28 Jan Erbringer von Dienstleistungen für öffentliche Verwaltungen müssen die Anforderungen an das nationale Sicherheitssystem erfüllen.
Der Einsatz geeigneter technischer und organisatorischer Maßnahmen genügt seit der Einführung des neuen spanischen Datenschutzgesetzes (LOPDGDD) nicht mehr.
In den letzten Monaten haben wir bereits mehrfach über Neuigkeiten in Bezug auf das neue spanische Datenschutzgesetzes berichtet, welches eine Reihe an Veränderungen für Unternehmen mit sich bringt.
Seit der Veröffentlichung der spanischen Allgemeinen Verordnung zum Schutz personenbezogener Daten bemühen sich die Unternehmen „geeignete“ technische und organisatorische Maßnahmen zu ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit der von ihnen verarbeiteten personenbezogenen Daten zu gewährleisten.
Unternehmen wiederum, die Dienstleistungen für öffentliche Verwaltungen erbringen, sind von dieser Verordnung ebenso nicht befreit und vielmehr verpflichtet, diejenigen Sicherheitsmaßnahmen zu ergreifen, die den Anforderungen an das nationale Sicherheitssystem entsprechen. Dieses ist wiederrum gleichermaßen von jeder öffentlichen Verwaltung zu veranlassen, für die die Dienstleistungen erbracht werden.
Das nationale Sicherheitssystem sieht insgesamt 75 Sicherheitsmaßnahmen vor, die sowohl den organisatorischen Rahmen des Unternehmens – z.B. die Erstellung einer Sicherheitspolitik – als auch den operativen Rahmen – z.B. die Durchführung von Risikoanalysen, den Erwerb ordnungsgemäß zertifizierter Komponenten – und den Rahmen von Schutzmaßnahmen unter anderem bezogen auf die vorhandenen Installationen und Infrastrukturen, Ausrüstung, Kommunikation und Computeranwendungen betreffen.
Darüber hinaus müssen die Auftragnehmer ihr Personal hinreichend schulen, damit man auch in der Lage ist, die getroffenen Maßnahmen tatsächlich einzuhalten. Auch ist ein Verfahren zur kontinuierlichen Verbesserung des Sicherheitsprozesses einzuführen, das mindestens alle zwei Jahre einem entsprechenden Audit unterzogen wird, und eine verantwortliche Person für Informationen, eine verantwortliche Person für Dienstleistungen und ein Sicherheitsbeauftragter zu ernennen. Diese Verantwortungsbereiche müssen zudem auf drei verschiedene Personen fallen, da sie nicht kompatibel miteinander sind.
Diese Maßnahmen werden zweifellos einen erheblichen Aufwand, insbesondere für kleinere und mittelständische Auftragnehmer und Unternehmer darstellen.
