22 joulukuuta 2020

Osoita henkilötietojen vastuullinen hallinta ISO/IEC 27701 -sertifioinnilla

FI_tietoturva.jpg

Kiwa Inspecta on myöntänyt ensimmäisen ISO/IEC 27701 -sertifikaatin Aditrolle (Aditro Holding AB). Sertifikaatti kattaa palkanlaskennan ja henkilöstöhallinnon järjestelmien kehittämisen sekä ulkoistetun palkanlaskennan toiminnot Suomessa, Ruotsissa ja Norjassa. Tietosuojan hallintajärjestelmän peruskivenä on Kiwa Inspectan Aditrolle myöntämä ISO/IEC 27001 tietoturvallisuussertifikaatti.

Henkilötietojen suojaaminen on vastuullisuutta

Tiedon on sanottu olevan uusi öljy ja datasta huolehtiminen on nostettu osaksi yritysvastuullisuutta. Erityisen tärkeää huolellisuus ja vastuullisuus ovat henkilötiedon kohdalla, velvoittaahan tähän jo tietosuoja-asetuskin (GDPR). Tiedätte kenties organisaationa toimivanne vastuullisesti, mutta miten osoittaa vastuullisuus henkilötietojen käsittelyssä ja suojaamisessa käytännössä? Tietosuojan hallintajärjestelmän puolueeton, ulkopuolinen sertifiointi uuden kansainvälisen standardin ISO/IEC 27701 mukaisesti on hyvä tapa viestiä omille sidosryhmilleen vastuullisesta ja tietoturvallisesta henkilötietojen hallinnasta.

Hallintajärjestelmä on johtamisjärjestelmä

Hallintajärjestelmän käyttöön ottaminen on organisaation strateginen päätös. Hallintajärjestelmä tuleekin nähdä nimenomaan johtamisen välineenä ja strategian toteuttamisen työkaluna. Henkilötietojen hallintaan ja turvaamiseen tarkoitettu johtamisjärjestelmä rakentuu yhdistämällä standardin ISO/IEC 27701 vaatimukset ISO/IEC 27001 -mukaiseen tietoturvallisuuden hallintajärjestelmään. Näiden kahden vaatimuskokoelman vaatimukset täyttämällä syntyy tietosuojan hallintajärjestelmä (Personal Information Mangement System PIMS), joka on linjassa Euroopan Unionin tietosuoja-asetuksen vaatimusten kanssa. Vaatimusten mukainen hallintajärjestelmä on vahva tietosuojan johtamisen ja toteuttamisen työkalu. Sertifioituna voit osoittaa tämän myös sidosryhmillesi.*

Riskit hallintaan ja tavoitteet todeksi

On organisaatiosi sitten rekisterinpitäjän tai käsittelijän (tai molempien) roolissa, on tärkeää tunnistaa missä roolissa toimii ja mitä velvoitteita tuo rooli tuo mukanaan. Käsittelyn lainmukaisuus ja rekisteröidyn oikeudet ovat tärkeitä peruslähtökohtia, samoin kuin sisäänrakennettu ja oletusarvoinen tietosuoja. Henkilötiedon suojaamiseen kohdistuvien riskien tunnistaminen ja hallinta ovat tietosuojan hallintajärjestelmän perusolettamuksia- ja mekanismeja. Riskien lieventämiseksi on standardissa ISO/IEC 27001 joukko hallintakeinoja (kontrolleja), joihin organisaation tulee tietoturvan osalta ottaa kantaa. Standardi ISO/IEC 27701 tarjoaa näihin hallintakeinoihin tietosuojaan liittyvää lisäohjeistusta sekä lisähallintakeinoja niin rekisterinpitäjälle kuin käsittelijällekin. Riskien ja velvoitteiden tunnistaminen luo hyvän pohjan tavoitteiden asettamiselle ja sopivien mittarien määrittelylle.

Kiwa Inspecta -- luotettava kumppani

Kiwa Inspectan vankka kokemus tietoturvallisuuden sertifioinnissa ja pätevä arvioijakaarti takaavat luotettavan ja laadukkaan sertifioinnin myös tietosuojan hallintajärjestelmän osalta. Arvioijillamme on vahva toimialatuntemus sekä sertifioidut pätevyydet mm. standardien ISO/IEC 27001 (tietoturvallisuus), ISO/IEC 27701 (tietosuoja), ISO/IEC 20000-1(palvelunhallinta) ja ISO 22301 (liiketoiminnan jatkuvuudenhallinta) alueilta.

 

*) On tärkeää pitää mielessä, ettei ISO/IEC 27701 mukainen tietosuojan hallintajärjestelmän sertifiointi ole Euroopan Unionin tietosuoja-asetuksen 42 ja 43 artiklan mukainen sertifiointi, joka osoittaa organisaation täyttävän tietosuoja-asetuksen vaatimukset. Organisaation, jolla on ISO/IEC 27701 -sertifioitu hallintajärjestelmä, tulee erikseen huolehtia asetuksen vaatimusten mukaisesta toiminnasta.