Datenschutzmanagementsystem nach ISP27

Datenschutz-
managementsystem
nach ISP27

DATENSCHUTZ SYSTEMATISCH SICHERSTELLEN UND VERBESSERN

Spätestens seit der mit der DSGVO eingeführten Beweislastumkehr müssen Organisationen ihre rechtskonforme Datenverarbeitung nachweisen. Dazu zählt die Einhaltung der Grundsätze Transparenz, Zweckbindung, Rechtmäßigkeit und Datenminimierung. Ebenso die Erfüllung von Betroffenenrechten (Auskunft, Löschung, etc.) und die fristgerechte Behandlung von etwaigen Datenschutzverstößen. Um diesen Nachweis zu ermöglichen, stellt msecure ein prüfbares Datenschutzmanagementsystem zur Verfügung.

 

Mit ISP27 bietet msecure einen Prüfrahmen, der sich an den internationalen Standards zum Compliance Management und zur Informationssicherheit orientiert, und dabei spezifische Forderungen zum Datenschutz berücksichtigt. msecure führt Datenschutzaudits nach diesem Prüfrahmen durch und stellt ihn auf Anfrage auch anderen Beratungsunternehmen zur Verfügung. Im Sinne eines 4-Augen-Prinzips werden die Prüfberichte durch eine unabhängige Prüforganisation verifiziert und ein entsprechendes Zertifikat ausgestellt.

IHRE VORTEILE

  • Management von Datenschutz und Informationssicherheit entsprechend bekannter Standards
  • Erhalt eines Prüfberichts mit Aussagen zu Stärken, Schwächen und Handlungsempfehlungen
  • Erhalt eines Nachweises für die unabhängige Prüfung des Datenschutz-Managementsystems
  • Verifizierung des Berichts durch eine neutrale Stelle zur Erhöhung der Glaubwürdigkeit
  • Durchgeführt von erfahrenen Experten für Datenschutz und Informationssicherheit

DIE INHALTE VON ISP27

Der Prüfrahmen folgt der High-Level-Structure (HLS) der ISO Standards und erleichtert so die Integration mit bestehenden Systemen.

 

  • Berücksichtigung spezifischer Forderungen aus dem Bereich des Compliance Managements
  • Erfassung der bindenden Verpflichtungen (Plan-Do-Check-Act-Ansatz)
  • Risikoorientierung der DSGVO & Umsetzung operativer Prozesse
  • Orientierung an ISO 27001, ISO 19600 und weiteren Internationalen Standards

 

Der Managementsystemteil berücksichtigt spezifische Forderungen aus dem Bereich des Compliance Managements, hier insbesondere die Stellung der Datenschutzfunktion (z.B. des Datenschutzbeauftragten) und die Erfassung der bindenden Verpflichtungen. Entsprechend der üblichen Inhalte der ISO Normen werden der Kontext der Organisation, die Verpflichtung der Führung, sowie Planung, Unterstützung, Betrieb, Leistungsauswertung und Verbesserung im Sinne des PDCA-Ansatzes (Plan-Do-Check-Act) behandelt. Die Risikoorientierung der DSGVO wird im Sinne des Risikomanagements aus Sicht der betroffenen Personen ebenso berücksichtigt wie die Umsetzung in den operativen Prozessen, allen voran kunden- und mitarbeiterorientierte Prozesse, sowie in spezifischen Prozessen für den Datenschutz.

 

Die Umsetzung von technisch-organisatorischen Maßnahmen orientiert sich weitgehend an den in ISO 27001, Anhang A aufgeführten Maßnahmen. Diese können im Bedarfsfall durch speziellere Maßnahmen, wie etwa hinsichtlich des Datenschutzes in Cloud-Lösungen (ISO 27017) ergänzt werden. Für Organisationen mit weniger als 250 Mitarbeitern gelten dabei Erleichterungen, d.h. nicht jede Maßnahme muss vollumfänglich durch kleine Organisationen erfüllt sein. Damit wird der in Erwägungsgrund 13 der DSGVO erwähnten besonderen Berücksichtigung von Kleinst- und Kleinunternehmen Rechnung getragen.

ISP27 FÜR BERATUNGSUNTERNEHMEN

msecure stellt geeigneten Beratungsunternehmen im Bereich Informationssicherheit und Datenschutz den Prüfrahmen ISP27 zur Verfügung. Voraussetzung für die Nutzung ist die Kenntnis der einschlägigen ISO Standards, insbesondere ISO 27xxx. Aus Lizenzgründen müssen eigene Normtexte dieser Standards vorliegen. Der Standard darf nur in Verbindung mit der 4-Augen-Prüfung eingesetzt werden.

 

Sollten sie als Beratungsunternehmen Interesse an dem Prüfrahmen haben, können Sie ihn bei msecure schriftlich beantragen.

ZERTIFIZIERUNGEN NACH DSGVO

Die Datenschutzgrundverordnung sieht prinzipiell vor, dass Organisationen sich zum Thema Datenschutz zertifizieren lassen können. Dazu wird in den Artikeln 42 und 43 DSGVO die Bereitstellung geeigneter Verfahren angeregt. Allerdings ist hier nicht die Zertifizierung von Managementsystemen gemeint, sondern Produktprüfungen nach ISO 17065.

 

Vor dem Hintergrund der durch den Europäischen Datenschutzausschuss veröffentlichten Richtlinien erscheint es aber in jedem Fall sehr sinnvoll, ein Managementsystem zum Datenschutz einzurichten, da in jedem Fall die Einhaltung der Datenschutzgrundsätze, die Einhaltung der Betroffenenrechte oder die technischen und organisatorischen Maßnahmen berücksichtigt werden müssen.

 

Als Kernelemente, die bei der Zertifizierung eines Produktes, Prozesses oder Dienstes berücksichtigt werden müssen, werden neben den personenbezogenen Daten die technischen Systeme sowie die mit der Verarbeitung verbundenen Prozesse und Verfahren genannt. Kurz gesagt: ein Managementsystem wird nicht nur helfen, den Ablauf einer Zertifizierung deutlich zu straffen; in den meisten Fällen wird es ohne den Nachweis eines systematischen Managements des Datenschutzes (z.B. durch zentrale Prozesse zur Erfüllung von Auskunftsanfragen oder zum Umgang mit Datenschutzvorfällen) nicht möglich sein, eine Zertifizierung zu erlangen.

Jetzt kostenlosen Termin vereinbaren!


    Bitte beweise, dass du kein Spambot bist und wähle das Symbol LKW.

    Für den Datenschutz auf dieser Seite ist die msecure GmbH verantwortlich. Im Auftrag der msecure verarbeitet die EVG Media Ihre Daten zur Erfüllung Ihrer Anfrage. Dies beinhaltet auch automatische Antworten, z.B. bei Anmeldungen. Die Daten werden von EVG an msecure weitergeleitet, wenn eine direkte Antwort erforderlich ist. Die genannten Firmen verarbeiten Ihre Daten entsprechend ihren jeweiligen Datenschutzhinweisen (msecure, EVG). Dort finden Sie weitere Informationen gemäß Art. 13 DSGVO.
    Ich habe die vorstehenden Hinweise zur Kenntnis genommen.

    So geht es weiter:

    • Telefonisches Vorab-Gespräch
    • Persönlicher Kennenlern-Termin
    • Individuelle Beratung

    DATENSCHUTZ SYSTEMATISCH SICHERSTELLEN UND VERBESSERN

    Spätestens seit der mit der DSGVO eingeführten Beweislastumkehr müssen Organisationen ihre rechtskonforme Datenverarbeitung nachweisen. Dazu zählt die Einhaltung der Grundsätze Transparenz, Zweckbindung, Rechtmäßigkeit und Datenminimierung. Ebenso die Erfüllung von Betroffenenrechten (Auskunft, Löschung, etc.) und die fristgerechte Behandlung von etwaigen Datenschutzverstößen. Um diesen Nachweis zu ermöglichen, stellt msecure ein prüfbares Datenschutzmanagementsystem zur Verfügung.

     

    Mit ISP27 bietet msecure einen Prüfrahmen, der sich an den internationalen Standards zum Compliance Management und zur Informationssicherheit orientiert, und dabei spezifische Forderungen zum Datenschutz berücksichtigt. msecure führt Datenschutzaudits nach diesem Prüfrahmen durch und stellt ihn auf Anfrage auch anderen Beratungsunternehmen zur Verfügung. Im Sinne eines 4-Augen-Prinzips werden die Prüfberichte durch eine unabhängige Prüforganisation verifiziert und ein entsprechendes Zertifikat ausgestellt.

    IHRE VORTEILE

    • Management von Datenschutz und Informationssicherheit entsprechend bekannter Standards
    • Erhalt eines Prüfberichts mit Aussagen zu Stärken, Schwächen und Handlungsempfehlungen
    • Erhalt eines Nachweises für die unabhängige Prüfung des Datenschutz-Managementsystems
    • Verifizierung des Berichts durch eine neutrale Stelle zur Erhöhung der Glaubwürdigkeit
    • Durchgeführt von erfahrenen Experten für Datenschutz und Informationssicherheit

    DIE INHALTE VON ISP27

    Der Prüfrahmen folgt der High-Level-Structure (HLS) der ISO Standards und erleichtert so die Integration mit bestehenden Systemen.

     

    • Berücksichtigung spezifischer Forderungen aus dem Bereich des Compliance Managements
    • Erfassung der bindenden Verpflichtungen (Plan-Do-Check-Act-Ansatz)
    • Risikoorientierung der DSGVO & Umsetzung operativer Prozesse
    • Orientierung an ISO 27001, ISO 19600 und weiteren Internationalen Standards

     

    Der Managementsystemteil berücksichtigt spezifische Forderungen aus dem Bereich des Compliance Managements, hier insbesondere die Stellung der Datenschutzfunktion (z.B. des Datenschutzbeauftragten) und die Erfassung der bindenden Verpflichtungen. Entsprechend der üblichen Inhalte der ISO Normen werden der Kontext der Organisation, die Verpflichtung der Führung, sowie Planung, Unterstützung, Betrieb, Leistungsauswertung und Verbesserung im Sinne des PDCA-Ansatzes (Plan-Do-Check-Act) behandelt. Die Risikoorientierung der DSGVO wird im Sinne des Risikomanagements aus Sicht der betroffenen Personen ebenso berücksichtigt wie die Umsetzung in den operativen Prozessen, allen voran kunden- und mitarbeiterorientierte Prozesse, sowie in spezifischen Prozessen für den Datenschutz.

     

    Die Umsetzung von technisch-organisatorischen Maßnahmen orientiert sich weitgehend an den in ISO 27001, Anhang A aufgeführten Maßnahmen. Diese können im Bedarfsfall durch speziellere Maßnahmen, wie etwa hinsichtlich des Datenschutzes in Cloud-Lösungen (ISO 27017) ergänzt werden. Für Organisationen mit weniger als 250 Mitarbeitern gelten dabei Erleichterungen, d.h. nicht jede Maßnahme muss vollumfänglich durch kleine Organisationen erfüllt sein. Damit wird der in Erwägungsgrund 13 der DSGVO erwähnten besonderen Berücksichtigung von Kleinst- und Kleinunternehmen Rechnung getragen.

    ISP27 FÜR BERATUNGSUNTERNEHMEN

    msecure stellt geeigneten Beratungsunternehmen im Bereich Informationssicherheit und Datenschutz den Prüfrahmen ISP27 zur Verfügung. Voraussetzung für die Nutzung ist die Kenntnis der einschlägigen ISO Standards, insbesondere ISO 27xxx. Aus Lizenzgründen müssen eigene Normtexte dieser Standards vorliegen. Der Standard darf nur in Verbindung mit der 4-Augen-Prüfung eingesetzt werden.

     

    Sollten sie als Beratungsunternehmen Interesse an dem Prüfrahmen haben, können Sie ihn bei msecure schriftlich beantragen.

    ZERTIFIZIERUNGEN NACH DSGVO

    Die Datenschutz-Grundverordnung sieht prinzipiell vor, dass Organisationen sich zum Thema Datenschutz zertifizieren lassen können. Dazu wird in den Artikeln 42 und 43 DSGVO die Bereitstellung geeigneter Verfahren angeregt. Allerdings ist hier nicht die Zertifizierung von Managementsystemen gemeint, sondern Produktprüfungen nach ISO 17065.

     

    Vor dem Hintergrund der durch den Europäischen Datenschutzausschuss veröffentlichten Richtlinien erscheint es aber in jedem Fall sehr sinnvoll, ein Managementsystem zum Datenschutz einzurichten, da in jedem Fall die Einhaltung der Datenschutzgrundsätze, die Einhaltung der Betroffenenrechte oder die technischen und organisatorischen Maßnahmen berücksichtigt werden müssen.

     

    Als Kernelemente, die bei der Zertifizierung eines Produktes, Prozesses oder Dienstes berücksichtigt werden müssen, werden neben den personenbezogenen Daten die technischen Systeme sowie die mit der Verarbeitung verbundenen Prozesse und Verfahren genannt. Kurz gesagt: ein Managementsystem wird nicht nur helfen, den Ablauf einer Zertifizierung deutlich zu straffen; in den meisten Fällen wird es ohne den Nachweis eines systematischen Managements des Datenschutzes (z.B. durch zentrale Prozesse zur Erfüllung von Auskunftsanfragen oder zum Umgang mit Datenschutzvorfällen) nicht möglich sein, eine Zertifizierung zu erlangen.

    Jetzt kostenlosen Termin vereinbaren!


      Bitte beweise, dass du kein Spambot bist und wähle das Symbol Flagge.

      Für den Datenschutz auf dieser Seite ist die msecure GmbH verantwortlich. Im Auftrag der msecure verarbeitet die EVG Media Ihre Daten zur Erfüllung Ihrer Anfrage. Dies beinhaltet auch automatische Antworten, z.B. bei Anmeldungen. Die Daten werden von EVG an msecure weitergeleitet, wenn eine direkte Antwort erforderlich ist. Die genannten Firmen verarbeiten Ihre Daten entsprechend ihren jeweiligen Datenschutzhinweisen (msecure, EVG). Dort finden Sie weitere Informationen gemäß Art. 13 DSGVO.
      Ich habe die vorstehenden Hinweise zur Kenntnis genommen.

      So geht es weiter:

      • Telefonisches Vorab-Gespräch
      • Persönlicher Kennenlern-Termin
      • Individuelle Beratung

      Lösungen aus der Praxis für die Praxis

      KONTAKT