Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

EuroPriSe and ISDP10003 2015 -

Wird geladen in …3

Hier ansehen

1 von 23 Anzeige

Weitere Verwandte Inhalte

Ähnlich wie EuroPriSe and ISDP10003 2015 - (20)


Aktuellste (20)

EuroPriSe and ISDP10003 2015 -

  1. 1. EuroPriSe and ISDP©10003:2015 Certification models in scope of Art. 42 GDPR Marco Moreschini Osservatorio 679, SNE from Italian Ministry of Interior to the EU institutions
  2. 2. Certification as business card for accountability Giovanni Buttarelli said in a video-speech on 22 January 2018 , spoke of Certification is a business card for accountability. He advised to “treasure past good practices taking into account of the novelties”. ISO context, but also on national practices, moving towards a harmonization of experiences through the EDPB criteria. Technologically neutral approach” so as to avoid market distortions and trust enhancers for consumers and users. Clear criteria on who can accredit and certify Sustainable criteria at European level + dialogue with the organizations involved in the world, such as the Consortium W3C and ISO. Application of the certifications can make an innovative contribution, create new skills and jobs and compensate for the technological gap Paramount to involve all the stakeholders, including the certification bodies.
  3. 3. General Methodology of the Commission Study  Full data protection  Partly focusing ondata protection  Data protectionrelated topics (cyber security)  BSI BS 10012 (UK)  TÜV Italia ISO/IEC 27001  BSI ISO/IEC 27018 (UK)  Certificazione ISDP 10003:2015 Data protection (IT)  Datenschutzaudit beim ULD (DE)  E-privacy app (DE)  EuroPrise (DE)  IkeepSafe Coppa Safe Harbor (US)  Label CNIL digital safe boxes (FR)  Health Personal Data Storage Agreement (FR)  Myobi Privacy Seal (NL)  Norea Privacy-Audit-Proof (NL)  PrivacyMark System (JP)  Privacy by Design Certification Ryerson (CA)  TrustArc APEC CBPR certification (US)  Scope  Normative criteria  Scheme arrangements --  Conformity assessment  Certification issuance  Renewal  Monitoring  Sanction policy  Complaint and dispute management Quick Scan 117 schemes identified Case studies 15 schemes selected Case studies 8 themes analyzed
  4. 4. A privacy seal for Europe Project funding :1,3 Mio by EU July 2007 - February 2009 18 pilot projects Over 65 experts accredited Consortium: 9 partners from 8 EU Countries
  5. 5. From a small state to a EU wide certification IT products •Hardware (e.g., an external hard disc drive secured by strong encryption methods) •Software (e.g., a software module for obfuscation of video data or a fraud prevention software tool)
  6. 6. Europrise services IT-based services • Web-based services(e.g., a metasearch engine or a service for collaboration of medical professionals) • Other services(e.g., a digitising service for photo negatives) Websites (since 2016) • Publicly accessible parts of a website (focus on interaction between website and website visitors)
  7. 7. Content of certifications – Targets of Evaluation Cert. of IT products & IT-based services (controller services + processor services): • The European Privacy Seal certifies that an IT product or IT- based service facilitates the use of that product or service in a way compliant with European regulations on privacy & data protection. Cert. of websites: • The seal certifies that data processing that results from the interaction between a visitor of a website and the website when the visitor browses publicly available parts of the websites is compliant with European regulations on privacy & data protection.
  8. 8. Key factors for trust Trasparency: • public criteria + procedure Verifiability: • publication of results Credibility : • reliability of auditors and recognition of certification bodies in DE Compliance with General Data Protection principles Technical-Organisational Measures: Accompanying Measures for Protection of the Data Subjects Technology-specific and Service- specific Requirements Data Subjects’ Rights Rights under the ePrivacy Directive
  9. 9. Key factors Procedure:
  10. 10. Key factors Publication of results
  11. 11. Key factors : expertise of auditors Mandatory accreditation (note: not to be confused with art. 43 accreditation) process called ’admission’ managed by EuroPriSe board · External auditor can be accredited on legal or/and technical audit side · 1st step: Applicant self-declaration of probity and independence · 2nd Step: Technical or/and legal exam from a use case · The admission is granted for three years, renewable if the auditors conducted a EuroPriSe audit at least in this area in the meantime or if s/he followed an upgrade training proposed by EuroPriSe. International high profile Advisory Board
  12. 12. International Scheme Data Protection ISDP©10003 Creation date: 2015 Certification released : 31 Licensed to three other Certification bodies Updated to 2018 Geographical coverage International Scope Processes and products Sector Any, any organisation Type Voluntary Validity 3 years Certification of processes for the protection of the physical person regarding personal data and the free circulation of said data. Compatibility ISO HLS Compatibility ISO HLS • ISDP 10003 was developed using the rules specified in the ISO Annex SL Directives and follows the common structure to allow compatibility with the main ISO standards
  13. 13. What for The scheme provides the principles and lines of control for a complete compliance assessment of the organisation's internal processes regarding protection of personal data with particular reference to proper risk management. Additionally, it details security requirements and controls, so that the data respect the levels of precision, accuracy, timeliness, consistency, completeness, credibility and updating required by current regulations regarding the protection of personal data, with particular attention to the principles of quality and security of the data processed, in compliance with the main international standards.
  14. 14. Technical Structure ISDP©10003 ISDP©10003:2018 Macro processes 7 Processes 20 Controls 96 Operational Check list 562 ISDP©10003:2018 Macro-Processes 7 Policy and controller’s obligations 1 Subjects involved in the processing operation 2 Principles applicable to the processing operation and data subjects rights. 3 Adjustment processes in the development, design and selection of product and service applications ( privacy by design and by default) 4 General obligations and security of personal data 5 DPIA 6 Cloud and IoT management 7 A PROCESS APPROACH
  15. 15. The scheme also represents an aid for all organizations that intend to make their standard operating procedures adequate without proceeding to certification . The certification of conformity through the ISDP scheme © 10003, does not reduce the responsibility of the data controller or of the person in charge of the processing operation, regarding the obligations of compliance with the data protection regulations Guidelines ISDP©10003 The organization that obtains ISDP certification © 10003, in relation to the processes, products and company services to which it is applicable ... "(...) provides a guarantee to the interested parties of the adoption of a method of analysis and control of the principles and rules of reference to protect individuals with regard to the processing of personal data and the free movement of the same data”.
  16. 16. HLS - ISDP©10003:2018 Introduction §0 Scope and field of application §1 Legal bases §2 Glossary and definitions §3 Context §4 Awareness and accountability §5 Planning (Sytstem review) §6 Support §7 Operational activities §8 Performance evaluation §9 Improvement §10 Annex 98 HLS-ISDP©10003:2018
  17. 17. Outcome - Certification models Several schemes claim a multi- sectoral coverage, offering certification of processes in all business activities, while some others focus on dedicated business activities. Certification scope models EuroPriSe, ISDP 10003:2015, JIPDEC PrivacyMark, Privacy by design certification Ryerson, Privacy-Audit-Proof, Privacy Seal MYOBI, TRUSTArc APEC CBPR, TUV Italia - ISO/IEC 27001 certification Single-sector model The scheme applies to one specific business activity BSI- ISO/IEC 27018 CNIL Safebox, CNIL - ASIP Santé Datenschutzaudit beim ULD E-Privacy App IKeepSafe Multi-sector v. Single-sector Multi-sector model The scheme applies to all or certain processes in all business activities
  18. 18. Allprocessesv.dedicatedprocesses(tab.3.4) • Several of the certifications that were analysed, certify all types of processes while half of them focus on dedicated processes and two schemes only certify the conformity to management systems dedicated to personal data Outcome - Certification models
  19. 19. International v. national and sub-national certifications • Several schemes have an international scope in the sense that they offer to certify entities established inside and outside the EU. • Other certifications certify entities registered within the national territory of the scheme operator. Certification scope Subnational model The scheme applies within a subdivision ofthe national territory Datenschutzaudit beimULD National model The scheme applies to a nationalterritory CNIL Safebox, CNIL - ASIP Santé, Datenschutzaudit beimULD, IKeepSafe, (USA) JIPDEC PrivacyMark,(Japan) Privacy-Audit-Proof, TRUSTe APEC CBPR(USA) EU-wide model The scheme applies to all the EUMember States BSI-BS 10012, BSI- ISO/IEC 27018, EuroPriSe, ISDP 10003:2015, Privacy by design certificationRyerson, TUV Italia - ISO/IEC 27001certification. International model The scheme applies worldwide or, at least,in the EU and outside theEU BSI-BS 10012, BSI- ISO/IEC 27018, EuroPriSe, ISDP 10003:2015, Privacy by design certificationRyerson, TUV Italia - ISO/IEC 27001certification. International v. National Outcome - Certification models
  20. 20. Outcome - Certification models Single-issue certification v. Comprehensive certification Certification scope models Dedicated GDPR provisionsmodel (‘single-issue’) The scheme helps to demonstrate with certain GDPR provisions BSI - ISO/IEC 27018 (Article 28) CNIL - SafeBox (Article 28) CNIL - ASIP Santé (Article 28) Privacy by design certification Ryerson (Article 25) TUV Italia - ISO/IEC 27001 certification (Article 32) All GDPR model (‘comprehensive’) The scheme helps to demonstrate compliance with all GDPR provisions BSI - BS 10012 Datenschutzaudit beim ULD E-Privacy App EuroPrie ISDP10003 2015 Certifications based on international standards seem to follow ISO/IEC’s approach that is encouraging a dedicated/sectoral approach, while European schemes seem to prefer a more generic all-encompassing model. Two opposing models • On the one hand, a Comprehensive model encompasses certifications certifying against the vast majority of provisions included in the GDPR or other data protection laws • On the other hand, a single-issue certification model encompasses the schemes certifying the conformity with a single or limited number of legal obligations in the regulation.
  21. 21. Outcome - Certification models Legal framework v. Standard v. Combined Normative criteria Normative basis: law The scheme is based on a legal framework (EU or non-EU one) CNIL Safebox, CNIL - ASIP Santé, Datenschutzaudit beim ULD E-Privacy App, EuroPriSe, IKeepSafe (US) ISDP 10003:2015, Privacy by design certification Ryerson, Privacy Seal MYOBI, Privacy-Audit-Proof Standard model The scheme is based on a standard issued bya national or an international standardization body BSI -BS 10012, BSI- ISO/IEC 27018, JIPDEC PrivacyMark, TUV Italia - ISO/IEC 27001 certification Combined model The schemes both refer to a regulation and to one or several other(s) normative basis (Technical standard(s) or and code of conduct) BSI -BS 10012, BSI- ISO/IEC 27018, E-Privacy App, ISDP 10003:2015, Privacy by design certification Ryerson, TUV Italia - ISO/IEC 27001 certification
  22. 22. In scope of Art.42 Because already accredited for certification for process, service and product having been accredited for 17065 2012 and in line with the requirements of Art. 43.1.b).
  23. 23. Certification 17065 vs 17021 ISO 17021-1ISO/IEC 17021-1:2015 -Conformity assessment — Requirements for bodies providing audit and certification of management systems • Ensures the company's ability to organise itself and manage internal resources and processes in order to meet customer needs • Usable as best practice • Partially referred to in the GDPR (Art. 32) Principles and requirements for the competence, consistency and impartiality of the audit and certification of management systems of ALL types and for the bodies providing these activities Management system – system to establish policy and objectives and to achieve those objectives ISO/IEC 17065:2012 Conformity assessment — Requirements for bodies certifying products, processes and services. • The overall aim of certifying products, processes or services is to give confidence to all interested parties that a product, process or service fulfils specified requirements. The value of certification is the degree of confidence and trust that is established by an impartial and competent demonstration of fulfilment of specified requirements by a third party. • Certification of products, processes or services is a means of providing assurance that they comply with specified requirements in standards and other normative documents. • It specifies requirements, the observance of which is intended to ensure that certification bodies operate certification schemes in a competent, consistent and impartial manner, thereby facilitating the recognition of such bodies and the acceptance of certified products, processes and services on a national and international basis and so furthering international trade. • This International Standard can be used as a criteria document for accreditation or peer assessment or designation by governmental authorities, scheme owners and others

Hinweis der Redaktion

  • Buongiorno a tutte e a tutti,
    Sono Marco Moreschini svolgo il mio intervento in italiano in quanto socio dell’Osservatorio , ma sono anche un Distaccato del Ministero dell’ Interno da qualche anno presso le istituzioni europee ed oggi al Garante Europeo ed e’ per questo che per facilitare l’audience proietto delle slides in inglese.
    Volevo ringraziare innanzitutto l’Osservatorio679 e l’EDPS per avere reso possibile l’organizzazione di questo evento che vuole fare il punto su una materia complessa e in itinere, e stimolare il dibattito fra stakeholders e interlocutori istituzionali, anche per fungere da sprone ad un completamento della stessa architettura normativa delle certificazioni GDPR da parte degli attori istituzionali preposti.
    Come noterete riferendoci alla stesso studio riproporro’ delle slides gia’ mostratevi da Eric Lachaud, ma cerchero’ di non essere ridondante nella mia panoramica che vuole darvi un quadro delle best practices delineate dallo stesso studio commissionato dalla Commissione Europea per meglio esercitare le sue prerogative che le sono attribuite dal GDPR.
  • 2
  • Come già anticipato da dal Professor Lachaud lo studio effettuato per la Commissione ha passato in rapida rassegna 117 schemi di certificazione, di cui 87 europei e 7 riferibili all’Italia.

    Dei quindici schemi di certificazione analizzati piu’ di presso, perche’ considerati gia’ piu’ maturi e aventi caratteristiche in linea con gli art. 42 e 43, due sono stati classificati come completamente in scopo 42, migliori pratiche , che potrebbero essere immediatamente applicabili secondo il GDPR.

    Nello stesso studio come abbiamo visto si sono analizzati piu’ in dettaglio otto temi per tutti gli organismi di certificazione, che richiamano in un certo modo i criteri che sono stati dettati nelle Guidelines dall’EDPB
  • 4
  • 5
  • Le certificazioni riguardano prodotti IT ( hardware and software, ma anche servizi basati sulla rete ( web-based) e dal 2016 anche i siti web, concentrando l’attenzione sul rapporto fra utenti e sito. Europrise quindi offre una certificazione volontaria ai produttori e ai venditori di questi prodotti. La creazione di affidabilità per le aziende o fiducia è lo scopo di queste certificazioni
  • Per i prodotti quindi la certificazione attesta che il prodotto favorisce il suo utilizzo in una maniera che è conforme alla regolamentazione europea sulla privacy e sulla data protection, mentre quella sui siti attesta che appunto l’interazione fra gli utenti e le parti pubbliche del sito è conforme alla normativa dati personali.
  • Per l’affidabilità, e questo discorso è valido per qualsiasi tipo di certificazione , ci sono dei fattori che sono imprenscindibili.

    La trasparenza, con la pubblicazione dei criteri e la semplicità della procedura.
    La verificabilità che si deve manifestare con la pubblicazione dei risultati e in ultimo poi c’e’ la credibilità che è data dalla affidabilità e competenza del comitato di controllo e di verifica e dalla qualificazione del suo personale.

    I criteri, e la copertina del catalogo dei criteri e’ riproposta in questa slide, dicevamo i criteri «rispetto» ai quali la certificazione viene svolta sono volti ad accertare:
    la conformità ai principi della protezione dei dati, le misure di sicurezza , ma anche quelle di tutela per gli interessati ( cosiddetti data subjects), i requisiti specifici, ma anche i diritti scaturenti dall’applicazione anche di altre norme che siano ancora riferibili alla data protection, come ad esempio la eprivacy directive.
  • La procedura è semplice:
    dopo il contatto/ contratto fra il cliente e l’organismo di certificazione un gruppo di esperti ( third party/terza parte) si occupa della valutazione del prodotto o del servizio prima di sottoporre il rapporto di valutazione al controllo di una Autorità di Certificazione imparziale che ne valuta la metodologia, la coerenza e la completezza. Solo dopo cio’ il Sigillo verrà rilasciato all’ente che ha fatto domanda.
  • Online su uno speciale registro sono pubblicati i risultati delle verifiche e quindi dei processi e trattamenti che sono stati certificati.
  • Come abbiamo già accennato in precedenza ad attribuire credibilita’ a tale meccanismo di certificazione soccorre/c’è una procedura di accreditamento interna per gli esperti che effettuano materialmente le verifiche e le valutazioni.
    Si valutano infatti in maniera molto meticolosa le capacità e competenze tecniche e legali dei valutatori e l’auditor puo’ svolgere il suo ruolo una volta superato questo vero e proprio esame per un periodo di tre anni. L’Advisory Board, infatti , è composto da personalita’ che sono vere e proprie eccellenze in questo campo e presiede a questo vero e proprio esame degli auditor.
  • Passiamo ora all’altra best practise citata dallo Studio dell’Università di Tilburg, vale a dire quella dello Schema internazionale della Protezione Dati, il cui scheme owner è una società italiana , la In-Veo di Roma.
    La data di creazione è il 2015, l’accreditamento da Accredia ai sensi del Regolamento europeo 765/2008 è avvenuto nel 2016 a ridosso dell’adozione del Regolamento Generale sulla Protezione Dati. E’ stata aggiornata all’entrata in vigore del GDPR , ha una copertura, rivela lo studio della Commissione, internazionale e si riferisce ad ogni tipo di organizzazione. Al momento dello Studio 31 aziende erano state certificate attraverso questo schema che e’ stato dato in licenza anche ad altri tre organismi di certificazione. Inoltre lo Studio ci dice esplicitamente che lo stesso schema è pronto per il GDPR e dà molti vantaggi per le piccole e medie imprese, cosi’ come del resto auspicato dall’art. 42,1 del GDPR.
    Quindi questa certificazione rispetta tutti i crismi del Considerando 100 del GDPR applicandosi a prodotti (processi) e servizi e anche quelli dell’art. 24, coinvolgendo insomma tutte le obbligazioni del titolare, nell’assolvimento di tutti i suoi compiti o doveri di accountability.
    Logicamente la certificazione di conformità si basa sul GDPR, ma anche sugli altri standard internazionali cui lo stesso Regolamento si richiama. L’interoperabilità dello Schema ISDP con gli altri standard è assicurata dall’utilizzazione del Sistema HLS o Struttura ad alto livello, in pratica nuove regole specificate dall’ISO in nuove direttive che stabiliscono una struttura comune per consentire la compatibilità con le principali norme ISO. Gli altri standard sono per esempio, the ISO 9001, ISO 19011 ISO 17021-1 (Audit methodology), ISO 2859-10 (Sampling methodology), ISO 25012 and ISO 25024 (data quality model) and ISO 31000 (Risk Management), Annex SL (drafting guide) , ISO 27001 (security)
  • Lo schema quindi dettaglia e sviluppa i principi di data protection cui attenersi e ci offre una pletora di controlli che saranno l’arma degli auditor per verificare scrupolosamente la conformità del trattamento oggetto di valutazione. Particolare importanza è riposta sulla valutazione del rischio legata a ciascun trattamento a far da giusta eco all’approccio risk based più volte richiamato negli articoli del GDPR.

    E legate al risk management ci sono tutte le varie soluzioni e controlli di sicurezza che incidono sulle caratteristiche di precisione, tempestività , completezza e credibilità del dato e inoltre tutta una serie di misure tecniche volte a dare attuazione al principio di qualità e non solo sicurezza del dato.

  • Questa è la struttura tecnica dell ISDP. Come vedete la stessa adotta l’approccio per processi al fine di programmare, predisporre , verificare , riesaminare , mantenere efficace , aggiornare, correggere e magari migliorare la conformità dei trattamenti dei dati personali alle norme vigenti. E fa questo appunto seguendo l’approccio classico per i processi di gestione secondo lo schema del cosiddetto ciclo di Deming.

    Con il termine processo, e qui giova specificare, si intende un insieme di attivita’ correlate o interagenti che trasforma elementi in ingresso in elementi in uscita.
  • 15
  • Qui potete vedere l’articolazione meticolosa dello schema di certificazione ( questo è l’indice dello schema di certificazione) che scandaglia e dettaglia tutta l’attività legata ai trattamenti della organizzazione richiedente la certificazione. Questa meticolosità nell’analisi è volta ad accertare la reale volontà dell’azienda di conformarsi alle regole sul trattamento dati.

  • Nello studio della Commissione sono analizzate in rassegna le caratteristiche che fanno dei due modelli di certificazioni appena descritti le best practices a livello europeo.
    In primis il fatto di adattarsi a molteplici settori di business e non focalizzarsi solo su settori specifici.
  • Non solo i settori, ma anche i processi. Come vedete anche qui si mette in evidenza che Europrise e ISPD coprono tutti i processi e certificano la conformita’ dell’intero Sistema di gestione dati personali.
  • Anche la portata geografica va a definire i pregi dei due schemi di certificazione . Entrambe possono avere uno scopo internazionale certificando anche enti extra UE, mentre molti altri hanno una portata e un’applicazione al massimo europea se non solo nazionale.
  • Altro pregio e’ quello di essere certificazioni omnicomprensive che dimostrano la conformita’ all’intero impianto normativo del GDPR e non solo a processi e trattamenti indicati in singoli articoli.
    Lo studio dell’Universita’ di Tilburg ha rilevato poi la particolarita’ che i modelli di certificazione che seguono gli standard internazionali hanno un approccio maggiormente settoriale, mentre quelli Europei prediligono una certa omnicomprensivita’ a coprire tutti i settori richiamati dal GDPR.
  • Per quanto riguarda i principi ispiratori, il modello Europrise si rifà integralmente a dei modelli normativi, mentre ISDP interpreta un modello combinato fra leggi e altre basi normative, quali gli standard tecnici internazionali e i codici di condotta.
  • Qui vedete un riassunto e una comparazione fra alcuni modelli di certificazione secondo alcune caratteristiche o criteri principali. Cio’ che si rileva e’ che le caratteristiche che abbiamo gia’ visto nelle precedenti slides sono si’ importanti, ma non sono determinanti per poter far rientrare Europrise e ISDP fra le Certificazioni GDPR ready e quindi gia’ pronte, salvo piccoli ulteriori accorgimenti, per il GDPR. Per essere in scopo art. 42, non solo la certificazione deve essere volontaria, deve riguardare dati personali, deve essere data da una valutazione di terza parte e non autocertificazione e non è sufficiente che riguardi dei non precisati trattamenti.

    Fattore e criterio determinante e’ invece proprio il fatto che questi organismi di certificazione sono gia’ accreditati come prevede l’art. 43, comma 1, let b ISO/IEC 17065 e quindi idonei per certificare non sistemi di gestione come per le 17021 (che accreditano enti certificatori idonei anche ad esempio a certificare la sicurezza secondo la ISO 27001), ma processi, prodotti e servizi.
    Questo fatto sembra proprio il fattore chiave per considerare i modelli di certificazione in scopo art. 42 per i ricercatori che hanno effettuato lo studio per la Commissione in linea con le scelte fatte nei regolamenti precedent (ad esempio l’EIDAS, la direttiva NIS o il Cybersecurity Act) . Per stare in scopo art. 42 si deve quindi certificare il prodotto e non il sistema
  • Gli altri modelli descritti nello studio sono piuttosto certificati ai sensi della ISO-IEC 17021 che si rivolge ad enti certificatori che attestano la capacita’ dell’azienda di organizzarsi e gestire risorse interne per soddisfare le esigenze dei client. Tale standard puo’ anche essere utilizzato come best practice ed e’ parzialmente ed implicitamente richiamato dall’art. 32.
    Lo standard ISO 17065 serve quindi ad accreditare organismi di certificazione che certificano che un prodotto, un servizio o un processo sia conforme a determinati requisiti rintracciabili in standard internazionali o altre basi normative.
    Serve anche a porre al centro criteri tali da poter rendere l’attivita’ di certificazione coerente, imparziale e competente al fine ultimo di favorire il commercio internazionale.
    Secondo lo studio di Tilburg quindi, le buone pratiche del passato possono essere utili e offrire modelli validi per l’inizio di una nuova era delle certificazioni. Spetta ora alle autorita’ competenti di completare questo complesso disegno facendo tesoro anche di cio’ che gia c’e’ e rendendo effettivo ed esecutivo l’ambizioso disegno di armonizzazione del Regolamento 679. Rigraziamenti