Μετά την εισαγωγή του γενικού κανονισμού για την προστασία των δεδομένων της ΕΕ (GDPR), και τη συνεχή ανάπτυξη σχετικών νόμων για την προστασία των δεδομένων σε παγκόσμια βάση, υπάρχει μια αυξανόμενη ανάγκη για ένα πρότυπο ή έναν κώδικα δεοντολογίας για τη στήριξη της συμμόρφωσης με τα σχετικά πλαίσια.

Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert

 

 

Ένας μικρός αριθμός σχετικών προτύπων έχει προκύψει, συμπεριλαμβανομένου του BS 10012 του Ηνωμένου Βασιλείου (προστασία δεδομένων – Προδιαγραφές για ένα σύστημα διαχείρισης προσωπικών πληροφοριών), αλλά δε διαθέτουν την απαιτούμενη διεθνή αναγνώριση για να αποτελέσουν βάση αποτελεσματικότητας και αξιοπιστίας.

Το πρότυπο ISO / IEC 27701 (Τεχνικές ασφαλείας – Επέκταση των ISO / IEC 27001 και ISO / IEC 27002 για τη διαχείριση των πληροφοριών ιδιωτικότητας – Απαιτήσεις και κατευθυντήριες γραμμές) δημοσιεύθηκε τον Αύγουστο του 2019 και είναι ένα από τα πιο αναμενόμενα πρότυπα στον τομέα της ασφάλειας των πληροφοριών και της διαχείρισης της ιδιωτικής ζωής. Σκοπεύει να καλύψει το κενό διασφάλισης και να παράσχει μια πραγματική διεθνή προσέγγιση στην προστασία των δεδομένων ως επέκταση της ασφάλειας των πληροφοριών.

Η ανάγκη για ένα ISO / IEC σύστημα διαχείρισης ιδιωτικότητας

Ο οργανισμός ISO (Διεθνής Οργανισμός Τυποποίησης) και ο οργανισμός IEC (Διεθνής Ηλεκτροτεχνική Επιτροπή) αναγνωρίζονται διεθνώς ως αρχές στα συστήματα διαχείρισης και βέλτιστων πρακτικών. Οι δημοσιεύσεις ISO / IEC είναι ευρέως αναγνωρισμένες και αναγνωρίσιμες και η πιστοποίηση των προτύπων συστήματος διαχείρισης μέσω αναγνωρισμένων σχημάτων πιστοποίησης είναι ένας εξαιρετικά αποτελεσματικός τρόπος τόσο για την κάλυψη των αναγκών πιστοποίησης όσο και για την επίδειξη της συμμόρφωσης με πελάτες, επιχειρηματικούς συνεργάτες και ρυθμιστικές αρχές.

Ενώ υπάρχουν ήδη ορισμένες δημοσιεύσεις και πρότυπα που αφορούν την προστασία δεδομένων, η πλειοψηφία εξ΄ αυτών δεν είναι διεθνή, εστιάζοντας πρωτίστως στις απαιτήσεις προστασίας δεδομένων και ορθών πρακτικών σε συγκεκριμένους επιχειρησιακούς τομείς ή γεωγραφικές περιοχές. Χαρακτηριστικό παράδειγμα το βρετανικό πρότυπο BS 10012, όπου έχει τις ρίζες του αποκλειστικά στον GDPR και τον νόμο περί προστασίας δεδομένων του Ηνωμένου Βασιλείου (DPA) 2018, το οποίο αποτελεί καλό υποψήφιο πρότυπο για οργανισμούς με έντονο γεωγραφικά περιορισμένο ενδιαφέρον στην Βρετανία. Αντίθετα, μια προσέγγιση βασισμένη σε διεθνείς βέλτιστες πρακτικές πρέπει να είναι ικανή να προσαρμοστεί σε άλλα καθεστώτα και όχι να επιβάλει απαιτήσεις που εξαρτώνται από συγκεκριμένη νομοθεσία.

Αυτό σημαίνει ότι το πρότυπο ISO 27701 υποστηρίζει τη συμμόρφωση με ένα ευρύτερο, διεθνές φάσμα της νομοθεσίας για την προστασία των δεδομένων και της ιδιωτικής ζωής, συμπεριλαμβανομένης της HIPAA (Health Information Portability & Accountability Act) και του CCPA (California Consumer Privacy Act) στις ΗΠΑ.

Πέρα από τις παραπάνω τοπικές πρωτοβουλίες, υπάρχουν επίσης τα πρότυπα ISO 27018 και ISO 29151, τα οποία αποτελούν κώδικες ορθής πρακτικής για την προστασία των Πληροφοριών Προσωπικής Ταυτοποίησης (PII). Το πρότυπο ISO 27018 επικεντρώνεται συγκεκριμένα στα δημόσια Clouds που λειτουργούν ως εκτελούντες την επεξεργασία δεδομένων, ενώ το πρότυπο ISO 29151 υιοθετεί μια γενικότερη προσέγγιση για την προστασία των δεδομένων PII. Αυτά τα πρότυπα καθορίζουν τους στόχους των σημείων ελέγχου (control objectives), τα σημεία ελέγχου και τις κατευθυντήριες γραμμές για την προστασία των PII σύμφωνα με τις επιπτώσεις και την αξιολόγηση κινδύνων. Προσφέρουν αποτελεσματική καθοδήγηση, αλλά δεν υπόκεινται σε εξωτερικό ελεγχόμενο πλαίσιο που μπορεί να προσφέρει εξασφάλιση σε τρίτους. Το πρότυπο ISO 27701 προχωρά ένα βήμα παραπέρα, καθορίζοντας το σύστημα διαχείρισης και τις απαιτήσεις ελέγχου.

Ποια η σχέση του ISO 27701 με το ISO 27001

Παρόλο που ένα «ολοκληρωμένο» σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISMS) ευθυγραμμισμένο με το πρότυπο ISO / IEC 27001: 2013 ενδέχεται να αντιμετωπίζει ήδη ζητήματα προστασίας της ιδιωτικότητας, οι απαιτήσεις του ISO / IEC 27001  μπορούν να ικανοποιηθούν χωρίς να αντιμετωπιστεί πλήρως η προστασία της ιδιωτικότητας. Αυτό σημαίνει ότι τα πιστοποιητικά συμμόρφωσης με το πρότυπο ISO 27001 εκδίδονται χωρίς την εγγύηση κάλυψης των αναγκών προστασίας των δεδομένων PII.

Ενώ η προστασία δεδομένων φυσικά απαιτεί σε ένα βαθμό την ασφάλεια των πληροφοριών (ο GDPR την αντιμετωπίζει ως “τεχνικά και οργανωτικά μέτρα“), προχωρά πολύ περισσότερο από την απλή προστασία των πληροφοριών – ο οργανισμός πρέπει επίσης να προστατεύει τα δικαιώματα των υποκειμένων των δεδομένων, τα οποία δεν μπορούν να είναι εγγυημένα μόνο μέσω της ασφάλειας των πληροφοριών.

Η προσέγγιση του ISO 27701  

Ένα σύστημα διαχείρισης απορρήτου είναι διαφορετικό από ένα σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISMS), αλλά είναι στενά συσχετιζόμενα. Η προσέγγιση που υιοθετεί το ISO 27701 αναγνωρίζει ότι η ασφάλεια των πληροφοριών (διατήρηση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών) είναι μια βασική πτυχή της αποτελεσματικής διαχείρισης της ιδιωτικότητας, και ότι οι απαιτήσεις ενός ISMS τεκμηριωμένες στο ISO 27001 μπορούν να υποστηρίξουν την προσθήκη ειδικών τομεακών απαιτήσεων στο ISMS χωρίς την ανάγκη για νέα προδιαγραφή συστήματος διαχείρισης.

Το ISO 27701 ορίζει τις πρόσθετες απαιτήσεις για ένα ISMS για την προστασία της ιδιωτικότητας και της επεξεργασίας των PII. Αυτά υποστηρίζονται από πρόσθετους ελέγχους που σχετίζονται συγκεκριμένα με την προστασία των δεδομένων και της ιδιωτικότητας. Ως νέο σύνολο, ο παραπάνω συνδυασμός δημιουργεί αυτό που καλεί το πρότυπο ένα σύστημα διαχείρισης πληροφοριών απορρήτου (PIMS).

 

Το πρότυπο ISO 27701

Το ISO 27701 αναπτύχθηκε από την τεχνική επιτροπή ISO SC27 με εισηγήσεις από 25 εξωτερικών φορέων, συμπεριλαμβανομένου του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB). Όπως ήδη τονίστηκε, οι απαιτήσεις επεξεργασίας για τη διασφάλιση της ιδιωτικότητας βασίζονται σε ένα ISMS. Σε μεγάλο μέρος του είναι αναγκαίο κάθε σημείο που στο ISO 27001 γίνεται αναφορά σε “ασφάλεια πληροφοριών” να ερμηνεύεται αντ’ αυτού ως “ασφάλεια και προστασία της ιδιωτικότητας”.  Στη συνέχεια, το Πρότυπο συνεχίζει να προσθέτει απαιτήσεις ιδιωτικότητας σε ορισμένες από τις ρήτρες στο ISO 27001 και στα σημεία ελέγχου του παραρτήματος Α, και προσθέτει ορισμένα στοιχεία για την προστασία της ιδιωτικότητας πέρα από τους υπάρχοντες ελέγχους ασφάλειας των πληροφοριών (και τώρα ιδιωτικότητας). Τέλος, παρέχει καθοδήγηση με βάση εκείνη που διατίθεται στο ISO 27002 υπό την επιφύλαξη εάν ο εν λόγω οργανισμός είναι υπεύθυνος επεξεργασίας δεδομένων ή / και επεξεργαστής δεδομένων. Το ISO 27701 βασίζεται επίσης στην αρχή της ασφάλειας των πληροφοριών κατευθύνοντας τον αναγνώστη στις πιο εκτεταμένες αρχές προστασίας της ιδιωτικότητας στο ISO / IEC 29100. Αυτές καλύπτουν μια ευρύτερη σειρά ανησυχιών για την προστασία της ιδιωτικότητας, συμπεριλαμβανομένων εκείνων που εμπίπτουν στους κανονισμούς περί προστασίας δεδομένων διεθνώς.

Ορισμοί

Το ISO 27701 υιοθετεί μερικούς από τους βασικούς ορισμούς του ISO 29100, ο οποίος χρησιμοποιεί όρους που διαφέρουν από κάποιες άλλες πηγές.

Στοιχεία προσωπικής ταυτοποίησης (PII): «προσωπικά δεδομένα» στο GDPR. Το πρότυπο ISO 29100 ορίζει τα παραπάνω ως “πληροφορία που (α) μπορεί να χρησιμοποιηθεί για τον εντοπισμό του υποκειμένου τον οποίο αφορούν τα δεδομένα (β) είναι ή θα μπορούσε να συνδεθεί άμεσα ή έμμεσα με ένα ΠΙΠ” (ρήτρα 2.9).

PII principal: ‘υποκείμενο δεδομένων’ στο GDPR. Το πρότυπο ISO 29100 ορίζει ως φυσικό πρόσωπο αυτό στο οποίο αναφέρονται οι προσωπικά αναγνωρίσιμες πληροφορίες (PII)” (ρήτρα 2.11).

Ελεγκτής PII: “Υπεύθυνος επεξεργασίας ” στο GDPR. Το πρότυπο ISO 29100 ορίζει αυτό ως “ενδιαφερόμενο ιδιωτικότητας” (ή ενδιαφερόμενο για την προστασία της ιδιωτικής ζωής) που καθορίζει τους σκοπούς και τα μέσα για την επεξεργασία προσωπικών στοιχείων (PII), εκτός από φυσικά πρόσωπα τα οποία χρησιμοποιούν τα  δεδομένα αυτά για προσωπικούς σκοπούς” (ρήτρα 2.10).

Επεξεργαστής PII: “εκτελών την επεξεργασία ” στο GDPR. Το πρότυπο ISO 29100 ορίζει αυτό ως τον φορέα που επεξεργάζεται προσωπικά αναγνωρίσιμες πληροφορίες (PII) εξ ονόματος και σύμφωνα με τις οδηγίες ενός υπεύθυνου επεξεργασίας PII “(ρήτρα 2.12).

Δομή του πρότυπου ISO 27701

Όπως και άλλα πρότυπα ISO, το ISO 27701 διαιρεί το περιεχόμενό του σε ρήτρες, εκ των οποίων οι ρήτρες 5-8 ορίζουν τις πρόσθετες απαιτήσεις και τις τροποποιήσεις που πρέπει να εφαρμοστούν στο πρότυπο ISO 27001 και στις οποίες πρέπει να δοθεί ιδιαίτερη προσοχή.

Ρήτρα 5: Ειδικές απαιτήσεις PIMS – Αυτή η ρήτρα καλύπτει κάθε ρήτρα στο ISO 27001 και προσδιορίζει τα σημεία εκείνα στα οποία είναι απαραίτητο επιπλέον περιεχόμενο. Οι περισσότερες από τις ρήτρες του πρότυπου  ISO 27001 παραμένουν αμετάβλητες, με την προειδοποίηση ότι το ISO 27701 απαιτεί από τον οργανισμό να αναγνωρίσει την ανάγκη του για την προστασία των δεδομένων και στο πλαίσιο αυτό ενημερώνει όλες τις άλλες απαιτήσεις.

Μια άλλη αξιοσημείωτη προσθήκη επηρεάζει την αξιολόγηση κινδύνου, κατά την οποία θα πρέπει να λαμβάνεται υπόψη ο ρόλος του οργανισμού σε σχέση με την επεξεργασία PII – δηλαδή, αν είναι υπεύθυνος ή εκτελών την επεξεργασία και πώς αυτό θα μπορούσε να επηρεάσει τους κινδύνους για τα PII. Σε ένα άλλο σημείο αναγνωρίζεται η ύπαρξη των νέων σημείων ελέγχου και επιτρέπεται στον οργανισμό να συμβιβάσει τα σημεία ελέγχου αυτά, με ένα ευρύτερο φάσμα σημείων ελέγχου, συμπεριλαμβανομένων εκείνων από το πρότυπο ISO 27701.

Ρήτρα 6: Ειδική καθοδήγηση PIMS – Αυτή η ρήτρα παρέχει πρόσθετο περιεχόμενο για τις οδηγίες ελέγχου που ορίζονται στο ISO 27002. Θεσπίζει μια τροποποίηση υψηλού επιπέδου με όλες τις αναφορές σε «ασφάλεια πληροφοριών», η οποία θα “πρέπει να θεωρείται ότι περιλαμβάνει την προστασία της ιδιωτικότητας”.

Σημεία ελέγχου με δυνητικά σημαντικό αντίκτυπο στην προστασία της ιδιωτικότητας απολαμβάνουν εκτεταμένη επιπλέον καθοδήγηση, περιλαμβάνοντας θέματα όπως αφαιρούμενα μέσα, κρυπτογραφία και ασφαλή ανάπτυξη λογισμικού.

Άρθρο 7: Πρόσθετες οδηγίες για υπεύθυνους επεξεργασίας – Αυτή η ρήτρα παρέχει καθοδήγηση σχετικά με τα σημεία ελέγχου του Παραρτήματος Α του ISO 27701, οι οποίοι αφορούν συγκεκριμένα την προστασία της ιδιωτικότητας για τους σκοπούς των υπεύθυνων επεξεργασίας PII. Αυτά τα σημεία ελέγχου καλύπτουν πολλούς από τους κρίσιμους τομείς της προστασίας δεδομένων και της ιδιωτικότητας που δεν καλύπτονται από τα σημεία ελέγχου που παρέχονται στο πρότυπο ISO 27001.

Ρήτρα 8: Πρόσθετες οδηγίες για τους εκτελούντες την επεξεργασία – Αυτή η ρήτρα παρέχει καθοδήγηση σχετικά με τα σημεία ελέγχου του Παραρτήματος Β του ISO 27701, τα οποία επικεντρώνονται στην προστασία της ιδιωτικότητας για τους σκοπούς των εκτελούντων την επεξεργασία PII. Αυτά τα σημεία ελέγχου καλύπτουν πολλούς από τους κρίσιμους τομείς της προστασίας δεδομένων και της ιδιωτικότητας που δεν καλύπτονται από τα σημεία ελέγχου που παρέχονται στο πρότυπο ISO 27001.

Θέματα πιστοποιήσεων – Το άρθρο 42 του GDPR αφορά τα συστήματα πιστοποίησης, αναφέροντας ότι τα κράτη μέλη, οι εποπτικές αρχές, η EDPB και η Επιτροπή θα πρέπει να ενθαρρύνουν σχήματα πιστοποίησης που αποδεικνύουν τη συμμόρφωση με τον κανονισμό.

Παρόλα αυτά, το πρότυπο ISO 27701 δεν πληροί τις απαιτήσεις του κανονισμού GDPR για να αποτελέσει σχήμα πιστοποίησης. Το άρθρο 43 του κανονισμού απαιτεί κάθε σχήμα πιστοποίησης να λειτουργεί σύμφωνα με ένα πιστοποιημένο κατά ISO 17065 σύστημα. Το ISO 27701, ωστόσο, θα εμπίπτει στο πρότυπο ISO 17021-1 και έτσι δεν πληρούνται οι απαιτήσεις του κανονισμού GDPR.

Το εάν η διαπιστευμένη πιστοποίηση σύμφωνα με το πρότυπο ISO 27701 θα είναι αρκετή για πολλούς οργανισμούς και ενδιαφερόμενα μέρη, είναι κάτι για το οποίο θα «αποφασίσει» η αγορά και οι ανά χώρα ρυθμιστικές αρχές. Με δεδομένη, όμως, την ευρεία αποδοχή του πρότυπου ISO 27001 ως μοντέλου για την ασφάλεια πληροφοριών, είναι πιθανό πολλές αγορές να αποδεχθούν την πιστοποίηση ISO 27701 ως επαρκή απόδειξη ότι ο οργανισμός έχει λάβει τα κατάλληλα μέτρα για να καλύψει τις υποχρεώσεις του αναφορικά με την προστασία των δεδομένων και της ιδιωτικότητας.