Wie ISO 27701 die Einhaltung der GDPR ermöglicht

ISO 27001, der APEX-Predator der Informationssicherheit, kann also bei der Einhaltung der GDPR helfen? Nun, das klingt verlockend. Sie brauchen also "nur" eine ISO 27001-Zertifizierung und schon sind Sie konform mit der GDPR? Nicht ganz. Lassen Sie uns einen genaueren Blick darauf werfen.

‍

Zunächst einmal befasst sich die ISO-Norm 27001 nicht direkt mit diesem Thema. Wie immer schickt sie eines ihrer vielen Kinder voraus. In diesem Fall ist es ISO 27701. 

Dieser Influencer ist derzeit ziemlich angesagt in der Datenschutzszene. 

Was also ist ISO 27701 und warum wird sie oft in einem Atemzug mit GDPR genannt? 

‍

Was ist ISO 27701?

‍

Die offizielle Formulierung der Internationalen Organisation für Normung (ISO) lautet:

Dieses Dokument spezifiziert Anforderungen und bietet eine Anleitung für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Privacy Information Management Systems (PIMS) als Erweiterung von ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement im Kontext der Organisation.

‍

Dieses Dokument spezifiziert PIMS-bezogene Anforderungen und bietet Leitlinien für PII-Manager und PII-Verarbeiter, die für die Verarbeitung von PII verantwortlich und rechenschaftspflichtig sind.

Dieses Dokument gilt für alle Arten und Größen von Organisationen, einschließlich öffentlicher und privater Unternehmen, Regierungsbehörden und gemeinnütziger Organisationen, die für die Verarbeitung von PII verantwortlich sind und/oder PII als Teil eines ISMS verarbeiten.

‍

ISO 27701 ist somit ein weiterer Vertreter der ISO 27001-Norm zum Datenschutz. Sie bietet einen Rahmen für die Implementierung und Pflege eines Privacy Information Management Systems (PIMS). 

Ziel der ISO 27701 ist es, Organisationen dabei zu helfen, die Datenschutzrechte von Einzelpersonen zu schützen, indem sie eine Reihe von Anforderungen für die Verwaltung personenbezogener Daten festlegt.

‍

ISO 27701 spezifiziert Anforderungen und gibt Anleitungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Personal Information Management Systems (PIMS) im Kontext des gesamten Informationssicherheitsmanagementsystems(ISMS) einer Organisation.

Moment mal...PIMS?

‍

Was ist ein Personal Information Management System (PIMS)?

Ein Personal Information Management System (PIMS) ermöglicht es den Nutzern, ihre persönlichen Daten so zu verwalten, zu organisieren und weiterzugeben, dass sie ihre Werte und Vorlieben widerspiegeln, und bietet ihnen gleichzeitig mehr Transparenz und Kontrolle über ihre Dateninteraktionen mit verschiedenen Stellen, einschließlich Unternehmen, Behörden und anderen. 

PIMS ist die ultimative Verkörperung eines nutzerzentrierten Ansatzes für das Informationsmanagement, der dem Einzelnen die Freiheit und Autonomie gibt, sich in der komplexen digitalen Welt sicher und problemlos zurechtzufinden.

‍

Was sind die Anforderungen der ISO 27701?

Zu den Anforderungen der ISO 27701 gehören:

‍

Kontext der Organisation: Organisationen müssen den Kontext ihres PIMS festlegen, d. h. sie müssen den Umfang, die Ziele und die rechtlichen Anforderungen in Bezug auf den Datenschutz bestimmen.

‍

Führung: Organisationen müssen Rollen und Verantwortlichkeiten für das Datenschutzmanagement zuweisen und eine Datenschutzpolitik und -ziele festlegen.

‍

Planung: Organisationen müssen Prozesse für das Management von Datenschutzrisiken planen und einrichten, einschließlich der Durchführung von Risikobewertungen und der Implementierung von Kontrollen zur Minderung dieser Risiken.

‍

Unterstützung: Organisationen müssen Ressourcen und Unterstützung für ihr PIMS bereitstellen, einschließlich Schulung, Sensibilisierung und Kommunikation von Datenschutzrichtlinien und -verfahren.

‍

Betrieb: Organisationen müssen ihr PIMS implementieren, einschließlich der Identifizierung und Klassifizierung personenbezogener Daten, der Gewährleistung des Datenschutzes durch Design und Standardeinstellungen sowie der Reaktion auf Datenschutzvorfälle.

‍

Leistungsbewertung: Die Organisationen müssen die Wirksamkeit ihres PIMS überwachen und messen, einschließlich der Durchführung interner Audits und Überprüfungen.

‍‍

Verbesserung: Organisationen müssen ihr PIMS kontinuierlich verbessern, indem sie verbesserungswürdige Bereiche ermitteln und Korrektur- und Präventivmaßnahmen durchführen.

‍

Diese Anforderungen sollen flexibel und an die spezifischen Bedürfnisse und Umstände jeder Organisation anpassbar sein, und Organisationen können sie nutzen, um ein Datenschutzmanagementsystem zu schaffen, das ihre individuellen Bedürfnisse erfüllt.

Klingt vertraut mit der Datenschutz-Grundverordnung. 

‍

Wie ISO 27001 und ISO 27701 die GDPR unterstützen

ISO 27701 kann Organisationen dabei helfen, die Allgemeine Datenschutzverordnung (GDPR) einzuhalten, indem sie zusätzliche Leitlinien für die Umsetzung der GDPR bereitstellt. 

Wir kommen der Sache immer näher... 

GDPR kurz erklärt: Die GDPR ist eine Verordnung über den Datenschutz und den Schutz der Privatsphäre für alle Personen in der Europäischen Union (EU) und dem Europäischen Wirtschaftsraum (EWR).

Möchten Sie mehr über GDPR erfahren? Klicken Sie hier!

Was ist also zuerst zu tun? ISO 27001, ISO 27701 oder GDPR?

Vorab. Trinken Sie erstmal eine leckere Tasse Kaffee! ☕️

‍

Um die Zertifizierung nach ISO 27701 zu erhalten, muss eine Organisation zunächst nach ISO 27001 zertifiziert sein.

Der Grund dafür ist, dass die ISO 27701 auf den Anforderungen und Kontrollen der ISO 27001 aufbaut und zusätzliche datenschutzspezifische Anforderungen enthält.

Um die ISO 27701-Zertifizierung zu erhalten, muss eine Organisation daher zunächst ein ISMS implementieren, das mit ISO 27001 übereinstimmt!

Und dann ein PIMS einführen, das die Anforderungen von ISO 27701 erfüllt. 

Während des Zertifizierungsaudits für ISO 27701 werden sowohl das ISMS als auch das PIMS bewertet, um sicherzustellen, dass die Organisation alle erforderlichen Kontrollen und Prozesse implementiert hat.

Zusammenfassend lässt sich sagen, dass eine Organisation nicht nach ISO 27701 zertifiziert werden kann, ohne zuvor nach ISO 27001 zertifiziert worden zu sein, und dass beide Normen zusammen implementiert werden müssen, um auch die ISO 27701-Zertifizierung zu erhalten.

‍

ISO 27701 und GDPR

Wichtig zu wissen: Die Zertifizierung nach ISO 27701 entbindet eine Organisation nicht von der Notwendigkeit, Datenschutzbestimmungen wie die Allgemeine Datenschutzverordnung der Europäischen Union (GDPR) einzuhalten .

ISO 27701 bietet Anleitungen und Anforderungen für die Implementierung eines Datenschutz-Informationsmanagementsystems (PIMS) innerhalb einer Organisation. Die Norm stimmt mit den Datenschutzgrundsätzen und -konzepten überein, die in vielen Datenschutzvorschriften, einschließlich der GDPR, zu finden sind. 

Die Einhaltung der GDPR und anderer Datenschutzvorschriften erfordert jedoch mehr als nur die Implementierung eines PIMS. Organisationen müssen auch die spezifischen Anforderungen jeder Verordnung einhalten, einschließlich der Datenschutzgrundsätze, der Rechte der betroffenen Personen, der Anforderungen an die Datenverarbeitung, der Verpflichtung zur Meldung von Datenschutzverletzungen und anderer Verpflichtungen, die für jede Verordnung gelten.

‍

Zusammenfassend lässt sich sagen, dass ISO 27701 Organisationen dabei helfen kann, die DSGVO einzuhalten, indem sie einen Rahmen für die Verwaltung personenbezogener Daten bietet und sicherstellt, dass die Datenschutzrechte des Einzelnen geschützt werden. Durch die Umsetzung der ISO 27701-Norm können Organisationen ihr Engagement für den Datenschutz demonstrieren und ihre allgemeine Informationssicherheit verbessern.

‍

Wir helfen Ihnen bei dem Komplettpaket! Kontaktieren Sie uns!