Le RGPD de l'UE salue une nouvelle ère de protection des données dans laquelle le respect des cases à cocher est remplacé par la compréhension et la responsabilité.
En janvier dernier, Elizabeth Denham, la commissaire britannique à l'information, a prononcé un discours sur le RGPD et la responsabilité devant l'Institut des comptables agréés.
Le message était clair :
« La nouvelle législation impose aux entreprises de comprendre les risques qu'elles créent pour les autres et d'atténuer ces risques. Il s’agit de cesser de considérer la loi comme un exercice de coche de cases et de travailler plutôt sur un cadre qui peut être utilisé pour construire une culture de la vie privée qui imprègne toute une organisation.
Commissaire britannique à l'information
Le règlement RGPD remplace l'actuel Loi de protection des données dans seulement 10 mois. Il se concentre sur vous en tant que responsable du traitement des données de Informations personnelles identifiables (PII) liés aux clients, aux prospects et au personnel. Il se concentre également sur vous en tant que sous-traitant d'autres données précieuses.
L’énormité du RGPD et ses implications pour les entreprises de toutes tailles commencent tout juste à se faire sentir pour beaucoup.
Parce qu'il n'y a pas de confidentialité des données sans protection des données et il n'y a pas de protection des données sans sécurité des informations. Plus profondément encore, les exigences du RGPD couvrent les processus, les personnes et la technologie, s'étendant à l'ensemble de l'organisation et nécessitant un changement culturel, voire un changement en « C », pour beaucoup.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
Alors que Denham fait référence à des cadres, à l'atténuation des risques et à la création de cultures, il n'existe actuellement aucun Un « cadre » RGPD à suivre ou bien une certification qui peut démontrer aux régulateurs et clients que vous êtes conforme.
L’avantage de suivre un cadre est que la structure éprouvée a déjà été définie, ce qui permet d’économiser énormément de temps. Et, avec le temps qui passe, pourquoi créer un cadre alors qu'il existe déjà quelque chose qui vous permettra d'y parvenir de manière significative ?
Certain citation NIST Cyber Security et Cyber Essentials comme des approches utiles. Malheureusement, ils ne sont pas en eux-mêmes suffisants pour répondre aux exigences réglementaires en matière de sécurité des informations pour le RGPD.
Cependant, la norme ISO 27001 satisfaire à de nombreuses exigences du RGPD et constitue un cadre de gouvernance global du système de gestion de la sécurité de l'information (ISMS). Il s'agit également du cadre de meilleures pratiques ISMS reconnu au niveau international, le seul à couvrir les processus, les personnes et la technologie dans l'atténuation des risques entourant tous les actifs informationnels de valeur, par exemple la propriété intellectuelle et les données financières, et pas seulement les informations personnelles.
En utilisant la norme ISO 27001, vous pouvez transformer votre défi RGPD en une opportunité.
Empêcher votre organisation de simplement respecter les exigences réglementaires exigences pour démontrer un SMSI accrédité en externe nécessite juste un peu plus d'effort. Cependant, cela apportera de plus grands avantages organisationnels en termes de nouvelles opportunités commerciales, de renforcement de la confidentialité des données et de la sécurité des informations dans l'ensemble de votre propre organisation et de celle de votre chaîne d'approvisionnement et, en fin de compte, de réduction des risques.
D’ici mai 2018, les organisations doivent être en mesure de démontrer leur conformité aux RGPD ou risquer non seulement des violations coûteuses, mais aussi des enquêtes réglementaires et une application d'amendes beaucoup plus punitives. Le Bureau des commissaires à l'information du Royaume-Uni aide les organisations à se préparer au RGPD avec un ensemble de mesures simples boîtes à outils d'auto-évaluation pour évaluer l'état de préparation au RGPD en termes de protection des données, de sécurité de l'information et de gestion des dossiers.
Les régulateurs vérifieront que vous avez compris et géré les risques liés aux données, que vous avez mis en place des procédures documentées et que vous disposez de toutes les informations nécessaires. sensibilisation du personnel et l’engagement en faveur de la confidentialité des données. En utilisant ISMS.online, vous pouvez accélérer votre préparation au RGPD pour respecter les délais impartis.
Et, si vous êtes prêt à franchir quelques étapes supplémentaires, vous pouvez créer un SMSI aligné sur ISO 27001 et obtenez une certification externe pour démontrer facilement la confiance en vous et en votre chaîne d'approvisionnement.
