Open search

    Apua henkilötietojen hallintaan – ISO 27701 -standardi haltuun

    International Organization for Standardization (ISO) toi elokuussa monelle pitkään kaivattua helpotusta, kun se julkaisi tietosuojan hallintaa koskevan standardin nimeltä ISO 27701. Standardi luotiin laajennukseksi ISO 27001:lle, joka on yksi tunnetuimmista tietoturvan hallintaan keskittyneistä standardeista.

    Tässä standardissa ja sen vaatimuksissa on kattavasti huomioitu esimerkiksi EU:n tietosuoja-asetus (GDPR) rekisterinpitäjän ja henkilötietojen käsittelijän näkökulmista. Standardin myötä organisaatioiden tietosuojasta vastaavat saavat konkreettisen työkalun osoitusvelvollisuuden toteuttamiseksi.

    Siinä missä ISO 27001 auttaa organisaatioita luomaan tietoturvallisuuden hallintajärjestelmän (engl. Information Security Management System, ISMS), ISO27701 tarjoaa organisaatiolle viitekehyksen, jolla se voi luoda eri tietosuojalainsäädännöt ja vaatimukset huomioonottavan henkilötietojen hallintajärjestelmän (engl. Personal Information Management System, PIMS).

    ISO 27701 -standardin keskeinen sisältö pähkinänkuoressa

    Yksinkertaistettuna standardi koostuu kolmesta osa-alueesta:

    1. PIMS:n vaatimukset, jotka liittyvät suoraan ISO 27001:n mukaisen tietoturvallisuuden hallintajärjestelmän (ISMS) muokkaamiseen.
    2. PIMS:n vaatimukset, jotka liittyvät ISO 27001:n hallintakeinoihin, ts. kontrolleihin, joilla pyritään varmistamaan hallintajärjestelmän laadukas ja tehokas toiminta.
    3. Muut vaatimukset rekisterinpitäjälle ja henkilötietojen käsittelijälle

    Standardin vaatimusten on tarkoitus muokata olemassa olevaa tietoturvallisuuden hallintaa siten, että se huomioisi tarkemmin myös henkilötiedot. Toisin sanoen jo olemassa olevia (olettaen, että organisaatio on toteuttanut ISO 27001:n) vaatimuksia muokataan, kieliasua korjataan ja prosesseja uudistetaan ottamalla henkilötiedot huomioon. Tämän lisäksi standardissa esitetään tietosuojalainsäädännöstä peräisin olevia vaatimuksia, jotka tulee ottaa huomioon PIMS:ssä.

    Tämän lisäksi standardin liitteet A ja B sisältävät hallintakeinoja rekisterinpitäjälle ja käsittelijälle. Niiden avulla organisaatio saa konkreettisen "tehtävälistan", ja mikäli jokainen näistä tehtävistä saadaan hyvällä omallatunnolla merkittyä toteutuneeksi/tehdyksi, on organisaatio ottanut myös GDPR:n vaatimukset kattavasti huomioon. Tämä ei kuitenkaan tarkoita, että organisaatio noudattaisi 100-prosenttisesti asetusta– sellaista organisaatiota ei ole olemassakaan, mutta ainakin riskiperusteiselta kantilta ollaan henkilötietojen suojaamisessa todella pitkällä.

    Standardin tuomat hyödyt

    Standardin mukainen henkilötietojen hallintajärjestelmä tarjoaa selkeitä hyötyjä organisaatioille,
    vaikka sillä ei olisi ennestään tietoturvallisuuden hallintajärjestelmää tai
    halua käydä sertifiointiprosessia läpi:

    • PIMS:n avulla on yksinkertaisempaa ja uskottavampaa osoittaa, että esimerkiksi GDPR:n vaatimukset on huomioitu
    • PIMS herättää luottamusta ja lisää läpinäkyvyyttä henkilötietojen käsittelyssä asiakkaille, työntekijöille, yhteistyökumppaneille ja muille sidosryhmille
    • Tämä voi vähentää potentiaalisten tai nykyisten asiakkaiden selvitys- ja tarkastuspyyntöjä esimerkiksi sopimusneuvotteluiden yhteydessä
    • Suurten organisaatioiden näkökulmasta ISO27701 auttaa määrittämään selkeät roolit, vastuut, toimintatavat ja prosessit, joiden avulla on helpompi varmistua siitä, että toimintaan liittyvät säädökset on otettu tarkasti huomioon, mikä puolestaan vähentää riskejä.
    Mikäli olet kiinnostunut ISO 27701:n tai ISO 27001:n toteuttamista tai haluaisit kuulla asiasta lisää niin olethan yhteydessä – asiantuntijamme kertovat mielellään, mitä nämä hallintajärjestelmät vaativat ja konkreettisesti tarkoittavat sekä millaisia hyötyjä asiakkaamme ovat saaneet.

    Lisätietoja

    Eero Paajanen