Systemy zarządzania zgodne z normą ISO 27701 pomagają organizacjom lepiej spełniać wymogi regulacyjne i ograniczać błędy ludzkie. Firmy podążające tą drogą są lepiej przygotowane do zarządzania ryzykiem prawnym i zapewnienia solidnej kultury bezpieczeństwa.
Rozporządzenia, takie jak RODO, na dobre wprowadziły zarządzanie prywatnością informacji na agendę firm w 2018 roku. Podkreślono indywidualne prawo do posiadania i kontroli danych osobowych, a firmy na całym świecie zostały zobowiązane do ochrony tego prawa w sposób zgodny z przepisami
Stała ochrona danych osobowych nadal stanowi wyzwanie dla organizacji. Najnowsza ankieta Espresso przeprowadzona przez DNV pokazuje, że dojrzałość organizacji w tym zakresie wzrosła jedynie nieznacznie w porównaniu z wynikami z 2019 roku. Gdy RODO zostało wdrożone cztery lata temu, firmy działały w pośpiechu, by zapewnić zgodność. Wydaje się, że dla wielu organizacji nadal jest to główny punkt odniesienia. Jednak podejście do zarządzania prywatnością informacji wyłącznie z perspektywy prawnej może być bardzo ograniczające.
Firmy uczestniczące w badaniu wskazały błąd ludzki jako główne źródło ryzyka (44,5%). Kolejnymi były brak świadomości wśród pracowników lub słaba kultura organizacyjna (27,7%) oraz brak kompetencji prawnych lub trudność w interpretacji wymagań prawnych (25,3%). Obawy związane z aspektami organizacyjnymi, kulturowymi i kompetencyjnymi — a nie z zagrożeniami zewnętrznymi — nie różnią się znacząco od wyników z 2019 roku. Zauważalna jest jednak zmiana kierunku działań: z inwestycji w IT na inwestycje w ludzi. W 2019 roku głównym obszarem inwestycji było bezpieczeństwo IT, obecnie priorytetem stały się szkolenia i budowanie świadomości pracowników, co wskazał niemal co drugi respondent.
Gdy błąd ludzki i brak świadomości uznaje się za główne ryzyka, często oznacza to, że nie wdrożono skutecznej kultury bezpieczeństwa. Można to jednak z łatwością ograniczyć poprzez wdrożenie formalnego systemu zarządzania. Każda organizacja doświadcza rotacji pracowników, co wymaga regularnych szkoleń nowych osób lub odświeżania wiedzy u już zatrudnionych.
Najlepszym sposobem na sprostanie tym wymaganiom jest wdrożenie systemu zarządzania opartego na standardzie ISO 27701 — systemie zarządzania prywatnością informacji. Norma ta zawiera szczegółowe wymagania dotyczące regularnych szkoleń i działań zwiększających świadomość, by zapewnić spójny poziom wiedzy w całej organizacji. Skutkuje to większym zaangażowaniem i umożliwia pracownikom myślenie kategoriami „prywatności”, co ułatwia im radzenie sobie z niepewnością związaną z zarządzaniem danymi osobowymi. Doświadczenia z innych obszarów, takich jak bezpieczeństwo informacji, pokazują, że wdrożenie systemu zarządzania umożliwia budowanie i rozwijanie kultury bezpieczeństwa.
W połączonym cyfrowo świecie zagrożenia dla prywatności wynikają zarówno z cyberataków, jak i nieprawidłowego (nawet jeśli niezamierzonego) przetwarzania lub przechowywania danych przez firmę lub inne podmioty. Choć inwestycje w bezpieczeństwo IT są niezbędne, to jednak najsłabszym ogniwem w łańcuchu ochrony danych pozostaje człowiek — użytkownik systemu lub oprogramowania. To pokazuje, jak ważne są regularne szkolenia — od krótkich form e-learningowych po bardziej zaawansowane programy dla osób zaangażowanych w zarządzanie danymi.
Oczywiście, zgodność z normą zarządzania to tylko jeden z elementów skutecznego podejścia. Równie istotna jest obecność wewnętrznych ekspertów merytorycznych, odpowiednio przeszkolonych, którzy stanowią punkt kontaktowy dla pracowników. Tacy eksperci pomagają również rozwijać podejście „prywatność w założeniu i praktyce” — systematycznie chronią dane poprzez ograniczanie ich zbierania i przetwarzania, zapewnianie ich jakości, kontrolę przechowywania i usuwania, a także zabezpieczenia przesyłu danych już na etapie projektowania procesów.
Badanie DNV ujawniło, że firmy intensywnie inwestują w szkolenia i budowanie świadomości pracowników jako sposób ograniczenia błędów ludzkich. Inwestowanie w kompetencje zawsze przynosi wartość. Warto jednak, by organizacje łączyły te działania z wdrożeniem systemu zarządzania prywatnością informacji zgodnego z normą ISO 27701 — dla bardziej solidnego, odpornego i niezawodnego podejścia.
Autor: Nanda Kumar Shamanna, ICT Business Manager, DNV
Zobacz raport: Jak firmy radzą sobie z ryzykiem korporacyjnym?
Zobacz infografikę dotyczącą naszej ankiety Espresso.
Obejrzyj wideo.
Odkryj nasze certyfikaty systemów zarządzania.