Nowelizacja PIA wg ISO 29134
Nowa odsłona normy ISO 29134:2023 – Information technology — Security techniques — Guidelines for privacy impact assessment (Technologia informacyjna — Techniki bezpieczeństwa — Wytyczne dotyczące oceny wpływu na prywatność), która święciła swoją premierę i popularność 6 lat temu w okresie przygotowań do implementacji RODO właśnie została opublikowana. Tłumaczona wtedy pośpiesznie przez PKN dzięki dużemu naciskowi ze strony m.in. SABI wspólnie z normą ISO 29151:2017 – Information technology — Security techniques — Code of practice for personally identifiable information protection (Technika informatyczna — Techniki bezpieczeństwa — Praktyczne zasady ochrony informacji o identyfikowalnych osobach) stała się dla wielu IOD’ów, podstawowym wsparciem przy ocenie ryzyka naruszeń praw i wolności podmiotów fizycznych RODO. Norma wywodzi się z tego samego komitetu co norma ISO 27001, ISO 27002, ISO 27005, itd. bo na liście jego produktów jest ich ponad 229.
Do czego jest potrzebny standard
ISO 29134?
„…Standard jest przeznaczony do stosowania, gdy wpływ na prywatność zleceniodawców PII (Personal Indetified Information) obejmuje rozważenie procesów, systemów informacyjnych lub programów, w których:
- odpowiedzialność za wdrożenie i/lub dostarczenie procesu, systemu informacyjnego lub programu jest współdzielona z innymi organizacjami i należy zapewnić, że każda z nich właściwie odnosi się do zidentyfikowanych ryzyk;
- organizacja wykonuje zarządzanie ryzykiem ochrony prywatności jako część ogólnych wysiłków w zakresie zarządzania ryzykiem podczas przygotowywania się do wdrożenia lub udoskonalenia swojego ISMS (ustanowionego zgodnie z ISO 27001 lub równoważnym systemem zarządzania); lub organizacja wykonuje zarządzanie ryzykiem ochrony prywatności jako niezależną funkcję;
- organizacja (np. rząd) podejmuje inicjatywę (np. program partnerstwa publiczno-prywatnego), w której nie jest jeszcze znana przyszła organizacja kontrolera PII, co powoduje, że plan leczenia nie może być wdrożony bezpośrednio i dlatego zakłada się, że ten plan leczenia stanie się częścią odpowiedniego ustawodawstwa, regulacji lub umowy;
- organizacja chce postępować odpowiedzialnie wobec zasad PII.
Zabezpieczenia uznane za niezbędne do mitygacji ryzyka zidentyfikowanego podczas procesu analizy wpływu na prywatność mogą pochodzić z wielu zestawów kontroli, w tym z normy ISO 27002 / ISO 27001 (w przypadku środków kontroli bezpieczeństwa) i ISO/IEC 29151 (w przypadku kontroli ochrony PII) lub porównywalnych norm krajowych, lub mogą zostać określone przez osobę odpowiedzialną za przeprowadzenie PIA, niezależnie od wszelkich innych zestawów kontroli …” – jak napisano we wstępie.
Podsumowanie potrzeby nowego wydania
ISO 29134
Gdy patrzę na cenę tej normy – 166 CHF, czyli 780 PLN wg dzisiejszego kursu NBP, to nie sposób nie zgodzić się z praktykami biznesu, że ta akurat norma powinna być za darmo – wytłumaczenie poniżej. Szczególnie dla osób, które kupili wersję z 2017 roku. Zwykle gdy jest potrzeba nowelizacji w ramach danego zagadnienia, i która pociąga za sobą konieczność nowego wydania, to już sama lektura spisu treści pokazuje, że coś się zmieniło. To wydanie w powyższym elemencie jest na 99% kalką poprzedniego wydania.
Dlaczego więc zdecydowano się na nowe wydanie? Czy nie wystarczyło zrobić potwierdzenie aktualności, status – 90.93 i cieszyć się posiadaniem aktualnej wersji z 2017 roku. Można też było wydać Ammendment 1-2023, czyli poprawkę, która zwykle jest bezpłatna i wszyscy radowali by się prezentem.
Napisałem o tym już na LinkedIn’ie ale powtórzę zdanie z nowelizacji tej normy na stronie V, czytamy bowiem:
„…The main changes are as follows:
— minor editorial changes have been made….”
„…Główne zmiany są następujące:
— dokonano drobnych zmian redakcyjnych…”
Takie zachowanie komitetu ISO/IEC JTC 1/SC 27 – Information security, cybersecurity and privacy protection, które wydało np. normę ISO 27002, gdzie za cenę 208 CHF mamy szczegółowe wyjaśnienie zabezpieczeń do normy ISO 27001 budzi niesmak. Nie kupujcie tej nowelizacji, szkoda pieniędzy. To krótkie podsumowanie i rekomendacja.
A jak przyjdzie ochota aby zrobić sobie samemu taki “research” to za dwa tygodnie będzie ona dostępna za 1 EUR w trybie czytania na 24 godziny w litewskim odpowiedniku PKN
Zapraszamy do współpracy
Zespół Centre of Excellence / QSCert
Literatura:
- ISO/IEC 29134:2023 – Information technology — Security techniques — Guidelines for privacy impact assessment,
- ISO/IEC 29134:2017 – Information technology — Security techniques — Guidelines for privacy impact assessment (withdrawn),
- ISO/IEC 27002:2022 – Information security, cybersecurity and privacy protection — Information security controls,
- ISO/IEC 27001 – Information security management systems – Requirements.