SFS-ISO/IEC 29190 Tietosuojakyvykkyyden

arviointimalli

Elina Niemimaa, Secrays Tietosuoja ja standardit 13.9.2016

SFS-ISO/IEC29190 Tietosuojakyvykkyyden arviointimalli 13.9.2016 Elina Niemimaa, tietosuojakonsultti

ESITELLÄ TYÖKALU – ISO/IEC29190 STANDARDI – TIETOSUOJAN KEHITTÄMISEEN JA VAATIMUSTENMUKAISUUDEN SAAVUTTAMISEEN.

Esityksen tavoite

SFS-ISO/IEC29190 Tietosuojakyvykkyyden arviointimalli • Miksi – tietosuojakyvykkyyden arvioinnin hyötyjä • Mitä – standardin sisältö • Miten – tietosuojakyvykkyyden arviointi käytännössä

Miksi arvioida tietosuojakyvykkyyttä?

• Sidosryhmät ovat kiinnostuneita organisaatioiden toteuttamasta tietosuojasta – Toiveita/vaatimuksia perustuen esim. lakeihin,

viranomaisvaatimuksiin, “hyviin käytäntöihin”, organisaation liiketoimintaan, riskienhallintaan tai maineen suojaamiseen

• Organisaatioilla on tarve kehittää tietosuojaa systemaattisesti

Standardin tarkoitus

• Tarkoituksena tarjota organisaatioille “ylätason ohjeistusta siitä, kuinka arvioida kykyään (kyvykkyyttään) hallita tietosuojaan liittyviä prosesseja” (s. 4)

• Ei määritä tietosuojaprosessien sisältöä; vain arvioinnin viitekehyksen – Tukee ”ISO/IEC29100 Tietosuojan perusteet” standardin toteuttamista

• Toimintamallin avulla voidaan: – arvioida organisaation tietosuojaan liittyvien prosessien tehokkuus ja

vaikuttavuus – arvioida kyvykkyyden kehittymistä – osoittaa vaatimustenmukaisuutta

Standardi kuvaa kyvykkyyden arvioinnin komponentit

Arviointimallin määritteleminen Kyvykkyyden tasot

Nykyisen kyvykkyyden arviointi suhteessa

tavoiteltuun (arviointiasteikko)

Prosessin muuttamista koskevien ehdotusten

tunnistaminen

Käytännön arviointiprosessi Toistettava prosessi

Case: Standardi työkaluna EU-asetuksen toimeenpanossa • ”Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus

siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin” (15 artikla Rekisteröidyn oikeus saada pääsy tietoihin) Prosessi pyyntöihin vastaamiseen

Prosessi tietopyyntöihin vastaamiseen

Henkilö tekee

pyynnön

Pyynnön tekijän tunnistaminen

Pyynnön oikeellisuuden ja lainmukaisuuden

arviointi

Pyynnön ohjaaminen

oikeille tahoille

Tietojen kerääminen eri järjestelmistä

Tietojen yhdistäminen

Tietojen välittäminen

henkilölle

Arviointiprosessi käytännössä – Standardin ohjeita (1/2)

Arvioinnin suunnittelu

• Kohde, tavoite kyvykkyystaso • Toimintamallin määrittäminen (esim. standardissa kuvattu) • Resursointi, viestintä, haastattelujen aikatauluttaminen

Tietosuojatoimintojen ja tavoitekyvykkyyksien

tunnistaminen

• Tietosuojavaatimukset • Olemassa olevat menettelytavat • Muutoshalukkuus

Tietosuojaan liittyvien prosessien

tunnistaminen

• Esim. EU:n tietosuoja-asetuksen tai ISO/IEC29100 standardin tietosuojamallin periaatteita tukevat prosessit

*Vaiheet perustuvat standardin kappaleeseen 5 ”Kyvykkyyden arviointiprosessi”)

Prosessi tietopyyntöihin vastaamiseen

Henkilö tekee

pyynnön

Pyynnön tekijän tunnistaminen

Pyynnön oikeellisuuden ja lainmukaisuuden

arviointi

Pyynnön ohjaaminen

oikeille tahoille

Tietojen kerääminen eri järjestelmistä

Tietojen yhdistäminen

Tietojen välittäminen

henkilölle

Asetuksen reunaehtoja: • Rekisterinpitäjän on

toimitettava jäljennös käsiteltävistä henkilötiedoista

• Vastaus 1 + 2 kuukauden aikana • Jos rekisteröity esittää pyynnön

sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa

• Vastaus ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin

Arviointiprosessi käytännössä – Standardin ohjeita (2/2)

Tiedonkeruun kriteerien laatiminen

• Miten tietoa kerätään, miten kyvykkyyttä arvioidaan

Tiedonkeruu ja tietojen analysointi

• Prosessien kyvykkyyden arviointi ns. prosessiatribuuttien avulla (esim. prosessien suorituskyky, tuotettujen tuloksien hallinta… )

Tulosten esittäminen

• Tulosten esittäminen esim. taulukoissa tai kuvina

*Vaiheet perustuvat standardin kappaleeseen 5 ”Kyvykkyyden arviointiprosessi”)

Prosessi tietopyyntöihin vastaamiseen

Henkilö tekee

pyynnön

Pyynnön tekijän tunnistaminen

Pyynnön oikeellisuuden ja lainmukaisuuden

arviointi

Pyynnön ohjaaminen

oikeille tahoille

Tietojen kerääminen eri järjestelmistä

Tietojen yhdistäminen

Tietojen välittäminen

henkilölle

Tunnistettuja muutosehdotuksia: • Prosessin lopputuotosten

laadun parantaminen • Henkilön henkilöllisyyden

luotettavampi varmistaminen • Prosessin nopeuttaminen

tietojen keräämisen automatisoinnilla ja manuaalisen työn vähentämisellä

• Henkilötietojen kopioiden poisto järjestelmistä

Prosessi arvioitiin tasolle 1 – Suoritettu. Prosessin lopputuotoksien taso oli kuitenkin vaihteleva.

Yhteenveto

• SFS-ISO/IEC29100 Tietosuojakyvykkyyden arviointimalli sisältää – Tietosuojakyvykkyyden määrittämisen arviointiprosessin vaiheet – Tietosuojakyvykkyyden arvioinnin tasot – Ohjeistusta keskeisistä prosessialueista, joihin verraten

tietosuojakyvykkyys voidaan arvioida – Oheistusta tahoille, jotka arvioivat prosesseja – Ohjeistusta arvioinnin yhdistämisestä organisaation toimintoihin

KYSYMYKSIÄ? KOMMENTTEJA? Elina.Niemimaa@secrays.com