BSI, yaygın olarak kullanılan bilgi güvenliği standardı BS EN ISO/IEC 27001'e kişisel bilgi yönetimini ekleyerek kısa süre önce yeni bir standart yayınladı. Bu blog yazısında yeni standart tanıtılmakta ve bu standardın altında yatan temel düşünce açıklanmaktadır.
Dünya dijitalleşiyor. Bu tüm açıklığıyla ortada olan bir gerçek. Ticari platformların öncülük ettiği alanlarda, devlet sektörü NHS'nin Özet Bakım Kayıtları gibi programlarla arayı kapatıyor. Sonuç olarak, daha önce hiç olmadığı kadar daha fazla kişisel bilgi işleniyor. Buna karşılık olarak ise, kuruluşların kişisel bilgileri nasıl işlemesi gerektiğini belirleyen düzenlemelerin sayısı artıyor. AB'de Genel Veri Koruma Yönetmeliği uygulamaya konulurken, Kore, Avustralya ve Çin gibi birçok ülke de benzer kişisel veri koruma yasalarını yürürlüğe koydu.
Dolayısıyla, kuruluşların kişisel veri yönetiminin kontrolünü ele alması gerekiyor ve kişisel verilerin nasıl kullanılması gerektiği konusunda kılavuzluğa büyük bir ihtiyaç duyulmaktadır. Bu gelişmeler ışığında IEC ve ISO birlikte çalışarak "BS ISO/IEC 27701:2019 Güvenlik teknikleri – Gizlilik Bilgisi (Kişisel veri) yönetimi için ISO/IEC 27001 ve ISO/IEC 27002'ye yapılan eklenti — Gereklilikler ve kılavuzlar" adlı standardı geliştirdi.
Bu yeni standart ne sağlıyor?
ISO ve IEC, zaten yaygın olarak kabul gören BS EN ISO/IEC 27001'in güçlü temellerini esas alan, gizlilik verilerinin korunmasına ilişkin tavsiyelerde bulunmanın yerinde bir uygulama olacağına karar verdi. Bu standart da zaten sektöre özgü gerekliliklerin eklenmesine izin verecek bir yapıda yazılmıştı.
Yeni standart, bir Kişisel Veri Yönetim Sistemini (KVYS) “Privacy Information Management System (PIMS)” oluşturmak, uygulamak, korumak ve sürekli olarak iyileştirmek için ek kılavuzluk ve gereklilikler sağlayarak zaten mevcut olan bir standardın üzerine ekleme yapmaktadır. Ek gereklilikler, her ölçekten ve her türden kuruluşun pratik bir şekilde kullanabileceği yararlı bir kaynak olarak yazılmıştır.
Yeni standart, kişiyi tanımlamak için kullanılan bilgi (PII) denetleyicilerine ve PII işlemcilerine, bireysel gizlilik haklarıyla ilişkili riskleri azaltmak amacıyla gizlilik denetimlerini yönetmek üzere kullanabilecekleri bir çerçeve sağlamaktadır.
BS ISO/IEC 27701 kapsamında, PII denetleyiciler kişisel bilgileri toplar ve bu bilgilerin işlenme amacını belirler. PII işlemcileri, PII denetleyicisi adına ve yalnızca onun talimatlarına göre kişisel bilgileri işler. Birden fazla kuruluşun PII denetleyicisi sıfatıyla hareket edebileceğini ve bunlardan her birinin eş denetleyici olarak anılacağını unutmayın. Veri paylaşımı anlaşmaları gerekli olabilir ancak bu aynı zamanda kuruluşlar arasında güveni artırarak iş fırsatları yaratabilir.
Neden BS ISO/IEC 27701 kullanılmalı?
Yeni standardın gerekliliklerine uyan kuruluşlar, kişisel bilgilerin işlenmesi sürecini nasıl ele aldığına dair belgeli kanıt oluşturacaktır. Bu çok önemlidir zira yukarıda da belirtildiği gibi diğer paydaşlarla ilişkileri destekleyebilir ve iş ortaklarıyla anlaşma yapılmasını kolaylaştırabilir. Standart aynı zamanda rol ve sorumlulukları net olarak belirleyerek paydaşlar arasında şeffaflık ve güvenin tesis edilmesine yardımcı olabilir.
Bununla birlikte, sonuç olarak kuruluşların artan düzenleyici taleplerine uyum sağlamak dışında başka bir seçeneğe sahip olmadığı söylenebilir. Ayrıca kuruluşların kişisel bilgileri korumakta başarısız olması halinde, bu güven ihlali büyük olasılıkla ciddi, uzun süreli, itibarı zedeleyici etkilere yol açacaktır. Dolayısıyla, BS ISO/IEC 27701'in tam zamanında hazırlandığı ve gerekli olduğu görülmektedir.
Üstelik, mevcut çerçevenin üzerine kurulan yeni standart, bu avantajların yanı sıra kişisel verilerin yönetimi konusunda uluslararası olarak kabul gören bir yaklaşım geliştirmede izlenebilecek güvenilir ve görece kolay bir yöntem sağlamaktadır. Birçok kuruluş tarafından benimsenecek bir standarttır.