Gagnsæi og öryggi hafa alltaf verið meðal okkar megingilda, þess vegna höfum við alltaf hugað mjög alvarlega að öllu sem viðkemur gögnum viðskiptavina, einnig fyrir tíma GDPR. Þar sem ný persónuverndarreglugerð (GDPR) mun taka gildi í Evrópu 25. maí nk. eru hér nánari upplýsingar um stöðuna okkar og hvað tekur næst við.
En áður en við förum út í smáatriðin er rétt að rifja stuttlega upp hvað fellst í nýju persónuverndarreglugerðinni eða General Data Protection Regulation (GDPR). Í stuttu máli er markmið nýju GDPR persónuverndarreglugerðarinnar að veita einstaklingum meiri stjórn yfir sínum eigin upplýsingum og einfalda regluverk gagnvart alþjólegum þjónustuveitendum með því að samræma löggjöfina allstaðar innan Evrópu. Ein af helstu meginreglunum sem þjónustuveitendur þurfa að gera góð skil er að fá upplýst samþykki notenda til að mega vinna með persónuupplýsingar þeirra – hvort sem um ræðir nafn, netfang, kennitölu, o.s.frv., og jafnfram að veita þeim getu til þess að sækja og eyða öllum upplýsingum um sjálfan sig, stundum kallað réttur til að gleymast.
Hver er staðan okkar núna?
Ef þú þekkir okkur þá hefur þú eflaust rekist á síðuna okkar um vottanir, upplýsinga- og rekstraröryggi. Við hönnuðum okkar stjórnkerfi upplýsingaöryggis (Information Security Management System – ISMS) í samræmi við þann vel þekkta alþjóðlega staðal fyrir upplýsingaöryggi ISO/IEC 27001. Aðferðarfræðin og ISMS stjórnkerfið okkar hefur verið rýnt og vottað með áherslu sem „online e-signing and e-identification services and custom software development, delivery and provision“ frá Bureau Veritas, sem er leiðandi í heiminum í prófunum, eftirliti og vottunarþjónustu. ISO/IEC 27001 vottunin er í dag talin besta aðferðarfræðin sem völ er á til að ná að uppfylla kröfur persónuverndarreglugerðarinnar og nær hún til allra nauðsynlega þátta hennar.
Samt sem áður gerir GDPR einnig kröfu um viðbótar stefnur, uppfært verklag og ferla sem eru ekki skilgreind í ISO/IEC27001 staðlinum (sem dæmi réttur til að sækja og eyða gögnum, tilkynningarskildu í ákveðnum tilfellum og margt fleira), sem við erum einnig búin að koma á fót. Við erum búin að setja fram nýja stefnu um meðferð persónuupplýsinga (e. privacy policy), uppfæra verklag og alla ferla við meðferð persónuupplýsinga og innleiða nýja verklagið sem hluta af okkar stjórnkerfi upplýsingaöryggis (ISMS).
Við eru búin að vinna alla heimavinnuna okkar. Þú getur sótt vottorðið okkar hér.
Hvað fleira erum við að gera?
Við erum að uppfæra fleiri þætti sem snúa að viðskiptavinum okkar eins og samningana okkar, notendaskilmálana, persónuverndarstefnu, virkni til þess að geta valið nákvæmar hvernig tölvupósta notendur vilja fá o.s.frv. En allra mikilvægustu þættirnir hafa nú þegar verið til staðar í þó nokkurn tíma – ISO 27001 vottunin var mjög mikilvægt fyrsta skref í átt til að uppfylla GDPR sem kláruðum fyrir 2 árum.
Enn frekar, í samvinnu með samstarfsaðilum okkar – útgáfuaðilum rafrænna skilríkja – höfum við undirbúið viðeigandi vinnslusamninga (data processing agreements) til þess að geta tryggt að allir þættir sem tengjast þjónustunum okkar sem koma ekki aðeins frá okkur heldur einnig samstarfsaðilum okkar, uppfylli 100% allar kröfur GDPR. Þar sem þessi þáttur er ekki eingöngu undir okkur sjálfum kominn heldur krefst einnig þátttöku fleiri aðila, þá er hann enn í vinnslu. Við stefnum hins vegar á að klára alla þessa þætti um miðjan maí.
Hvað er næst?
Til þess að ganga jafnvel einu skrefi lengra þá stefnum við að því á þessu ári að láta votta gæðastjórnunarkerfið okkar í samræmi við ISO/IEC 9001 staðalinn. Það er alþjóðlegur staðall fyrir gæðastjórnunarkerfi sem tryggir að fyrirtækið mæti öllum kröfum nauðsynlegra laga og gæði við rekstur starfseminnar; staðallinn byggir á aðferðarfræði sem gerir kleift að bregðast við breytilegum gæðakröfum í samræmi við umhverfi okkar.
Hjá ISIGN tökum við þessum hlutum sérstaklega alvarlega og upplýsingaöryggi hefur alltaf verið og verður alltaf í forgangi hjá okkur!