EuroPriSe: Erfahrungen aus der Praxis. Sebastian Meissner, Leiter der EuroPriSe-Zertifizierungsstelle Berlin, 18.

Größe: px

Ab Seite anzeigen:

Download "EuroPriSe: Erfahrungen aus der Praxis. Sebastian Meissner, Leiter der EuroPriSe-Zertifizierungsstelle PERSICON@night Berlin, 18."

Wolfgang Gerhardt
vor 8 Jahren
Abrufe

1 EuroPriSe: Erfahrungen aus der Praxis Sebastian Meissner, Leiter der EuroPriSe-Zertifizierungsstelle Berlin, 18. September 2014

2 p. 2 Verfahrensschritte in der Übersicht IT-Produkt oder ITbasierter Service Zugelassene Experten evaluieren Produkt/Service Siegelverleihung Zertifizierungsstelle validiert Gutachten Gültigkeit: 2 Jahre EuroPriSe

evaluieren Produkt/Service Siegelverleihung

3 p. 3 Verfahrensschritte im Detail Unternehmen identifiziert geeigneten Zertifizierungsgegenstand (ToE) Unternehmen nimmt erste Bestandsaufnahme bzgl. des ToE vor Handelt es sich bei dem ToE um ein IT-Produkt oder um einen IT-basierten Dienst? Sichtung der vorhandenen Dokumentation ggf. Aktualisierung relevanter Dokumente Sichtung der Website DS-Erklärung vorhanden, offensichtliche Mängel? Sichtung des EuroPriSe-Kriterienkatalogs Identifizierung möglicher Problempunkte

des ToE vor Handelt es sich bei dem ToE um ein IT-Produkt oder um einen IT-basierten Dienst?

4 p. 4 Verfahrensschritte im Detail (II) Unternehmen kontaktiert akkreditierte rechtliche und technische EuroPriSe-Gutachter Ggf. Abschluss eines sog. ToE-Vertrags Unternehmen stellt Gutachtern relevante Dokumentation zur Verfügung Unternehmen und Gutachter führen gemeinsam einen ToE-Workshop durch Erörterung des genauen Zuschnitts des ToE Identifizierung potentieller Showstopper Gutachter geben positive Prognose bzgl. Zertifizierung ab

ToE-Vertrags Unternehmen stellt Gutachtern relevante Dokumentation zur Verfügung Unternehmen und Gutachter

5 p. 5 Verfahrensschritte im Detail (III) Abschluss eines Auditvertrags zwischen Unternehmen und Gutachtern Berücksichtigung aller Aufwände bei der Bepreisung: Auditbericht, Kurzgutachten, Monitoring, etc. Literaturempfehlung: Hansen-Oest, Vertrag über die Durchführung eines Datenschutzaudits, in: Moos (Hrsg.), Datennutzungs- und Datenschutzverträge Unternehmen und Gutachter erstellen eine Beschreibung des ToE Unternehmen und Gutachter vereinbaren eine sichere Art der Kommunikation für das Verfahren (PGP, SecFEx, verschlüsselte ZIP-Archive etc.)

Literaturempfehlung: Hansen-Oest, Vertrag über die Durchführung eines Datenschutzaudits, in: Moos (Hrsg.

6 p. 6 Verfahrensschritte im Detail (IV) Gutachter unterstützen das Unternehmen beim Ausfüllen der Application for Certification Übersendung der Application inkl. ToE-Beschreibung an die EuroPriSe-Zertifizierungsstelle (CA) Unternehmen, Gutachter und Zertifizierungsstelle führen gemeinsam einen ToE-Workshop durch Erörterung des genauen Zuschnitts des ToE Identifizierung potentieller Showstopper Unternehmen und Zertifizierungsstelle schließen Zertifizierungsvertrag ( Certification Agreement )

ToE-Beschreibung an die EuroPriSe-Zertifizierungsstelle (CA) Unternehmen, Gutachter und Zertifizierungsstelle führen

7 p. 7 Verfahrensschritte im Detail (V) Gutachter bereiten die Evaluierung vor: Aktuelle Versionen relevanter Dokumente (EuroPriSe- Kommentar, Report Templates, etc.)? EuroPriSe-Siegel für vergleichbare ToEs vorhanden? ToE-relevante Dokumente der Art. 29-Gruppe? Sichtung der Website DS-Erklärung vorhanden, offensichtliche Mängel? Ausfüllen der EuroPriSe-Übersichtstabelle Erarbeitung einer Prüfstrategie für die Evaluierung Mitteilung der Evaluation Methods an CA Gutachter kontaktieren die CA so früh wie möglich, um potentielle Showstopper zu diskutieren

Sichtung der Website DS-Erklärung vorhanden, offensichtliche Mängel?

8 p. 8 Verfahrensschritte im Detail (VI) Gutachter führen die technische und rechtliche Evaluierung durch Abstimmung zwischen Gutachtern erforderlich: Rechtl. Gutachter darf sich nicht auf Dokumentenlage verlassen, sondern muss Ergebnisse der technischen Evaluation berücksichtigen Ergebnisse der Prüfung werden im Prüfbericht ( Evaluation Report ) festgehalten Validierung der im Prüfbericht festgehaltenen Evaluierungsergebnisse durch CA Vollständigkeit, Schlüssigkeit und Nachvollziehbarkeit Einheitliche Anforderungen in verschiedenen, aber vergleichbaren Verfahren

Gutachter darf sich nicht auf Dokumentenlage verlassen, sondern muss Ergebnisse der technischen Evaluation berücksichtigen Ergebnisse der

9 p. 9 Verfahrensschritte im Detail (VII) CA erstellt initiale Version des Auditberichts mit Fragen, Anmerkungen und (ggf.) konkreten ToDos Gutachter bearbeiten Auditbericht und senden das aktualisierte Dokument an die CA zurück Ggf. finden weitere solcher Feedbackzyklen statt Es empfiehlt sich, während des Durchlaufens der Feedbackzyklen Telefonkonferenzen abzuhalten, um den Auditbericht gemeinsam zu besprechen Achtung: Ggf. sind Änderungen an der Dokumentation, an Verträgen oder auch am ToE selbst erforderlich! Nach Klärung aller im Auditbericht adressierten Punkte und entsprechender Aktualisierung des Prüfberichts wird dieser von der CA akzeptiert

finden weitere solcher Feedbackzyklen statt Es empfiehlt sich, während des Durchlaufens der Feedbackzyklen Telefonkonferenzen abzuhalten, um den Auditbericht

10 p. 10 Verfahrensschritte im Detail (VIII) Anfertigung des öffentlichen Kurzgutachtens durch die Gutachter Hohe Qualität des Kurzgutachtens erforderlich, da dieses die Visitenkarte der Gutachter darstellt Veröffentlichung des Kurzgutachtens auf der EuroPriSe-Website Verleihung des EuroPriSe-Siegels Auflistung des ToE auf der EuroPriSe-Website Ggf. offizielle Verleihung auf Messe etc. IT-basierte Dienste: Monitoring nach 8 bzw. 16 Monaten

Veröffentlichung des Kurzgutachtens auf der EuroPriSe-Website Verleihung des EuroPriSe-Siegels Auflistung des

11 p. 11

12 Aktuelles zu EuroPriSe p. 12 Websitezertifizierung - Einführung des neuen Zertifizierungsprodukts Websitezertifizierung in Pilotzertifizierungen in 07/2014 gestartet - Gedacht als Basiszertifizierung (nur öffentlich zugängliche Bereiche einer Website) Kombiverfahren EuroPriSe ULD-Gütesiegel - EuroPriSe und ULD bieten nach wie vor die Möglichkeit eines Kombiverfahrens an - Synergieeffekte Kostenreduktion - Verleihung beider Siegel nach erfolgreichem Durchlaufen des Verfahrens

Pilotzertifizierungen in 07/2014 gestartet - Gedacht als Basiszertifizierung (nur öffentlich zugängliche Bereiche einer

13 Aktuelles zu EuroPriSe (II) p. 13 Advisory Board Besetzung: - Vertreter von Datenschutzaufsichtsbehörden - Vertreter der akkreditierten EuroPriSe-Gutachter - Sonstige Datenschutzexperten Aufgaben: - Billigung von Änderungen am Kriterienkatalog - Feedback zur geplanten Einführung neuer Zertifizierungsprodukte - Schlichtung bei Meinungsverschiedenheiten zwischen Gutachtern und Zertifizierungsstelle Literaturhinweis: EuroPriSe 2.0: Neues vom europäischen Datenschutzgütesiegel, veröffentlicht in: Datenschutz und Datensicherheit (DuD), Heft 3/2014, S

Datenschutzexperten Aufgaben: - Billigung von Änderungen am Kriterienkatalog - Feedback zur geplanten Einführung neuer

14 Aktuelles zu EuroPriSe (III) p. 14 Abgeschlossene Zertifizierungen in /2014: Rezertifizierung RISER-Service - 04/2014: Zertifizierung CrowdLink - 04/2014: Zertifizierung AVS-EU - 06/2014: Zertifizierung AMV System - 08/2014: Zertifizierung VALid-ZLC - 08/2014: Rezertifizierung VALid-POS - 08/2014: Rezertifizierung VALid-4F - 08/2014: Zertifizierung NEXELLENT Akkreditierte Gutachter in 08/ Gutachter in 18 Ländern - 47 technical, 55 legal & 10 technical+legal experts

04/2014: Zertifizierung AVS-EU - 06/2014: Zertifizierung AMV System - 08/2014: Zertifizierung VALid-ZLC - 08/2014:

15 Aktuelles zu EuroPriSe (IV) p. 15 Akkreditierungs- und Weiterbildungsveranstaltungen in Expert Admission Workshop, London, Expert Enhancement Workshop, London, Kontakt Sebastian Meissner Head of EuroPriSe Certification Authority Telefon: meissner@european-privacy-seal.eu

Ähnliche Dokumente

EuroPriSe 2.0 Neues vom Europäischen Datenschutzgütesiegel

EuroPriSe 2.0 Neues vom Europäischen Datenschutzgütesiegel Sebastian Meissner, Head of EuroPriSe Certification Authority ZertiFA 2014 Berlin, 02. Dezember 2014 EuroPriSe 2007 2014 S. 2 EuroPriSe 2.0 Neues