Kradzież danych osobowych – jak z nimi walczyć korzystając z norm ISO?
Rośnie liczba naruszeń danych w wiodących firmach. Przypadek Uber’a to kradzież danych 57 milionów pasażerów i kierowców. Equifax, ogromna amerykańska firma kredytowa utraciła dane 143 milionów osób, natomiast w zeszłym miesiącu Yahoo przyznał, że w 2013 skradziono dane prawie trzech miliardów użytkowników.
Sytuacja motywuje regulatorów do wprowadzania zmian w zakresie prawnym. Przykładem są zmiany Unii Europejskiej o ochronie danych osobowych, które mają wejść w życie ostatecznie w maju 2018 (GDPR).
Ochrona danych osobowych ma ogromne znaczenie w dzisiejszych czasach. Aby dopełnić obowiązku i usprawnić przepisy, trzy największe międzynarodowe organy normalizacyjne: IEC, ISO oraz ITU opublikowały nowy kodeks postepowania w zakresie danych osobowych. ISO/IEC 29151 | ITU-T X.1058 został przygotowany przez grupę ISO/IEC JTC 1/SC27, czyli grupę ekspertów ds. Normalizacji oraz ITU-T17, czyli Międzynarodowy Związek Telekomunikacyjny.
Kradzież danych osobowych jest problemem globalnym i dotyczy coraz większej ilości firm. Sektory, w których te dane są przerabiane „hurtowo”, czyli służba zdrowia czy koncerny finansowe, potrzebują takich regulacji jak najszybciej. ISO/IEC 29151 | ITU-T X.1058 to wytyczne dla rządu i przemysł.
Norma ISO/IEC 27002 (techniki bezpieczeństwa – praktyczne zasady zabezpieczania informacji) jest odpowiednia dla każdego typu biznesu, w którym występują dane osobowe, dla prywatnych lub państwowych firm lub też organizacji charytatywnych.
Standardy te określają wytyczne dotyczące nadzorowanie i ochrony danych, obrazują zagadnienia celów nadzoru, ocen ryzyka we współpracy z organizacjami i sposoby wdrażania powszechnie akceptowanych zabezpieczeń informacji. Pomagają one firmom opracować własne procedury w zakresie zarzadzania bezpieczeństwem informacji oraz wybierać te, które są zgodne z międzynarodowymi normami.
Załącznik tej normy podaje przykłady proponowanej struktury zarządzania w firmach z naciskiem na bezpieczeństwo ochrony danych osobowych oraz zachęca do współpracy pomiędzy pracownikami firm a zespołami prawniczymi w celu poprawnej interpretacji przepisów. Informacje zawarte w załączniku mówią o minimalizacji zbioru danych, zachęcają do „przejrzystości” w ich przechowywaniu oraz co najważniejsze do kontroli „zgody” podmiotu na ich przetwarzanie.
Norma jest dostępna w sklepie ISO w wersji angielskiej.
Tłumaczenie i opracowanie:
Anna Pinkosz-Ganuri, Daniel J. Kowalski
Źródło: www.iso.org