尽管GDPR生效已超过一年,但迄今为止,还没有针对它的认证标准。 Coalfire的David Forman探索了新发布的ISO 27701如何与GDPR保持一致,以及将其用作GDPR认证标准的可能性和后果。
2019年8月6日,国际标准化组织(ISO)提前五个月发布了ISO / IEC 27701:2019(ISO 27701)标准。 此版本是第一个国际隐私标准; 它概述了实施组织计划(称为隐私信息管理系统(PIMS))以管理对个人身份信息(PII)进行处理的要求。
ISO 27701是第一个引用非ISO实际开发的外部框架或出版物的ISO标准。 在这种情况下,外部参考不过是标题为欧盟通用数据保护条例( GDPR )的标题。 考虑到隐私问题的历史和现状,全球隐私法规,实施以及ISO 27701的当前通过,必须考虑ISO 27701是否可以成为GDPR的认证途径。
要了解该标准对证明遵守隐私规则可能产生的影响,我们必须首先研究自GDPR引入以来监管机构对隐私观点的演变,这在为数据主体权利设定新的基准和解释方面具有变革性。
自2018年5月生效以来,由于人们认为对PII的保护不当或疏忽,违反GDPR的行为对谷歌,Facebook,万豪和英国航空等公司造成了巨额罚款。
为了捍卫数据保护机构(希望证明其执行GDPR的能力)所针对的这些早期示例:
如果无法完全减轻风险的定义,那么这些跨国公司如何获得任何保证,以确保自己已尽力遵守该法律?
现代安全员应该客观地展示什么,以向董事会保证他们具有可接受的保护水平?
如果仍然普遍将安全性和隐私保护误认为是同一控制活动的输出,那么数据保护官(DPO)的这一新角色实际上会产生什么影响?
组织已经尝试对GDPR进行进一步的解释和澄清,尽管GDPR第42条明确规定了“认证机制”,但仍没有认可的确定合格性的方法(但未阐明)。
随着越来越多的数据保护机构(如国家信息自由委员会(CNIL)和信息专员办公室(ICO))面临压力,要求它们迅速采取调查行动并就GDPR的解释提供评论,CNIL的出现是非常特殊的法国国家数据保护局,在上个月的标准制定会议上在新加坡举行的技术委员会中派代表参加了会议,讨论了ISO 27701的最终修订和发布。
在检查会议记录时,主要讨论重点是通过重新编号国际标准并将这些新要求映射到GDPR来推动PIMS的快速采用。 技术委员会能够(也许很方便)使GDPR中的所有条款与ISO 27701保持一致,但第43条除外,该条款详细规定了为GDPR提供认证的机构或各种认证计划的要求,以确保标准审核员保持某种形式的统一。
尽管ISO 27701尚不受英国认证服务局(UKAS)或ANSI国家认证委员会(ANAB)等认证机构的监管,但尽管未定义既定的计划,但预计认证机构将开始根据这一新的国际标准进行审核在国际认证论坛(IAF)级别。
在许多方面,该认证机制已经过时,因为定义该计划的法律已经生效了一年多。 如果通过任何数据保护机构的认可,PIMS成为“ GDPR认证”的代名词,组织将最终拥有一种方法,可以通过第三方审核客观地证明其符合性。
此外,通过定期独立检查的经认证合规计划,将对该行业产生许多下游影响,包括在GDPR相关调查中提供更好的辩护; 对隐私法,产品和技术支持进行更详尽的说明; 以及更多客观信息,供保险承保人确定风险。
这项新标准是对与隐私相关的风险进行持续管理的重要里程碑,并且是随着组织环境的发展而提倡成熟流程的替代规范性参考。 由于现有认可要求与那些在GDPR中提供认证的机构详细规定的条款重叠,因此合格评定机构可能会被利用来对该新标准进行立即审核和评估。