Η συγκεκριμένη ΜΔΕ αφορά την προσέγγιση της έννοιας της διακινδύνευσης όπως αυτή ορίζεται στο πρότυπο ISO/IEC 27001:2022. Το πρότυπο ISO/IEC 27001:2022 αποτελεί το πιο αναγνωρισμένο διεθνές πρότυπο Ασφάλειας Πληροφοριών, το οποίο παρέχει σε επιχειρήσεις και οργανισμούς, ανεξαρτήτου μεγέθους, ένα πλαίσιο διαχείρισης και καθορισμού των απαιτήσεων για την εφαρμογή και συνεχή βελτίωση ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών, τη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας και διαθεσιμότητας των πληροφοριών τους. Η εκτίμηση της διακινδύνευσης αποτελεί εδάφιο του προτύπου, με συγκεκριμένα σημεία στα οποία μια επιχείρηση ή οργανισμός οφείλει να συμμορφώνεται.

Σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων, για κάθε είδος επεξεργασία που ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας υποχρεούται στην εκτίμηση του αντικτύπου των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα. Στην παρούσα ΜΔΕ περιγράφονται τεχνικές εκτίμησης της διακινδύνευσης (η εκτίμηση του αντικτύπου είναι μία από αυτές). Στη συνέχεια, δίνεται μια μελέτη περίπτωσης όπου τεχνικές εκτίμησης της διακινδύνευσης εφαρμόζονται για την διαχείριση της διακινδύνευσης σε ένα πληροφοριακό σύστημα με εκπαιδευτικά δεδομένα ενός πανεπιστημιακού ιδρύματος, μέρος των οποίων χαρακτηρίζονται ως δεδομένα προσωπικού χαρακτήρα.

Η ΜΔΕ δομείται ως εξής: αρχικά παρουσιάζεται η έννοια της διακινδύνευσης όπως αυτή ορίζεται στο πρότυπο ISO/IEC 27001:2022. Στη συνέχεια περιγράφεται η διαδικασία της εκτίμησης της διακινδύνευσης σύμφωνα με τα πρότυπα που υποστηρίζουν το ISO/IEC 27001:2022 (το πρότυπο ISO/IEC 27005:2018 που παρέχει οδηγίες για την διαχείριση της διακινδύνευσης, το γενικό διεθνές πρότυπο ISO/IEC 31000:2018 που περιλαμβάνει αρχές και οδηγίες για τη διαχείριση της διακινδύνευσης καθώς και το γενικό διεθνές πρότυπο ISO/IEC 31010:2019 που περιλαμβάνει τεχνικές εκτίμησης της διακινδύνευσης). Η ΜΔΕ επικεντρώνεται στην παρουσίαση των τεχνικών για τα διάφορα στάδια εκτίμησης της διακινδύνευσης σύμφωνα με το διεθνές πρότυπο ISO/IEC 31010:2019 καθώς βρίσκουν γενική εφαρμογή για την εκτίμηση της διακινδύνευσης. Στη συνέχεια, γίνεται αναφορά στον Γενικό Κανονισμό Προστασίας Δεδομένων και στα άρθρα που αφορούν τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και την υποχρέωση για εκπόνηση μελέτης εκτίμησης αντικτύπου προστασίας δεδομένων. Τέλος, δίνεται ως περίπτωση μελέτης η εκπόνηση μελέτης εκτίμησης αντικτύπου προσωπικών δεδομένων στην επεξεργασία εκπαιδευτικών δεδομένων που αφορούν χαρακτηριστικά των υποκειμένων στο εικονικό περιβάλλον μάθησης που χρησιμοποιεί ένα πανεπιστημιακό ίδρυμα για την παροχή εκπαίδευσης από απόσταση.

This master thesis deals with the concept of risk as defined in the ISO/IEC 27001:2022 standard. The ISO/IEC 27001:2022 standard is the most recognized international Information Security standard, which provides businesses and organizations, regardless of size, with a framework for managing and defining the requirements for the implementation and continuous improvement of an Information Security Management System, ensuring the confidentiality, integrity and availability of their information. The risk assessment is a subsection of the standard, with specific points that a business or organization must comply with.

According to the General Data Protection Regulation, for any type of data processing that may pose a high risk to the rights and freedoms of natural persons, the data controller is required to assess the impact of the planned processing operations on the protection of personal data. This thesis describes risk assessment techniques (data processing impact assessment is one of them). Then, a case study is given where risk assessment techniques are applied for risk management in an information system with educational data of a university institution, part of which is characterized as personal data.

The thesis is structured as follows: initially the concept of risk as defined in the ISO/IEC 27001:2022 standard is presented. The process of risk assessment is then described according to the standards that support ISO/IEC 27001:2022 (the ISO/IEC 27005:2018 standard that provides guidelines for risk management, the general international standard ISO/IEC 31000:2018 which includes principles and guidelines for risk management as well as the general international standard ISO/IEC 31010:2019 which includes risk assessment techniques). The thesis focuses on presenting the techniques for the various stages of risk assessment according to the international standard ISO/IEC 31010:2019 as they are applicable in general. Then, a reference is made to the General Data Protection Regulation and the articles concerning the rights and freedoms of natural persons and the obligation to prepare a data protection impact assessment study. Finally, as a case study, a data processing impact assessment study is conducted for processing educational data of the subjects in the virtual learning environment utilized by a university institution to provide distance education to tis students.