SFS-ISO/IEC 29190 Tietosuojakyvykkyyden arviointimalli
-
Upload
suomen-standardisoimisliitto-sfs-ry -
Category
Data & Analytics
-
view
191 -
download
10
Transcript of SFS-ISO/IEC 29190 Tietosuojakyvykkyyden arviointimalli
SFS-ISO/IEC 29190 Tietosuojakyvykkyyden
arviointimalli
Elina Niemimaa, Secrays Tietosuoja ja standardit 13.9.2016
SFS-ISO/IEC29190 Tietosuojakyvykkyyden arviointimalli 13.9.2016 Elina Niemimaa, tietosuojakonsultti
ESITELLÄ TYÖKALU – ISO/IEC29190 STANDARDI – TIETOSUOJAN KEHITTÄMISEEN JA VAATIMUSTENMUKAISUUDEN SAAVUTTAMISEEN.
Esityksen tavoite
SFS-ISO/IEC29190 Tietosuojakyvykkyyden arviointimalli • Miksi – tietosuojakyvykkyyden arvioinnin hyötyjä • Mitä – standardin sisältö • Miten – tietosuojakyvykkyyden arviointi käytännössä
Miksi arvioida tietosuojakyvykkyyttä?
• Sidosryhmät ovat kiinnostuneita organisaatioiden toteuttamasta tietosuojasta – Toiveita/vaatimuksia perustuen esim. lakeihin,
viranomaisvaatimuksiin, “hyviin käytäntöihin”, organisaation liiketoimintaan, riskienhallintaan tai maineen suojaamiseen
• Organisaatioilla on tarve kehittää tietosuojaa systemaattisesti
Standardin tarkoitus
• Tarkoituksena tarjota organisaatioille “ylätason ohjeistusta siitä, kuinka arvioida kykyään (kyvykkyyttään) hallita tietosuojaan liittyviä prosesseja” (s. 4)
• Ei määritä tietosuojaprosessien sisältöä; vain arvioinnin viitekehyksen – Tukee ”ISO/IEC29100 Tietosuojan perusteet” standardin toteuttamista
• Toimintamallin avulla voidaan: – arvioida organisaation tietosuojaan liittyvien prosessien tehokkuus ja
vaikuttavuus – arvioida kyvykkyyden kehittymistä – osoittaa vaatimustenmukaisuutta
Standardi kuvaa kyvykkyyden arvioinnin komponentit
Arviointimallin määritteleminen Kyvykkyyden tasot
Nykyisen kyvykkyyden arviointi suhteessa
tavoiteltuun (arviointiasteikko)
Prosessin muuttamista koskevien ehdotusten
tunnistaminen
Käytännön arviointiprosessi Toistettava prosessi
Case: Standardi työkaluna EU-asetuksen toimeenpanossa • ”Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus
siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin” (15 artikla Rekisteröidyn oikeus saada pääsy tietoihin) Prosessi pyyntöihin vastaamiseen
Prosessi tietopyyntöihin vastaamiseen
Henkilö tekee
pyynnön
Pyynnön tekijän tunnistaminen
Pyynnön oikeellisuuden ja lainmukaisuuden
arviointi
Pyynnön ohjaaminen
oikeille tahoille
Tietojen kerääminen eri järjestelmistä
Tietojen yhdistäminen
Tietojen välittäminen
henkilölle
Arviointiprosessi käytännössä – Standardin ohjeita (1/2)
Arvioinnin suunnittelu
• Kohde, tavoite kyvykkyystaso • Toimintamallin määrittäminen (esim. standardissa kuvattu) • Resursointi, viestintä, haastattelujen aikatauluttaminen
Tietosuojatoimintojen ja tavoitekyvykkyyksien
tunnistaminen
• Tietosuojavaatimukset • Olemassa olevat menettelytavat • Muutoshalukkuus
Tietosuojaan liittyvien prosessien
tunnistaminen
• Esim. EU:n tietosuoja-asetuksen tai ISO/IEC29100 standardin tietosuojamallin periaatteita tukevat prosessit
*Vaiheet perustuvat standardin kappaleeseen 5 ”Kyvykkyyden arviointiprosessi”)
Prosessi tietopyyntöihin vastaamiseen
Henkilö tekee
pyynnön
Pyynnön tekijän tunnistaminen
Pyynnön oikeellisuuden ja lainmukaisuuden
arviointi
Pyynnön ohjaaminen
oikeille tahoille
Tietojen kerääminen eri järjestelmistä
Tietojen yhdistäminen
Tietojen välittäminen
henkilölle
Asetuksen reunaehtoja: • Rekisterinpitäjän on
toimitettava jäljennös käsiteltävistä henkilötiedoista
• Vastaus 1 + 2 kuukauden aikana • Jos rekisteröity esittää pyynnön
sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa
• Vastaus ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin
Arviointiprosessi käytännössä – Standardin ohjeita (2/2)
Tiedonkeruun kriteerien laatiminen
• Miten tietoa kerätään, miten kyvykkyyttä arvioidaan
Tiedonkeruu ja tietojen analysointi
• Prosessien kyvykkyyden arviointi ns. prosessiatribuuttien avulla (esim. prosessien suorituskyky, tuotettujen tuloksien hallinta… )
Tulosten esittäminen
• Tulosten esittäminen esim. taulukoissa tai kuvina
*Vaiheet perustuvat standardin kappaleeseen 5 ”Kyvykkyyden arviointiprosessi”)
Prosessi tietopyyntöihin vastaamiseen
Henkilö tekee
pyynnön
Pyynnön tekijän tunnistaminen
Pyynnön oikeellisuuden ja lainmukaisuuden
arviointi
Pyynnön ohjaaminen
oikeille tahoille
Tietojen kerääminen eri järjestelmistä
Tietojen yhdistäminen
Tietojen välittäminen
henkilölle
Tunnistettuja muutosehdotuksia: • Prosessin lopputuotosten
laadun parantaminen • Henkilön henkilöllisyyden
luotettavampi varmistaminen • Prosessin nopeuttaminen
tietojen keräämisen automatisoinnilla ja manuaalisen työn vähentämisellä
• Henkilötietojen kopioiden poisto järjestelmistä
Prosessi arvioitiin tasolle 1 – Suoritettu. Prosessin lopputuotoksien taso oli kuitenkin vaihteleva.
Yhteenveto
• SFS-ISO/IEC29100 Tietosuojakyvykkyyden arviointimalli sisältää – Tietosuojakyvykkyyden määrittämisen arviointiprosessin vaiheet – Tietosuojakyvykkyyden arvioinnin tasot – Ohjeistusta keskeisistä prosessialueista, joihin verraten
tietosuojakyvykkyys voidaan arvioida – Oheistusta tahoille, jotka arvioivat prosesseja – Ohjeistusta arvioinnin yhdistämisestä organisaation toimintoihin
KYSYMYKSIÄ? KOMMENTTEJA? [email protected]