Kansainvälinen lainsäädäntö säätelee tiedon keruuta, hallintaa, säilytystä sekä käyttöä, mistä johtuen tietosuojaan liittyvät asiat tulevat yhä monimutkaisemmiksi sekä dynaamisemmiksi. Miten sisäinen tarkastus sopii tähän kuvaan? IIA:n julkaisu antaa työkaluja mm. listaamalla kysymyksiä, joiden avulla sisäinen tarkastus voi arvioida, painottaako organisaatio riittävästi tietosuojaa. Julkaisussa tuodaan esiin myös selkeä tarkastuksen vaiheistus, joilla tietosuojan perustarkastuksen voi tehdä.
Ohessa on yleisiä kysymyksiä, joilla tietosuojan tilaa voi organisaatiossa arvioida:
- Miten tietosuoja on identifioitu/mukana viimeisimmässä riskiarviossa?
- Kuka on nimitettynä organisaation tietoturvavastaavaksi (data protection officer)?
- Kuka omistaa asiakasdatan tietosuojapolitiikan?
- Missä johto ylläpitää organisaatioon vaikuttavia lakeja ja säädöksiä? Miten tietoa ylläpidetään?
- Missä johto säilyttää ja ylläpitää tietoa kaikista kolmansista osapuolista, jotka hyväksyvät, prosessoivat tai ylläpitävät organisaation sensitiivistä dataa sen puolesta?
- Missä ohjelmissa ja applikaatioissa käsitellään sensitiivistä dataa? Onko IT:n yleiset, systeemin tai veron kontrollit riittävällä tasolla ja toiminnassa?
- Mitä muita relevantteja kontrolleja (estäviä tai tutkivia) on olemassa tietosuojaan liittyen? Ovatko ne efektiivisiä?
- Kenen vastuulla on dokumentoida prosessi, jossa määritellään mitä tehdä, jos tietovuoto tapahtuu? Mistä dokumentti löytyy?
Ohessa on kuusi vaihetta yksinkertaisen tietosuojatarkastuksen toteuttamiseen:
1/ Kerää taustatietoa:
- Ajantasaisesta lainsäädännöstä
- Organisaation tietosuojaa käsittelevät politiikat (esim. nettisivut, mobiilisivut, posti, puhelin ja sähköposti)
- Kaikki kolmansia osapuolia koskevat tietosuojapolitiikat
2/ Vertaa lainsäädännön edellytyksiä organisaatiosi politiikkoihin huomataksesi poikkeamia
3/ Vertaa kolmansia osapuolia koskevia säädöksiä organisaation politiikkoihin
4/ Kartoita politiikat, jotka ovat linjassa organisaation kontrollien kanssa, poikkeamat indikoivat potentiaalisia korkeamman riskin alueita
5/ Varmista, että politiikat toteutuvat myös käytännössä (esimerkkejä tästä löytyy oheisesta julkaisusta)
6/ Testaa kontrollit (esimerkkejä tästä löytyy oheisesta julkaisusta)
Voit ladata tämän julkaisun sekä muita tietosuojan tarkastamiseen liittyviä työkaluja tästä.