GDPR i ISO 27001 se s vremena na vrijeme spominju zajedno i to najčešće u kontekstu teze da vam ne treba usklađivanje s GDPR-om ako imate ISO 27001. Ta teza nas je zaintrigirala, pa smo ju odlučili provjeriti za vas i ujedno saznati koliko i kako su zapravo oni uopće povezani.
GDPR kao Opću uredbu o zaštiti osobnih podataka nije potrebno previše predstavljati. To je pravni propis kojem je cilj pružiti zaštitu osobnim podacima pojedinca, ali i pruža upute voditeljima i izvršiteljima obrade kako postupati s tim istim podacima.
S druge strane Norma ISO 27001 usvaja procesni pristup pri implementaciji, djelovanju, nadziranju, održavanju i poboljšavanju sustava upravljanja sigurnošću informacija u različitim vrstama organizacija.
ISO 27001
ISO 27001 izdala je ISO organizacija (International Organization for Standardization). Prvi je put objavljena 2005. godine kao zamjena za BS 7799.
Norma zauzima sveobuhvatan pristup zaštiti informacija i imovine. Imovina koja zahtijeva zaštitu obuhvaća od digitalnih informacija, papirnih dokumenata i fizičke imovine (kompjuteri i mreža) sve do znanja kojim raspolažu pojedini djelatnici. Područja koja trebate uzeti u obzir prilikom primjene sežu od razvoja kompetencija djelatnika, do zaštite od neovlaštenog pristupa podacima.
Preklapanja
GDPR se doista preklapaju u nekim dijelovima, npr. u područjima pseudonimizacije i enkripcije podataka. Dodirna točka je i implementiranje procesa za testiranje i evaluaciju učinkovitosti tehničkih i organizacijskih mjera, te osiguranje povjerljivosti, sigurnosti, dostupnosti i otpornosti sustava i usluga. Bitna stavka je i dostupnost i pravovremen pristup osobnim podacima u slučaju fizičkog ili tehničkog incidenta.
Uz efikasan sustav menadžmenta podataka koji vam pomaže stvoriti ISO 27001, poglavito ako ga dobro provedete, možete očekivati i da ćete se lakše nositi s uništenjima podataka, gubitke ili eventualnu izmjenu, te nezakonitim pristupima podacima. Uz tehničke kontrole, ISO 27001 vam donosi i još jednu bitnu prednost. Vaši zaposlenici kroz provođenje standarda razvijaju kulturu i svjesnost o sigurnosti podataka. Zaštita podatka se ne odnosi samo na tehnologiju, bitni faktor su i ljudi, a zaposlenici koji su imali posla s ISO normom, imaju više znanja i sposobnosti da efikasno funkcioniraju i u skladu s GDPR-om.
Usporedba
Uspoređivanjem GDPR-a i ISO norme 27001, vidne su i razlike. Dok je ISO strogo fokusiran na informacijsku sigurnost i cyber napade, GDPR ima širi spektar djelovanja, koji, između ostaloga pokriva i prava ispitanika. GDPR se fokusira na privatnost podataka i zaštitu osobnih podataka, te na temelje obrade podataka i zakonitost pribavljanja. S druge strane nedostaju mu tehnički aspekt, tj konkretne i koncizne upute kako postupiti u datoj situaciji. Upravo tu prazninu nadopunjuje ISO 270001.
Zaključak
Iako na prvi pogled ISO norma i Uredba pokrivaju istu tematiku zahtjevi norme ne zadovoljavaju u potpunosti zahtjeve koje GDPR stavlja pred svoje obveznike. ISO norma 27001 predstavlja odličan temelj za početak usklađivanja s Uredbom, mnoge njezine funkcionalnosti olakšati neizmjerno će vam olakšati proces prilagodbe. Usprkos tome ona sama po sebi nije dovoljna da bi mogli reći da ste u potpunosti usklađeni i sa sigurnošću dočekati eventualnu inspekciju.
