datenschutzmanagementsysteme und gdpr - nik-nbg.de · • information security (iso/iec 27001) •...
TRANSCRIPT
Uwe Rühl
Datenschutzmanagementsysteme und GDPRIt-sa 2018
Internal use only | v1.0
Blog: www.rucon-group.com/blog
Newsletter: www.rucon-group.com/newsletter
Twitter: @Uwe_Ruehl
© RUCON Gruppe 2Öffentlich | v1.0
Vorstellung qSkills• Gegründet: Mai 2002
• Region: Deutschland,
Österreich,
Schweiz
• Trainer: ~170 Trainer mit Praxiserfahrung
• Standorte: Nürnberg, München, Hamburg, Frankfurt und Zürich,
Inhouse-Trainings auf Anfrage
• Partner: SNIA, IRCA, NetApp, PureStorage, Fujitsu,
CommVault, Brocade
• Kompetenz: 20 Jahre Erfahrung mit IT-Trainings
© RUCON Gruppe 3Öffentlich | v1.0
Gegründet 2005 in NürnbergSpezialisiert auf Auditierung, Training und Beratung zu• Information Security (ISO/IEC 27001)• Business Continuity (ISO 22301)• Cloud Information Security (ISO/IEC 27017 and ISO/IEC 27018)• Data Protection Management – seit 2011 globale Erfahrung! (BS 10012) • Quality Management (ISO 9001)
Ausbildung von Auditoren (IRCA zertifiziert) und Coaching von Zertifizierungsstellen
© RUCON Gruppe 4Öffentlich | v1.0
• Zertifizierungen zum Nachweis der Einhaltung von Vorgaben auf freiwilliger Basis möglich
• Zertifizierungsstellen oder Aufsichtsbehörden können Zertifizierungen anbieten
• Zertifizierungsstellen müssen gem. Art 43 akkreditiert sein• Zertifizierungsmöglichkeit adressiert sowohl Controller als auch
Processor
• Bisher noch keine Akkreditierungen gem. Art. 43 vorhanden!
GDPR (EU-DSGVO) – Art. 42/43
© RUCON Gruppe 5Öffentlich | v1.0
ISO 29100 series-complex, noData Protection Management System standard available yet-but a good extension to existing management systems
ISO/IEC 27001-suitable, but scope of management system needs to cover all aspect of processing PII
ISO/IEC 27018-good approach, but limited to public cloud services
BS 10012:2017-covers all relevant aspects of GDPR in a Data Protection Management System
ISO/IEC 27018• Schöne Option, aber kein
Allheilmittel! • Protecting PII in Public
Cloud Services
ISO/IEC 27001 und zukünftig ISO/IEC 27552• Etabliert, muss um
Datenschutzaspekte angereichert werden
BS 10012:2017• Managementsystem-
standard der an GDPR umfangreich angepasst wurde
ISO 29100 Serie• Normenserie rund um
Datenschutz- und Datensicherheitsthemen
© RUCON Gruppe 6Öffentlich | v1.0
ISO 29100 series-complex, noData Protection Management System standard available yet-but a good extension to existing management systems
ISO/IEC 27001-suitable, but scope of management system needs to cover all aspect of processing PII
ISO/IEC 27018-good approach, but limited to public cloud services
BS 10012:2017-covers all relevant aspects of GDPR in a Data Protection Management System
ISO Privacy compliance
Information Security
Accountability
Individual participation
and access
Openness, transparency,
notice
Accuracy and quality
Use, retention, disclosure
Data minimization
Collection limitation
Purpose legitimation
Consent and choice
ISO 29100 Serie
© RUCON Gruppe 7Öffentlich | v1.0
ISO 29100 series-complex, noData Protection Management System standard available yet-but a good extension to existing management systems
ISO/IEC 27001-suitable, but scope of management system needs to cover all aspect of processing PII
ISO/IEC 27018-good approach, but limited to public cloud services
BS 10012:2017-covers all relevant aspects of GDPR in a Data Protection Management System
ISO/IEC 27001
Quelle: https://www.nuernbergwiki.de/index.php/Schedelsche_Weltchronik; Schedel 1493
© RUCON Gruppe 8Öffentlich | v1.0
ISO 29100 series-complex, noData Protection Management System standard available yet-but a good extension to existing management systems
ISO/IEC 27001-suitable, but scope of management system needs to cover all aspect of processing PII
ISO/IEC 27018-good approach, but limited to public cloud services
BS 10012:2017-covers all relevant aspects of GDPR in a Data Protection Management System
ISO/IEC 27001undISO/IEC 27552
Quelle: https://www.nuernbergwiki.de/index.php/Schedelsche_Weltchronik; Schedel 1493
© RUCON Gruppe 9Öffentlich | v1.0
ISO 29100 series-complex, noData Protection Management System standard available yet-but a good extension to existing management systems
ISO/IEC 27001-suitable, but scope of management system needs to cover all aspect of processing PII
ISO/IEC 27018-good approach, but limited to public cloud services
BS 10012:2017-covers all relevant aspects of GDPR in a Data Protection Management System
ISO/IEC 27001undISO/IEC 27552
Quelle: ISO.org
• Wichtige Frage: Controller oder Processor?
• Ergänzt das Statement of Applicability
• Ergänzt die Umsetzungsempfehlung zur ISO/IEC 27002
• Normativer Anhang zu Processor-Controls
• Normativer Anhang zu Controller-Controls
• ABER: darf keine GDPR-Anforderungen darstellen!
© RUCON Gruppe 10Öffentlich | v1.0
ISO 29100 series-complex, noData Protection Management System standard available yet-but a good extension to existing management systems
ISO/IEC 27001-suitable, but scope of management system needs to cover all aspect of processing PII
ISO/IEC 27018-good approach, but limited to public cloud services
BS 10012:2017-covers all relevant aspects of GDPR in a Data Protection Management System
ISO/IEC 27018
ISO Privacy compliance
Information Security
Accountability
Individual participation
and access
Openness, transparency,
notice
Accuracy and quality
Use, retention, disclosure
Data minimization
Collection limitation
Purpose legitimation
Consent and choice
Quelle: https://www.nuernbergwiki.de/index.php/Schedelsche_Weltchronik; Schedel 1493
© RUCON Gruppe 11Öffentlich | v1.0
ISO 29100 series-complex, noData Protection Management System standard available yet-but a good extension to existing management systems
ISO/IEC 27001-suitable, but scope of management system needs to cover all aspect of processing PII
ISO/IEC 27018-good approach, but limited to public cloud services
BS 10012:2017-covers all relevant aspects of GDPR in a Data Protection Management System
ISO/IEC 27018
Quelle: https://www.nuernbergwiki.de/index.php/Schedelsche_Weltchronik; Schedel 1493
• Ergänzt 14 Umsetzungsempfehlungen der
ISO/IEC 27002 für Datenschutz
• Führt in einem Anhang A zusätzliche 25 Controls
rund um die ISO/IEC 29100-Prinzipien ein
© RUCON Gruppe 12Öffentlich | v1.0
ISO 29100 series-complex, noData Protection Management System standard available yet-but a good extension to existing management systems
ISO/IEC 27001-suitable, but scope of management system needs to cover all aspect of processing PII
ISO/IEC 27018-good approach, but limited to public cloud services
BS 10012:2017-covers all relevant aspects of GDPR in a Data Protection Management System
BS 10012:2017
Data inventory
Legal basis
Data Privacy Impact Assessment
GDPR Datenschutzprinzipien
GDPR relevante Verfahren
Keine spezifischen Datensicherheits-Controls!
Wurde leicht angepasst an Data Privacy Act, 2018
© RUCON Gruppe 13Öffentlich | v1.0
Basis-Managementsystem:BS 10012 oder ISO/IEC 27001 (oder ISO 9001)
GDPR-spezifische AnforderungenBS 10012 Kapitel 6.1 und 8.2
Datensicherheits- und Datenschutz Controls ISO/IEC 29151 oder
ISO/IEC 27018 oder ISO/IEC 27552
Data Privacy Impact Assessment ISO/IEC 29134
GDPR-konformes DSMS =
© RUCON Gruppe 14Öffentlich | v1.0
Fazit:
Material für ein GDPR-konformes Datenschutzmanagementsystem ist vorhanden!
Aufwand zur Einführung bitte nicht unterschätzen!
© RUCON Gruppe 15Öffentlich | v1.0
Derzeit Normprojekt bei Austrian Standards zu Datenschutzmanagementsystem
Normentwurf zu einem DSMS inkl. Datenschutzcontrols
Ach ja…