2. Certification as business card for accountability
Giovanni Buttarelli said in a video-speech on 22 January 2018 , spoke of
Certification is a business card for accountability.
He advised to “treasure past good practices taking into account of the
novelties”.
ISO context, but also on national practices, moving towards a
harmonization of experiences through the EDPB criteria.
Technologically neutral approach” so as to avoid market distortions and
trust enhancers for consumers and users.
Clear criteria on who can accredit and certify
Sustainable criteria at European level + dialogue with the organizations
involved in the world, such as the Consortium W3C and ISO.
Application of the certifications can make an innovative contribution,
create new skills and jobs and compensate for the technological gap
Paramount to involve all the stakeholders, including the certification bodies.
3. General Methodology of the Commission Study
Full data protection
Partly focusing ondata
protection
Data protectionrelated
topics (cyber security)
BSI BS 10012 (UK)
TÜV Italia ISO/IEC 27001
BSI ISO/IEC 27018 (UK)
Certificazione ISDP 10003:2015 Data
protection (IT)
Datenschutzaudit beim ULD (DE)
E-privacy app (DE)
EuroPrise (DE)
IkeepSafe Coppa Safe Harbor (US)
Label CNIL digital safe boxes (FR)
Health Personal Data Storage
Agreement (FR)
Myobi Privacy Seal (NL)
Norea Privacy-Audit-Proof (NL)
PrivacyMark System (JP)
Privacy by Design Certification Ryerson
(CA)
TrustArc APEC CBPR certification (US)
Scope
Normative criteria
Scheme arrangements
--
Conformity assessment
Certification issuance
Renewal
Monitoring
Sanction policy
Complaint and dispute
management
Quick Scan
117 schemes identified
Case studies
15 schemes selected
Case studies
8 themes analyzed
4. A privacy seal for Europe
Project funding :1,3 Mio by EU
July 2007 - February 2009
18 pilot projects
Over 65 experts accredited
Consortium: 9 partners from 8 EU Countries
5. From a small state to a EU wide certification
IT products
•Hardware (e.g., an external hard
disc drive secured by strong
encryption methods)
•Software (e.g., a software module
for obfuscation of video data or a
fraud prevention software tool)
6. Europrise services
IT-based services
• Web-based services(e.g., a metasearch engine or
a service for collaboration of medical
professionals)
• Other services(e.g., a digitising service for photo
negatives)
Websites (since 2016)
• Publicly accessible parts of a website (focus on
interaction between website and website visitors)
7. Content of certifications – Targets of Evaluation
Cert. of IT products & IT-based
services (controller services +
processor services):
• The European Privacy Seal
certifies that an IT product or IT-
based service facilitates the
use of that product or service in
a way compliant with European
regulations on privacy & data
protection.
Cert. of websites:
• The seal certifies that data processing
that results from the interaction
between a visitor of a website and the
website when the visitor browses
publicly available parts of the
websites is compliant with
European regulations on privacy &
data protection.
8. Key factors for trust
Trasparency:
• public criteria + procedure
Verifiability:
• publication of results
Credibility :
• reliability of auditors and recognition of
certification bodies in DE
Compliance with General Data
Protection principles
Technical-Organisational Measures:
Accompanying Measures for
Protection of the Data Subjects
Technology-specific and Service-
specific Requirements
Data Subjects’ Rights
Rights under the ePrivacy Directive
11. Key factors : expertise of auditors
Mandatory accreditation (note: not to be confused with art.
43 accreditation) process called ’admission’ managed by
EuroPriSe board
· External auditor can be accredited on legal or/and technical
audit side
· 1st step: Applicant self-declaration of probity and
independence
· 2nd Step: Technical or/and legal exam from a use case
· The admission is granted for three years, renewable if the
auditors conducted a EuroPriSe audit at least in this area in
the meantime or if s/he followed an upgrade training
proposed by EuroPriSe.
International high profile Advisory Board
13. What for
The scheme provides the
principles and lines of
control for a complete
compliance assessment of
the organisation's internal
processes regarding
protection of personal data
with particular reference to
proper risk management.
Additionally, it details security
requirements and controls, so that the
data respect the levels of precision,
accuracy, timeliness, consistency,
completeness, credibility and updating
required by current regulations
regarding the protection of personal
data, with particular attention to the
principles of quality and security of the
data processed, in compliance with the
main international standards.
17. Outcome - Certification models
Several schemes
claim a multi-
sectoral coverage,
offering certification
of processes in all
business activities,
while some others
focus on dedicated
business activities.
Certification scope
models
EuroPriSe,
ISDP 10003:2015,
JIPDEC PrivacyMark,
Privacy by design certification Ryerson,
Privacy-Audit-Proof,
Privacy Seal MYOBI,
TRUSTArc APEC CBPR,
TUV Italia - ISO/IEC 27001 certification
Single-sector model
The scheme applies to one specific
business activity
BSI- ISO/IEC 27018
CNIL Safebox,
CNIL - ASIP Santé
Datenschutzaudit beim ULD
E-Privacy App
IKeepSafe
Multi-sector
v.
Single-sector
Multi-sector model
The scheme applies to all or certain
processes in all business activities
18. Allprocessesv.dedicatedprocesses(tab.3.4)
• Several of the
certifications that
were analysed,
certify all types of
processes while
half of them focus
on dedicated
processes and two
schemes only
certify the
conformity to
management
systems dedicated
to personal data
Outcome - Certification models
19. International v. national
and sub-national
certifications
• Several schemes have an
international scope in the
sense that they offer to
certify entities established
inside and outside the EU.
• Other certifications certify
entities registered within
the national territory of the
scheme operator.
Certification scope
Subnational model
The scheme applies within a subdivision ofthe
national territory
Datenschutzaudit beimULD
National model
The scheme applies to a nationalterritory CNIL Safebox,
CNIL - ASIP Santé,
Datenschutzaudit beimULD,
IKeepSafe, (USA)
JIPDEC PrivacyMark,(Japan)
Privacy-Audit-Proof,
TRUSTe APEC CBPR(USA)
EU-wide model
The scheme applies to all the EUMember
States
BSI-BS 10012,
BSI- ISO/IEC 27018,
EuroPriSe,
ISDP 10003:2015,
Privacy by design certificationRyerson,
TUV Italia - ISO/IEC 27001certification.
International model
The scheme applies worldwide or, at least,in
the EU and outside theEU
BSI-BS 10012,
BSI- ISO/IEC 27018,
EuroPriSe,
ISDP 10003:2015,
Privacy by design certificationRyerson,
TUV Italia - ISO/IEC 27001certification.
International v. National
Outcome - Certification models
20. Outcome - Certification models
Single-issue
certification
v.
Comprehensive
certification
Certification
scope
models
Dedicated GDPR provisionsmodel
(‘single-issue’)
The scheme helps to demonstrate
with
certain GDPR provisions
BSI - ISO/IEC 27018 (Article 28)
CNIL - SafeBox (Article
28) CNIL - ASIP Santé
(Article 28)
Privacy by design certification Ryerson (Article 25)
TUV Italia - ISO/IEC 27001 certification (Article 32)
All GDPR model (‘comprehensive’)
The scheme helps to demonstrate
compliance with all GDPR provisions
BSI - BS 10012
Datenschutzaudit beim ULD
E-Privacy
App
EuroPrie
ISDP10003
2015
Certifications based on international standards seem to follow ISO/IEC’s
approach that is encouraging a dedicated/sectoral approach, while European
schemes seem to prefer a more generic all-encompassing model.
Two opposing models
• On the one hand, a
Comprehensive model
encompasses certifications
certifying against the vast
majority of provisions included in
the GDPR or other data
protection laws
• On the other hand, a single-issue
certification model encompasses
the schemes certifying the
conformity with a single or
limited number of legal
obligations in the regulation.
21. Outcome - Certification models
Legal framework
v.
Standard
v.
Combined
Normative
criteria
Normative basis: law
The scheme is based on a legal framework (EU
or non-EU one)
CNIL Safebox,
CNIL - ASIP Santé,
Datenschutzaudit beim ULD
E-Privacy App,
EuroPriSe,
IKeepSafe (US)
ISDP 10003:2015,
Privacy by design certification Ryerson,
Privacy Seal MYOBI,
Privacy-Audit-Proof
Standard model
The scheme is based on a standard issued bya
national or an international standardization
body
BSI -BS 10012,
BSI- ISO/IEC 27018,
JIPDEC PrivacyMark,
TUV Italia - ISO/IEC 27001 certification
Combined model
The schemes both refer to a regulation and to
one or several other(s) normative basis
(Technical standard(s) or and code of conduct)
BSI -BS 10012,
BSI- ISO/IEC 27018,
E-Privacy App,
ISDP 10003:2015,
Privacy by design certification Ryerson,
TUV Italia - ISO/IEC 27001 certification
22. In scope of Art.42
Because already
accredited for
certification for
process, service and
product having been
accredited for 17065
2012 and in line with
the requirements of
Art. 43.1.b).
23. Certification 17065 vs 17021
ISO 17021-1ISO/IEC 17021-1:2015 -Conformity
assessment — Requirements for bodies providing
audit and certification of management systems
• Ensures the company's ability to organise itself and manage
internal resources and processes in order to meet customer
needs
• Usable as best practice
• Partially referred to in the GDPR (Art. 32)
Principles and requirements for the competence,
consistency and impartiality of the audit and
certification of management systems of ALL
types and for the bodies providing these activities
Management system – system to establish policy
and objectives and to achieve those objectives
ISO/IEC 17065:2012 Conformity assessment —
Requirements for bodies certifying products, processes and
services.
• The overall aim of certifying products, processes or services is to
give confidence to all interested parties that a product, process
or service fulfils specified requirements. The value of certification
is the degree of confidence and trust that is established by an
impartial and competent demonstration of fulfilment of specified
requirements by a third party.
• Certification of products, processes or services is a means of
providing assurance that they comply with specified
requirements in standards and other normative documents.
• It specifies requirements, the observance of which is intended to
ensure that certification bodies operate certification schemes in a
competent, consistent and impartial manner, thereby facilitating
the recognition of such bodies and the acceptance of certified
products, processes and services on a national and international
basis and so furthering international trade.
• This International Standard can be used as a criteria document
for accreditation or peer assessment or designation by
governmental authorities, scheme owners and others
Editor's Notes
Buongiorno a tutte e a tutti,
Sono Marco Moreschini svolgo il mio intervento in italiano in quanto socio dell’Osservatorio , ma sono anche un Distaccato del Ministero dell’ Interno da qualche anno presso le istituzioni europee ed oggi al Garante Europeo ed e’ per questo che per facilitare l’audience proietto delle slides in inglese.
Volevo ringraziare innanzitutto l’Osservatorio679 e l’EDPS per avere reso possibile l’organizzazione di questo evento che vuole fare il punto su una materia complessa e in itinere, e stimolare il dibattito fra stakeholders e interlocutori istituzionali, anche per fungere da sprone ad un completamento della stessa architettura normativa delle certificazioni GDPR da parte degli attori istituzionali preposti.
Come noterete riferendoci alla stesso studio riproporro’ delle slides gia’ mostratevi da Eric Lachaud, ma cerchero’ di non essere ridondante nella mia panoramica che vuole darvi un quadro delle best practices delineate dallo stesso studio commissionato dalla Commissione Europea per meglio esercitare le sue prerogative che le sono attribuite dal GDPR.
2
Come già anticipato da dal Professor Lachaud lo studio effettuato per la Commissione ha passato in rapida rassegna 117 schemi di certificazione, di cui 87 europei e 7 riferibili all’Italia.
Dei quindici schemi di certificazione analizzati piu’ di presso, perche’ considerati gia’ piu’ maturi e aventi caratteristiche in linea con gli art. 42 e 43, due sono stati classificati come completamente in scopo 42, migliori pratiche , che potrebbero essere immediatamente applicabili secondo il GDPR.
Nello stesso studio come abbiamo visto si sono analizzati piu’ in dettaglio otto temi per tutti gli organismi di certificazione, che richiamano in un certo modo i criteri che sono stati dettati nelle Guidelines dall’EDPB
4
5
Le certificazioni riguardano prodotti IT ( hardware and software, ma anche servizi basati sulla rete ( web-based) e dal 2016 anche i siti web, concentrando l’attenzione sul rapporto fra utenti e sito. Europrise quindi offre una certificazione volontaria ai produttori e ai venditori di questi prodotti. La creazione di affidabilità per le aziende o fiducia è lo scopo di queste certificazioni
Per i prodotti quindi la certificazione attesta che il prodotto favorisce il suo utilizzo in una maniera che è conforme alla regolamentazione europea sulla privacy e sulla data protection, mentre quella sui siti attesta che appunto l’interazione fra gli utenti e le parti pubbliche del sito è conforme alla normativa dati personali.
Per l’affidabilità, e questo discorso è valido per qualsiasi tipo di certificazione , ci sono dei fattori che sono imprenscindibili.
La trasparenza, con la pubblicazione dei criteri e la semplicità della procedura.
La verificabilità che si deve manifestare con la pubblicazione dei risultati e in ultimo poi c’e’ la credibilità che è data dalla affidabilità e competenza del comitato di controllo e di verifica e dalla qualificazione del suo personale.
I criteri, e la copertina del catalogo dei criteri e’ riproposta in questa slide, dicevamo i criteri «rispetto» ai quali la certificazione viene svolta sono volti ad accertare:
la conformità ai principi della protezione dei dati, le misure di sicurezza , ma anche quelle di tutela per gli interessati ( cosiddetti data subjects), i requisiti specifici, ma anche i diritti scaturenti dall’applicazione anche di altre norme che siano ancora riferibili alla data protection, come ad esempio la eprivacy directive.
La procedura è semplice:
dopo il contatto/ contratto fra il cliente e l’organismo di certificazione un gruppo di esperti ( third party/terza parte) si occupa della valutazione del prodotto o del servizio prima di sottoporre il rapporto di valutazione al controllo di una Autorità di Certificazione imparziale che ne valuta la metodologia, la coerenza e la completezza. Solo dopo cio’ il Sigillo verrà rilasciato all’ente che ha fatto domanda.
Online su uno speciale registro sono pubblicati i risultati delle verifiche e quindi dei processi e trattamenti che sono stati certificati.
Come abbiamo già accennato in precedenza ad attribuire credibilita’ a tale meccanismo di certificazione soccorre/c’è una procedura di accreditamento interna per gli esperti che effettuano materialmente le verifiche e le valutazioni.
Si valutano infatti in maniera molto meticolosa le capacità e competenze tecniche e legali dei valutatori e l’auditor puo’ svolgere il suo ruolo una volta superato questo vero e proprio esame per un periodo di tre anni. L’Advisory Board, infatti , è composto da personalita’ che sono vere e proprie eccellenze in questo campo e presiede a questo vero e proprio esame degli auditor.
Passiamo ora all’altra best practise citata dallo Studio dell’Università di Tilburg, vale a dire quella dello Schema internazionale della Protezione Dati, il cui scheme owner è una società italiana , la In-Veo di Roma.
La data di creazione è il 2015, l’accreditamento da Accredia ai sensi del Regolamento europeo 765/2008 è avvenuto nel 2016 a ridosso dell’adozione del Regolamento Generale sulla Protezione Dati. E’ stata aggiornata all’entrata in vigore del GDPR , ha una copertura, rivela lo studio della Commissione, internazionale e si riferisce ad ogni tipo di organizzazione. Al momento dello Studio 31 aziende erano state certificate attraverso questo schema che e’ stato dato in licenza anche ad altri tre organismi di certificazione. Inoltre lo Studio ci dice esplicitamente che lo stesso schema è pronto per il GDPR e dà molti vantaggi per le piccole e medie imprese, cosi’ come del resto auspicato dall’art. 42,1 del GDPR.
Quindi questa certificazione rispetta tutti i crismi del Considerando 100 del GDPR applicandosi a prodotti (processi) e servizi e anche quelli dell’art. 24, coinvolgendo insomma tutte le obbligazioni del titolare, nell’assolvimento di tutti i suoi compiti o doveri di accountability.
Logicamente la certificazione di conformità si basa sul GDPR, ma anche sugli altri standard internazionali cui lo stesso Regolamento si richiama. L’interoperabilità dello Schema ISDP con gli altri standard è assicurata dall’utilizzazione del Sistema HLS o Struttura ad alto livello, in pratica nuove regole specificate dall’ISO in nuove direttive che stabiliscono una struttura comune per consentire la compatibilità con le principali norme ISO. Gli altri standard sono per esempio, the ISO 9001, ISO 19011 ISO 17021-1 (Audit methodology), ISO 2859-10 (Sampling methodology), ISO 25012 and ISO 25024 (data quality model) and ISO 31000 (Risk Management), Annex SL (drafting guide) , ISO 27001 (security)
Lo schema quindi dettaglia e sviluppa i principi di data protection cui attenersi e ci offre una pletora di controlli che saranno l’arma degli auditor per verificare scrupolosamente la conformità del trattamento oggetto di valutazione. Particolare importanza è riposta sulla valutazione del rischio legata a ciascun trattamento a far da giusta eco all’approccio risk based più volte richiamato negli articoli del GDPR.
E legate al risk management ci sono tutte le varie soluzioni e controlli di sicurezza che incidono sulle caratteristiche di precisione, tempestività , completezza e credibilità del dato e inoltre tutta una serie di misure tecniche volte a dare attuazione al principio di qualità e non solo sicurezza del dato.
Questa è la struttura tecnica dell ISDP. Come vedete la stessa adotta l’approccio per processi al fine di programmare, predisporre , verificare , riesaminare , mantenere efficace , aggiornare, correggere e magari migliorare la conformità dei trattamenti dei dati personali alle norme vigenti. E fa questo appunto seguendo l’approccio classico per i processi di gestione secondo lo schema del cosiddetto ciclo di Deming.
Con il termine processo, e qui giova specificare, si intende un insieme di attivita’ correlate o interagenti che trasforma elementi in ingresso in elementi in uscita.
15
Qui potete vedere l’articolazione meticolosa dello schema di certificazione ( questo è l’indice dello schema di certificazione) che scandaglia e dettaglia tutta l’attività legata ai trattamenti della organizzazione richiedente la certificazione. Questa meticolosità nell’analisi è volta ad accertare la reale volontà dell’azienda di conformarsi alle regole sul trattamento dati.
Nello studio della Commissione sono analizzate in rassegna le caratteristiche che fanno dei due modelli di certificazioni appena descritti le best practices a livello europeo.
In primis il fatto di adattarsi a molteplici settori di business e non focalizzarsi solo su settori specifici.
Non solo i settori, ma anche i processi. Come vedete anche qui si mette in evidenza che Europrise e ISPD coprono tutti i processi e certificano la conformita’ dell’intero Sistema di gestione dati personali.
Anche la portata geografica va a definire i pregi dei due schemi di certificazione . Entrambe possono avere uno scopo internazionale certificando anche enti extra UE, mentre molti altri hanno una portata e un’applicazione al massimo europea se non solo nazionale.
Altro pregio e’ quello di essere certificazioni omnicomprensive che dimostrano la conformita’ all’intero impianto normativo del GDPR e non solo a processi e trattamenti indicati in singoli articoli.
Lo studio dell’Universita’ di Tilburg ha rilevato poi la particolarita’ che i modelli di certificazione che seguono gli standard internazionali hanno un approccio maggiormente settoriale, mentre quelli Europei prediligono una certa omnicomprensivita’ a coprire tutti i settori richiamati dal GDPR.
Per quanto riguarda i principi ispiratori, il modello Europrise si rifà integralmente a dei modelli normativi, mentre ISDP interpreta un modello combinato fra leggi e altre basi normative, quali gli standard tecnici internazionali e i codici di condotta.
Qui vedete un riassunto e una comparazione fra alcuni modelli di certificazione secondo alcune caratteristiche o criteri principali. Cio’ che si rileva e’ che le caratteristiche che abbiamo gia’ visto nelle precedenti slides sono si’ importanti, ma non sono determinanti per poter far rientrare Europrise e ISDP fra le Certificazioni GDPR ready e quindi gia’ pronte, salvo piccoli ulteriori accorgimenti, per il GDPR. Per essere in scopo art. 42, non solo la certificazione deve essere volontaria, deve riguardare dati personali, deve essere data da una valutazione di terza parte e non autocertificazione e non è sufficiente che riguardi dei non precisati trattamenti.
Fattore e criterio determinante e’ invece proprio il fatto che questi organismi di certificazione sono gia’ accreditati come prevede l’art. 43, comma 1, let b ISO/IEC 17065 e quindi idonei per certificare non sistemi di gestione come per le 17021 (che accreditano enti certificatori idonei anche ad esempio a certificare la sicurezza secondo la ISO 27001), ma processi, prodotti e servizi.
Questo fatto sembra proprio il fattore chiave per considerare i modelli di certificazione in scopo art. 42 per i ricercatori che hanno effettuato lo studio per la Commissione in linea con le scelte fatte nei regolamenti precedent (ad esempio l’EIDAS, la direttiva NIS o il Cybersecurity Act) . Per stare in scopo art. 42 si deve quindi certificare il prodotto e non il sistema
Gli altri modelli descritti nello studio sono piuttosto certificati ai sensi della ISO-IEC 17021 che si rivolge ad enti certificatori che attestano la capacita’ dell’azienda di organizzarsi e gestire risorse interne per soddisfare le esigenze dei client. Tale standard puo’ anche essere utilizzato come best practice ed e’ parzialmente ed implicitamente richiamato dall’art. 32.
Lo standard ISO 17065 serve quindi ad accreditare organismi di certificazione che certificano che un prodotto, un servizio o un processo sia conforme a determinati requisiti rintracciabili in standard internazionali o altre basi normative.
Serve anche a porre al centro criteri tali da poter rendere l’attivita’ di certificazione coerente, imparziale e competente al fine ultimo di favorire il commercio internazionale.
Secondo lo studio di Tilburg quindi, le buone pratiche del passato possono essere utili e offrire modelli validi per l’inizio di una nuova era delle certificazioni. Spetta ora alle autorita’ competenti di completare questo complesso disegno facendo tesoro anche di cio’ che gia c’e’ e rendendo effettivo ed esecutivo l’ambizioso disegno di armonizzazione del Regolamento 679. Rigraziamenti