Πρότυπα & Κατευθυντήριες Οδηγίες (ISO, ENISA, NIS2)

1. Εισαγωγή: Γιατί χρειάζονται πρότυπα;

Το άρθρο 32 GDPR μιλά για «κατάλληλα τεχνικά και οργανωτικά μέτρα» χωρίς να καθορίζει συγκεκριμένα εργαλεία. Αυτή η ελαστικότητα είναι θεμιτή, γιατί κάθε φορέας έχει διαφορετικούς κινδύνους και δυνατότητες. Όμως για τους δημόσιους οργανισμούς που διαθέτουν ανοικτά δεδομένα, η γενικότητα του νόμου δημιουργεί αβεβαιότητα:

  • Πότε ένα μέτρο θεωρείται επαρκές;

  • Πώς αποδεικνύεται ότι ένας φορέας εφάρμοσε το «state of the art»;

  • Πώς τεκμηριώνεται η συμμόρφωση σε έναν πιθανό έλεγχο από την ΑΠΔΠΧ ή την Ευρωπαϊκή Επιτροπή;

Η απάντηση βρίσκεται στα διεθνώς αναγνωρισμένα πρότυπα και οδηγίες. Ουσιαστικά, αυτά μεταφράζουν τις γενικές αρχές του GDPR σε συγκεκριμένες πρακτικές. Όταν ένας φορέας ακολουθεί τα ISO, τις κατευθύνσεις ENISA και συμμορφώνεται με NIS2, μπορεί να πει με σιγουριά: «Εφάρμοσα μέτρα που το δίκαιο και η τεχνολογία θεωρούν βέλτιστα».

Για τα ανοικτά δεδομένα, αυτή η συμμόρφωση είναι ακόμη πιο κρίσιμη, γιατί εδώ μιλάμε για δημοσίευση προς απεριόριστο κοινό, άρα ο κίνδυνος πολλαπλασιάζεται.

2. ISO/IEC 27001 – Ο κορμός της ασφάλειας

2.1 Τι είναι

Το ISO/IEC 27001 είναι το βασικό πρότυπο για την οργάνωση Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ISMS). Ορίζει πλαίσιο πολιτικών, διαδικασιών, ελέγχων και συνεχούς βελτίωσης.

2.2 Σύνδεση με GDPR και Open Data

  • Risk assessment: Το ISO 27001 επιβάλλει διαδικασία καταγραφής κινδύνων. Για open data, αυτό σημαίνει ότι κάθε dataset εξετάζεται πριν τη δημοσίευση: ποιοι κίνδυνοι αναγνώρισης υπάρχουν, τι πιθανότητα έχουν, τι μέτρα απαιτούνται.

  • Κατανομή Ρόλων (Role Allocation): Ο GDPR δίνει μεγάλη έμφαση στη σαφήνεια ρόλων και ευθυνών. Στο πλαίσιο διάθεσης open data πρέπει να προσδιορίζονται με σαφήνεια:

Data Stewards: τα στελέχη που γνωρίζουν τα δεδομένα του φορέα, τα ταξινομούν, προτείνουν τι μπορεί να δημοσιευθεί.

DPO (Data Protection Officer): διασφαλίζει ότι τηρούνται οι αρχές προστασίας προσωπικών δεδομένων.

CISO (Chief Information Security Officer) ή αντίστοιχο στέλεχος ασφάλειας: ελέγχει τα τεχνικά μέτρα ασφάλειας.

Έτσι, σε περίπτωση ελέγχου (από Αρχή Προστασίας Δεδομένων ή Ελεγκτικά Όργανα), μπορεί να αποδειχθεί ποιος είχε ποια ευθύνη και ότι υπήρχε accountability (λογοδοσία),

  • Audit trails: Κάθε διαδικασία δημοσίευσης open data πρέπει να αφήνει τεκμηριωμένα ίχνη (audit trails). Τι σημαίνει αυτό: (Α) Να καταγράφεται ποιος ενέκρινε τη διάθεση, (Β) Να φαίνεται πότε έγινε η διάθεση, (Γ) Να τεκμηριώνεται με ποια ανάλυση κινδύνου αποφασίστηκε.

Αυτά τα ίχνη είναι κρίσιμα για την απόδειξη συμμόρφωσης (άρθρο 5(2) GDPR – accountability). Εξασφαλίζουν ότι σε περίπτωση αμφισβήτησης ή ελέγχου, ο φορέας μπορεί να αποδείξει: «Δεν ενεργήσαμε αυθαίρετα· ακολουθήσαμε διαδικασία με καταγεγραμμένα βήματα και υπεύθυνους».

2.3 Παράδειγμα

Ένα υπουργείο που θέλει να ανεβάσει δεδομένα μεταφορών (GPS λεωφορείων) εφαρμόζει το ISO 27001:

  • Καταγράφει κινδύνους (π.χ. αποκάλυψη συνηθειών οδηγών).

  • Προβλέπει mitigation (π.χ. καθυστέρηση 30’ στη διάθεση, aggregation ανά γραμμή και όχι ανά όχημα).

  • Τεκμηριώνει τη διαδικασία.

Έτσι αποδεικνύει ότι το άρθρο 32 GDPR εφαρμόστηκε.

3. ISO/IEC 27701 – Η γέφυρα με την ιδιωτικότητα

3.1 Τι είναι

Το ISO/IEC 27701 επεκτείνει το 27001 και καλύπτει ειδικά την προστασία προσωπικών δεδομένων. Ουσιαστικά, είναι ένα «Privacy Information Management System (PIMS)».

3.2 Εφαρμογή στα Open Data

  • Εισάγει ρητές διαδικασίες ανωνυμοποίησης και ψευδωνυμοποίησης.

  • Ορίζει πώς τεκμηριώνεται DPIA (άρθρο 35 GDPR).

  • Προβλέπει data sharing agreements.

3.3 Παράδειγμα

Ένα πανεπιστήμιο που θέλει να δημοσιεύσει open dataset με στοιχεία φοιτητών από έρευνα:

  • Με το ISO 27701 πρέπει να ανωνυμοποιήσει πλήρως τις απαντήσεις.

  • Να τεκμηριώσει τη μέθοδο (π.χ. suppression μικρών κατηγοριών).

  • Να ορίσει όρους χρήσης (license + disclaimers).

Έτσι διασφαλίζει ότι ακόμη και ως open data, το dataset σέβεται τον GDPR.

4. NIS2 – Η νέα πραγματικότητα κυβερνοασφάλειας

4.1 Το πλαίσιο

Η Οδηγία NIS2 (2022/2555) επεκτείνει την προηγούμενη NIS και καλύπτει περισσότερους οργανισμούς, μεταξύ των οποίων δημόσιες υπηρεσίες και πλατφόρμες open data. Η NIS2 απαιτεί από τους φορείς να λαμβάνουν κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε τα συστήματά τους να είναι:

  • Ανθεκτικά σε επιθέσεις DDoS (Distributed Denial of Service): δηλαδή σε κακόβουλες ενέργειες που στοχεύουν να υπερφορτώσουν τις υποδομές και να καταστήσουν την υπηρεσία διάθεσης δεδομένων (π.χ. την πλατφόρμα open data) μη διαθέσιμη. Αυτό σημαίνει ότι πρέπει να υπάρχει προστασία μέσω firewalls, load balancing, anti-DDoS μηχανισμών ή συνεργασία με παρόχους που προσφέρουν τέτοια φίλτρα.

  • Προστατευμένα από αλλοιώσεις (tampering): τα ανοικτά δεδομένα πρέπει να διατίθενται με τρόπο που να διασφαλίζει την ακεραιότητά τους, ώστε να μην μπορούν τρίτοι να τα παραποιήσουν. Αυτό μπορεί να γίνεται με:

    • ψηφιακές υπογραφές,

    • hash codes για επαλήθευση ακεραιότητας,

    • έλεγχο πρόσβασης στις πηγές δεδομένων,

    • monitoring για ανίχνευση μη εξουσιοδοτημένων αλλαγών.

Συμπέρασμα: Σύμφωνα με τη NIS2, η πλατφόρμα ανοικτών δεδομένων δεν πρέπει μόνο να «ανοίγει» πληροφορίες, αλλά και να εγγυάται ότι θα παραμείνει διαθέσιμη, ασφαλής και αδιάβλητη απέναντι σε κυβερνοαπειλές.

4.2 Τι σημαίνει για Open Data

  • Οι εθνικές πύλες open data (π.χ. data.gov.gr) θεωρούνται «ουσιώδεις υπηρεσίες».

  • Οφείλουν να έχουν συστήματα ανθεκτικότητας, monitoring, incident reporting.

  • Υπάρχουν βαριές κυρώσεις για μη συμμόρφωση.

4.3 Σύνδεση με GDPR

Ενώ το άρθρο 32 GDPR επικεντρώνεται στην ιδιωτικότητα, η NIS2 αφορά διαθεσιμότητα, ακεραιότητα και ανθεκτικότητα. Τα δύο πλαίσια είναι συμπληρωματικά:

  • GDPR: «Προστατεύστε τα δικαιώματα των φυσικών προσώπων».

  • NIS2: «Προστατεύστε την αδιάλειπτη λειτουργία των συστημάτων».

Έτσι, μια πλατφόρμα open data πρέπει ταυτόχρονα:

  • Να ανωνυμοποιεί datasets (GDPR).

  • Να αντέχει σε DDoS επιθέσεις ή αλλοιώσεις (NIS2).

5. ENISA – Ο τεχνικός οδηγός

5.1 Ρόλος της ENISA

Η ENISA (European Union Agency for Cybersecurity) είναι ο οργανισμός της Ευρωπαϊκής Ένωσης αρμόδιος για ζητήματα κυβερνοασφάλειας. Αποστολή της είναι να ενισχύει την ανθεκτικότητα της Ένωσης απέναντι σε κυβερνοαπειλές, να παρέχει τεχνογνωσία και να προάγει τη συνεργασία μεταξύ κρατών-μελών.

Η ENISA εκδίδει οδηγίες, εργαλεία, μελέτες και τεχνικές εκθέσεις που βοηθούν φορείς να εφαρμόζουν τις αρχές της ασφάλειας πληροφοριών. Αν και οι οδηγίες της δεν είναι δεσμευτικές νομικά, θεωρούνται σημείο αναφοράς για το «state of the art» – δηλαδή το υψηλότερο επίπεδο τεχνολογικής επικαιρότητας και καλών πρακτικών.

5.2 Οδηγίες σχετικές με Open Data

  • Guidelines on Anonymisation: Παρουσιάζει τις βασικές τεχνικές ανωνυμοποίησης (aggregation, suppression, k-anonymity, differential privacy) και τους κινδύνους που παραμένουν, ιδίως σε σχέση με πιθανή επαναταυτοποίηση όταν τα δεδομένα συνδυάζονται με άλλες πηγές.

  • Good Practices for Big Data Security: Περιγράφει πρακτικές για τη διασφάλιση εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας σε μεγάλα datasets. Αναφέρεται σε ελέγχους πρόσβασης, κρυπτογράφηση, monitoring και διαδικασίες ασφαλούς αποθήκευσης.

  • Threat Landscape Reports (ετήσια): Ετήσιες εκθέσεις που καταγράφουν τις τρέχουσες και αναδυόμενες απειλές για δεδομένα και συστήματα. Για τα open data, ιδιαίτερο ενδιαφέρον έχουν οι κίνδυνοι όπως:

    • Misuse των API (κακόβουλη χρήση ή υπερβολικά αιτήματα που οδηγούν σε κατάρρευση υπηρεσιών).

    • Data scraping (μαζική εξαγωγή δεδομένων από πλατφόρμες με τρόπους που παραβιάζουν τους όρους χρήσης).

    • Απειλές αλλοίωσης δεδομένων ή μη εξουσιοδοτημένης αναδημοσίευσης.

Συμπέρασμα: Η ENISA παρέχει στους φορείς ένα πλαίσιο «state of the art» πρακτικών, μπορεί να αξιοποιηθεί ως τεκμήριο συμμόρφωσης σε ελέγχους (π.χ. GDPR, NIS2) και να ενισχύσει την αξιοπιστία της διάθεσης ανοικτών δεδομένων.

5.3 Χρήση στην Ελλάδα

Η ΑΠΔΠΧ έχει αναφερθεί σε οδηγίες ENISA σε αποφάσεις της για ανωνυμοποίηση. Αυτό σημαίνει ότι ένας φορέας που ακολουθεί ENISA καλύπτεται καλύτερα σε περίπτωση ελέγχου.

6. Οδηγία 2019/1024 για τα Open Data – Η σχέση με GDPR

Η Οδηγία για τα Ανοικτά Δεδομένα (2019/1024) υποχρεώνει τα κράτη να δημοσιεύουν datasets υψηλής αξίας. Όμως στο άρθρο 1 §4 τονίζει:

«Η παρούσα οδηγία δεν θίγει την προστασία προσωπικών δεδομένων κατά τον GDPR.»

Άρα, ακόμη και αν ένα dataset είναι «υψηλής αξίας», εάν δεν μπορεί να ανωνυμοποιηθεί με βάση τα πρότυπα ISO/ENISA, δεν πρέπει να ανοίξει. Εδώ φαίνεται η προτεραιότητα του GDPR και του άρθρου 32

7. Accountability μέσα από τα πρότυπα

Το άρθρο 5(2) GDPR καθιερώνει την αρχή της λογοδοσίας (accountability): ο υπεύθυνος επεξεργασίας δεν αρκεί να συμμορφώνεται με τις απαιτήσεις του Κανονισμού, οφείλει και να αποδεικνύει τη συμμόρφωση.

Σε αυτό το πλαίσιο, τα διεθνή πρότυπα και κανονιστικά πλαίσια λειτουργούν ως μηχανισμοί τεκμηρίωσης:

  • ISO 27001 (Risk Assessment & Information Security Management) Τεκμηριώνει ότι ο φορέας έχει πραγματοποιήσει συστηματική αξιολόγηση κινδύνων και έχει εφαρμόσει κατάλληλα μέτρα ασφάλειας πληροφοριών.

  • ISO 27701 (Privacy Information Management System) Εξειδικεύει την προστασία προσωπικών δεδομένων, δείχνοντας ότι λήφθηκαν μέτρα ιδιωτικότητας σε όλα τα στάδια διαχείρισης των δεδομένων.

  • NIS2 (Network and Information Security Directive) Επιβάλλει υψηλά πρότυπα ασφάλειας και ανθεκτικότητας για κρίσιμες υπηρεσίες, αποδεικνύοντας ότι τα συστήματα διάθεσης ανοικτών δεδομένων προστατεύονται από κυβερνοαπειλές (π.χ. DDoS, αλλοιώσεις).

  • Κατευθύνσεις ENISA Θεωρούνται «state of the art». Η υιοθέτηση των οδηγιών της (π.χ. για ανωνυμοποίηση, ασφάλεια big data, threat landscapes) δείχνει ότι ο φορέας εφάρμοσε τις πλέον σύγχρονες τεχνικές.

Συμπέρασμα: Χωρίς αυτά τα πρότυπα και τεκμήρια, ένας φορέας δυσκολεύεται να αποδείξει ότι έχει πράγματι συμμορφωθεί με το άρθρο 32 GDPR (λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων). Με αυτά όμως, μπορεί να επιδείξει συνεκτική και αποδεδειγμένη στρατηγική λογοδοσίας.

Συμπέρασμα

Η συμμόρφωση με το άρθρο 32 GDPR για τα ανοικτά δεδομένα δεν μπορεί να είναι γενικόλογη. Χρειάζεται στήριξη σε αναγνωρισμένα πρότυπα και κατευθυντήριες. Τα ISO 27001 και 27701, η NIS2 και οι οδηγίες ENISA αποτελούν τον πρακτικό μηχανισμό με τον οποίο η αρχή της ασφάλειας μετατρέπεται σε συγκεκριμένα μέτρα.

Για τους ελληνικούς δημόσιους φορείς, η υιοθέτηση αυτών των προτύπων δεν είναι απλώς καλή πρακτική: είναι προϋπόθεση για βιώσιμη και αξιόπιστη στρατηγική open data, για αποφυγή κυρώσεων και, κυρίως, για τη διατήρηση της εμπιστοσύνης πολιτών και επιχειρήσεων

3. Ρόλοι στη Διακυβέρνηση Ανοικτών Δεδομένων

Η διάθεση ανοικτών δεδομένων δεν είναι μόνο τεχνικό έργο, προϋποθέτει σαφή κατανομή ρόλων και ευθυνών, ώστε να διασφαλίζονται η νομιμότητα, η ασφάλεια και η ποιότητα.

3.1 Data Protection Officer (DPO)

  • Υποχρεωτικός για όλους τους δημόσιους φορείς (άρθρο 37 GDPR).

  • Ελέγχει και γνωμοδοτεί επί των DPIAs (Μελετών Εκτίμησης Αντικτύπου – άρθρο 35 GDPR).

  • Παρέχει συμβουλές για τα μέτρα ασφάλειας του άρθρου 32 GDPR.

  • Αποτελεί το σημείο επαφής με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

  • Στα open data: εξετάζει κάθε dataset πριν τη δημοσίευση, ιδίως σε περιπτώσεις ευαίσθητων δεδομένων (π.χ. υγείας), επιβεβαιώνει ότι η ανωνυμοποίηση είναι μη αναστρέψιμη.

3.2 Chief Information Security Officer (CISO)

  • Υπεύθυνος για την κυβερνοασφάλεια και τη συμμόρφωση με το πλαίσιο NIS2.

  • Διασφαλίζει την ακεραιότητα και διαθεσιμότητα των συστημάτων διάθεσης ανοικτών δεδομένων.

  • Ελέγχει τη λειτουργία των API, των cloud υποδομών και τα μέτρα κρυπτογράφησης.

3.3 Νομική Υπηρεσία

  • Ελέγχει ζητήματα πνευματικών δικαιωμάτων τρίτων (copyright, licenses).

  • Διαχειρίζεται νομικές αξιώσεις σε περίπτωση παραβιάσεων.

Συμπερασματικά, η σωστή διακυβέρνηση των ανοικτών δεδομένων απαιτεί συνεργασία νομικών, τεχνικών και οργανωτικών ρόλων. Μόνο έτσι εξασφαλίζεται ότι η διάθεση δεδομένων γίνεται με τρόπο νόμιμο, ασφαλή και αξιόπιστο.

PreviousΝομικό Πλαίσιο & GDPR (Άρθρο 32) για την Ασφάλεια Δεδομένων – Σύνδεση με Ανοικτά ΔεδομέναNextΠολιτικές Ασφάλειας

Last updated