο τρόπο.

Πως μπορεί να διευκολυνθεί η ορθή εφαρμογή του GDPR και η απόδειξη της συμμόρφωσης ;

Στην κατεύθυνση της ορθής εφαρμογής του GDPR διευκολύνουν οι αναγνωρισμένες βέλτιστες πρακτικές επεξεργασίας προσωπικών δεδομένων (best practices) ως εκούσια συμμόρφωση της επιχείρησης και οι, αναμενόμενοι να ισχύσουν, τομεακοί Κώδικες Δεοντολογίας.[4] Ακόμη, ενθαρρύνεται σε ενωσιακό επίπεδο η θέσπιση μηχανισμών πιστοποιήσεων και σφραγίδων και σημάτων προστασίας προσωπικών δεδομένων που θα διευκολύνουν την απόδειξη συμμόρφωσης «των πράξεων επεξεργασίας» σύμφωνα με τα ειδικώς οριζόμενα στον GDPR.[5] Σημειωτέον ότι και στις δύο περιπτώσεις, Κώδικες Δεοντολογίας, πιστοποίηση, οι ανάγκες των μικρομεσαίων επιχειρήσεων λαμβάνονται υπόψη.

Επιπλέον, στην κατεύθυνση αυτή σημαντικό ρόλο έχουν και τα Συστήματα Διαχείρισης σχετικά με την Ασφάλεια Πληροφοριών (ΣΔΑΠ) και την προστασία της Ιδιωτικότητας, στις απαιτήσεις των διεθνώς αναγνωρισμένων Προτύπων ISO/IEC, τα οποία χωρίς να εντάσσονται στον ως άνω μηχανισμό της πιστοποίησης του GDPR, αναμένεται να έχουν ευρεία αποδοχή από τις επιχειρήσεις για τους παρακάτω λόγους.

Τι είναι η πιστοποίηση κατά ISO/IEC ;

O International Organization for Standardization (ISO) και η «International Electrotechnical Commission» (IEC) αποτελούν εξειδικευμένο σύστημα παγκόσμιας τυποποίησης με τη συμμετοχή εθνικών φορέων, ως μελών, σε συνεργασία με διεθνείς οργανισμούς, κυβερνητικές και μη οργανώσεις, για την ανάπτυξη Διεθνών Προτύπων μέσω Τεχνικών Επιτροπών, μετά από μακροχρόνια διαβούλευση και με αντικείμενο συγκεκριμένους τομείς.

Γενικά, η πιστοποίηση αναφέρεται σε προϊόντα, διεργασίες, συστήματα ή πρόσωπα και συνδέεται με την ασφάλεια και την ποιότητα, «καθώς μέσω της διαδικασίας που οδηγεί στην απόκτησή της βεβαιώνεται η συμμόρφωση της επιχείρησης σε συγκεκριμένες απαιτήσεις και προδιαγραφές που έχουν οριστεί βάσει συγκεκριμένου προτύπου».[6]

Μιλώντας για ασφάλεια και προστασία δεδομένων οι οικογένειες των πιστοποιητικών ISO/IEC που ενδιαφέρουν άμεσα είναι των σειρών 27K και 29K. Συγκεκριμένα,

Τι είναι το Σύστημα Διαχείρισης της Ασφάλειας των Πληροφοριών (ΣΔΑΠ) ;

Το Σύστημα Διαχείρισης της Ασφάλειας των Πληροφοριών (ΣΔΑΠ) είναι ένα πλαίσιο πολιτικών, διαδικασιών, οδηγιών και των πόρων που απαιτούνται προκειμένου να επιτευχθούν οι στόχοι της επιχείρησης που αφορούν την ασφάλεια των πληροφοριών (διατήρηση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας).[7] Το ΣΔΑΠ διασφαλίζει την κατάλληλη διαχείριση της πληροφορίας ως πολύτιμο κεφάλαιο (asset) της επιχείρησης.

Το διεθνές αναγνωρισμένο πρότυπο ISO/IEC 27001:2013 «Τεχνικές Ασφάλειας – Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών – Απαιτήσεις» ορίζει τις απαιτήσεις για την καθιέρωση, την εφαρμογή, τη διατήρηση και τη συνεχή βελτίωση ενός Συστήματος Διαχείρισης της Ασφάλειας Πληροφοριών.

Τι είναι το Σύστημα Διαχείρισης Πληροφοριών Ιδιωτικότητας (ΣΔΠΙ) ;

Συγκεκριμένα, το νέο ISO/IEC 27701:2019 είναι διεθνές πρότυπο το οποίο υποστηρίζει τη συμμόρφωση με τη διεθνή νομοθεσία για την προστασία της Ιδιωτικότητας, σε αντίθεση με άλλα πρότυπα όπου η πλειοψηφία αυτών έχει περιορισμένο πεδίο εφαρμογής, καθώς εστιάζουν τις απαιτήσεις προστασίας δεδομένων σε συγκεκριμένους επιχειρησιακούς τομείς (π.χ. ISO 27018 για τα δημόσια cloud), ή γεωγραφικές περιοχές (π.χ. BS 10012). Δημοσιεύθηκε από την τεχνική επιτροπή που ανάπτυξε και το ευρέως υιοθετημένο πρότυπο ISO/IEC 27001, λαμβάνοντας υπόψη εισηγήσεις εμπειρογνωμόνων από κάθε ήπειρο με τη συμμετοχή των αρμόδιων εποπτικών αρχών, όπως της Γαλλικής Αρχής Προστασίας Δεδομένων, CNIL. [8]  Η επιτροπή έλαβε υπόψη της, εκτός από τον GDPR, και τη νομοθεσία της Αυστραλίας, της Βραζιλίας, της Καλιφόρνιας και του Καναδά αναφορικά με την προστασία των προσωπικών δεδομένων.

Σκοπός του είναι η ο καθορισμός των πρόσθετων απαιτήσεων και τροποποιήσεων που πρέπει να εφαρμοστούν στα πρότυπα ISO/IEC 27001 και ISO/IEC 27002 για τη δημιουργία, την εφαρμογή, τη διατήρηση και τη συνεχή βελτίωση ενός Συστήματος Διαχείρισης Πληροφοριών Ιδιωτικότητας.[9]

Ποια η σχέση του ISO / IEC 27701 με την προστασία της Ιδιωτικότητας ;

Η εφαρμογή του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) στις απαιτήσεις του ISO / IEC 27001 δεν εγγυάται πλήρως την προστασία τους Ιδιωτικότητας, καθώς εναπόκειται στις επιχειρήσεις να εκτιμήσουν τις νομικές υποχρεώσεις τους και να αποφασίσουν πώς να συμμορφωθούν με αυτές.

Λειτουργώντας συμπληρωματικά, το πρότυπο ISO/IEC 27701 περιλαμβάνει ενδεικτική αντιστοιχία με τον GDPR, όπως αποδεικνύεται από το Παράρτημα Δ, το οποίο συσχετίζει κάθε ρήτρα του προτύπου με το αντίστοιχο άρθρο του GDPR. Συγκεκριμένα, ο παραλληλισμός αφορά τα άρθρα 5 έως και 49, εκτός από το 43 του GDPR (Φορείς πιστοποίησης), προτείνοντας πως η συμμόρφωση προς τις απαιτήσεις και τους ελέγχους του μπορεί να είναι χρήσιμη για την εκπλήρωση των υποχρεώσεων του GDPR.[10]

Επίσης, το ISO/IEC 27701 αντιστοιχεί και σε άλλα αναγνωρισμένα πρότυπα του ISO που υιοθετούν μια γενικότερη προσέγγιση για την προστασία των προσωπικών δεδομένων. [11]

Ποιο είναι το κόστος του για την επιχείρηση ; 

Το άμεσο κόστος πιστοποίησης των Συστημάτων Διαχείρισης διαφοροποιείται βάσει συγκεκριμένων  κριτηρίων, λ.χ. του μεγέθους της επιχείρησης, του κλάδου δραστηριοποίησης, του πλήθους των προς πιστοποίηση Συστημάτων Διαχείρισης που εφαρμόζει, την ωριμότητα του Συστήματος Διαχείρισης (μακροχρόνια ή αρχική εφαρμογή του), το είδος των απαιτούμενων ελέγχων/δοκιμών, τους πόρους που χρησιμοποιεί η επιχείρηση για την επίτευξη των στόχων της κ.ά.

Επιπλέον θα πρέπει να υπολογιστεί περιπτωσιολογικά και το έμμεσο κόστος της προσαρμογής της επιχείρησης στις απαιτήσεις του προτύπου (λ.χ. ανάγκη αγοράς/αναβάθμισης εξοπλισμού, διαχειριστικά κόστη κ.ά.).[12]

Ποια η χρησιμότητα του ISO / IEC 27701 για την επιχείρηση ;

Αρχικά, η επιλογή της επιχείρησης να ενταχθεί προαιρετικά στη διαδικασία πιστοποίησης, αποτελεί καίρια στρατηγική απόφαση αναβάθμισης και εκσυγχρονισμού της, επιφέροντας πολλαπλά οφέλη, όπως βελτίωση της αποδοτικότητας των λειτουργιών της, προσέλκυση κεφαλαίων και πρόσβαση σε χρηματοδότηση, ενώ είναι ιδιαίτερα χρήσιμη σε όσες επιχειρήσεις διαθέτουν εξωστρεφή προσανατολισμό και σχεδιάζουν τη δραστηριοποίησή τους και εκτός Ελλάδας.[13]

Ειδικότερα, η πιστοποίηση στο ISO/IEC 27701 με την ενσωμάτωση των απαιτήσεων του στο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών αφορά κάθε επιχείρηση. Συμβάλλει στην καλύτερη οργάνωση, τη μείωση πιθανών κινδύνων και των συνεπειών τους αναφορικά με την ασφάλεια των προσωπικών δεδομένων. Συντελεί στην απλοποίηση και τον εξορθολογισμό των συμβατικών σχέσεων της επιχείρησης με προμηθευτές και πελάτες. Συντονίζει πιο αποτελεσματικά τους σύνθετους ρόλους του DPO (Data Protection Officer) και του CISO (Chief Information Security Officer) σε όσες επιχειρήσεις έχουν αναθέσει την εποπτεία της προστασίας των προσωπικών δεδομένων και την ασφάλεια των πληροφοριών στα αντίστοιχα πρόσωπα.

Αποτελεί έτσι μια βέλτιστη πρακτική για την επιχείρηση που ενεργεί ως υπεύθυνος επεξεργασίας (controller), εκτελών την επεξεργασία για λογαριασμού άλλου (processor) ή για τους από κοινού υπευθύνους επεξεργασίας (joint controllers). Όπως χαρακτηριστικά αναφέρει η CNIL για το ISO/IEC 27701, «αντιπροσωπεύει την τελευταία λέξη όσον αφορά την προστασία της ιδιωτικής ζωής και θα επιτρέψει στις επιχειρήσεις που το υιοθετούν να επιδείξουν μια ώριμη και ενεργή προσέγγιση στην προστασία των προσωπικών δεδομένων».[14]

Η πιστοποίηση στο ISO/IEC 27701 διευκολύνει την απόδειξη του τρόπου επεξεργασίας των προσωπικών δεδομένων και κυρίως εξασφαλίζει την επαλήθευση των αποδείξεων αυτών από τρίτο, ανεξάρτητο ελεγκτικό φορέα.[15] Με αυτόν τον τρόπο η επιχείρηση μπορεί να χρησιμοποιήσει ένα ακόμη εργαλείο στην εκπλήρωση της βασικής υποχρέωσης λογοδοσίας που υπέχει κατά την επεξεργασία προσωπικών δεδομένων. [16]

Έτσι ενισχύεται η εμπιστοσύνη μεταξύ των ενδιαφερόμενων μερών στις εσωτερικές και εξωτερικές σχέσεις της επιχείρησης, τους επιχειρηματικούς εταίρους, τη Διοίκηση, τους μέτοχους, τους πελάτες, συνεργάτες και τις ρυθμιστικές/εποπτικές αρχές, ως βασική αποστολή του GDPR.

[1] Το ISO/IEC 27701:2019 διατίθεται στα Αγγλικά με το τίτλο «Security techniques-Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines»

[2] Βλ. Γαλλική Αρχή Προστασίας Δεδομένων, CNIL «ISO 27701, an international standard addressing personal data protection», στον επίσημο ιστότοπο της https://www.cnil.fr/en/iso-27701-international-standard-addressing-personal-data-protection

[3] Ως «διακινδύνευση» ορίζεται «η αρνητική ή θετική επίδραση της αβεβαιότητας στην επίτευξη των στόχων» (διατήρηση εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των πληροφοριών) βλ. ISO/IEC Guide 73 «Διαχείριση της διακινδύνευσης – Λεξιλόγιο»

[4] Άρθρο 40 και 41 GDPR. Βλ και EBDP «Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679»

[5] Tα άρθρα 42 επ. GDPR και το άρθ.37 N.4624/19 καθορίζουν τις απαιτήσεις για το σχήμα πιστοποίησης, σύμφωνα με τις οποίες το σχήμα πρέπει να ελέγχεται από φορέα που λειτουργεί σύμφωνα με ένα σύστημα συμμορφούμενο στις απαιτήσεις του ISO 17065:2012 (άρθρο 43). Βλ. EBDP «Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation» και «Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)»

[6] Βλ. Special Report ΣΕΒ «Οφέλη της πιστοποίησης για τις επιχειρήσεις και την οικονομία» όπου στατιστικά στοιχεία, καθώς και τα μεγάλα περιθώρια ανάπτυξης της πιστοποίησης στην Ελλάδα, Τεύχος 53/27.4.2020, δημοσιευμένο στον επίσημο ιστότοπο του ΣΕΒ https://www.sev.org.gr/Uploads/Documents/52951/SR_certification_final.pdf

[7] Βλ. ορισμό ISO/IEC 27000:2018 «Τεχνικές Ασφάλειας – Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών – Επισκόπηση και λεξιλόγιο»

[8] Joint Technical Committee ISO/IEC JTC 1 & Subcommittee SC 27

[9] Όπως περιγράφονται στις ενότητες 5-8 του προτύπου

[10] Βλ. Annex D «Mapping to the General Data Protection Regulation», p.58

11 ISO/IEC 27018, ISO/IEC 29151 και 29100 «Information technology — Security techniques — Privacy framework», βλ. Introduction και Annex Ε ISO/IEC 27701

[12] Κατά κανόνα το έμμεσο κόστος υπερβαίνει το άμεσο κόστος της πιστοποίησης

[13].Βλ. Special Report ΣΕΒ, όπως πιο πάνω

[14] Βλ.CNIL “ISO 27701, an international standard addressing personal data protection”, όπως πιο πάνω

[15] Το ISO / IEC 27701 θα παρέχει την δυνατότητα πιστοποίησης καθώς θα υπόκειται σε έλεγχο από διαπιστευμένο φορέα σε αντίθεση με άλλα πρότυπα τα οποία δεν δύναται να υπόκεινται σε εξωτερικό έλεγχο (π.χ. ISO 29151). Αρχικά, στο στάδιο της ανάπτυξης, έφερε την αρίθμηση ISO / IEC 27552 και πριν την δημοσίευσή του μετονομάστηκε σε ISO / IEC 27701 ώστε να μπορεί να υπόκειται σε εξωτερικό έλεγχο, καθώς σύμφωνα με το ψήφισμα 39/2019 του ISO / Technical Management Board, οποιοδήποτε Σύστημα Διαχείρισης περιέχει απαιτήσεις θα πρέπει να έχει αριθμό με τελευταία ψηφία «01». Για την πιστοποίηση αρχικά θα απαιτηθεί να εκδοθεί το υπό ανάπτυξη, από την μεικτή επιτροπή ISO/IEC JTC 1/SC 27, πρότυπο που θα καθορίζει τις απαιτήσεις για τους φορείς πιστοποίησης (ISO 27006-2 «Απαιτήσεις για φορείς που παρέχουν επιθεωρήσεις και πιστοποίηση σε Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών – Μέρος 2: Συστήματα Διαχείρισης Πληροφοριών Ιδιωτικότητας»)

[16] Άρθρο 5&2 GDPR «Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»)».