Euroopa Liidu andmekaitse üldmäärus (General Data Protection Regulation) jõustus 25. mail 2018 pärast seda, kui organisatsioonid kogu Euroopas ja kaugemal on teinud jõulisi ettevalmistusi nõuetele vastamiseks. Üldmäärus annab üksikisikutele suurema kaitse nende andmete kogumise, töötlemise ja säilitamise osas.
Paljud siseaudiitorid on aidanud oma organisatsioone, et nad vastaksid andmekaiitse nõuetele ning nüüd, kus üldmäärus on jõustunud, on oluline, et siseaudiitorid annaksid oma juhtidele kindlustunde, et üldmäärus ka sisuliselt toimib. On ülioluline, et organisatsioonid jätkaksid tööga, mis on ette võetud protsesside ajakohastamiseks andmekaitse vallas.
"Nüüd, kus isikuandmete kaitse üldmäärus on jõustunud, peavad siseaudiitorid tagama, et nende organisatsioonid ei jääks mugavustsooni, sest uued eeskirjad on tulnud, et jääda," ütleb ECIIA president Farid Aractingi ning jätkab: "Siseaudiitorid liiguvad nüüd ilmselt nõuandvast rollist kindlustandvasse, et tagada kindlustunne protsesside olemasolu ja toimimise osas."
Valdkonnad, milles siseaudit võib anda kindlustunde, on järgmised:
- Kui adekvaatsed ja tulemuslikud on kokku lepitud poliitikad ja protseduurid kontrollielementidena?
- Kui usaldusväärne on organisatsiooni andmete valitsemine?
- Kas õiged inimesed on õigetes rollides andmete kontrollimise ja töötlemise toimimiseks?
- Kui rangelt ja kuidas raporteeritakse rikkumistest andmekaitse valdkonnas?
- Kas me oleme täielikult kooskõlas andmekaitse üldmäärusega?
- Kuidas me õpime juhtumitest?
Siseaudiitorid peavad otsustama, kuidas katta isikuandmete kaitse üldmäärust oma töödes. Näiteks, kas määrust peaks arvestama iga auditi planeerimisel? Kas määruse kontrolliraamistikku peaks auditeerima iga kahe kuni kolme aasta järel?
Siseaudiitorid keskenduvad tõenäoliselt kindlatele valdkondadele pärast määruse rakendumist. IT ja üldmäärusega seotud muutuste programmid on ilmselged näited, kuid organisatsiooniülene kommunikatsioon peab tagama, et määrusega kaetav valdkond jääb aktuaalseks ka pärast esialgseid tegevusi andmekaitses. See võib näiteks tähendada, et inimressursside ning õppe- ja arendusmeeskonnad kavandavad muudatusi nii praeguste kui uute töötajate koolitusprogrammidesse. Isikuandmete kaitse on sisseelemiseks ja täiendõppeks oluline teemavaldkond.
Kehtivates käsiraamatutes on ilmselt veel puudujääke, kuid need täienevad, kuivõrd üldmäärus puudutab kõiki. Siseaudiitorid peavad olema kursis muudatustega õigusaktides, juhistes ja heades tavades ning aitama kaasa andmekaitse üldmääruse elluviimisele.
Kasulikku teavet leiate ECIIA võrgulehelt.