自通用数据保护法规(GDPR)于去年5月25日生效以来,数据保护已成为全球热门话题。自2018年5月至2019年5月,欧盟委员会于2019年5月22日发布了关于GDPR遵守和执行情况的信息图,显然仍有许多工作要做。在讨论将使您的组织更接近合规性的步骤和安全控制之前,让我们简要回顾一下GDPR及其一些关键概念。
每天有数百万人将他们的个人数据和信息委托给各个实体,并且在零售商店,医疗保健中心,健身房,金融机构或网站上几乎随处可见信息共享,通常这些人不知道他们的数据在哪里或其他什么。处理是由谁和谁完成的。GDPR旨在为欧洲带来最新的隐私和安全方法,旨在为欧盟公民提供对与其他实体共享的个人信息的更强控制,并强制执行所有成员国欧盟统一的法律框架。
为了快速总结,GDPR要求数据控制器(控制或处理个人数据的所有实体)必须具备适当的组织流程并实施适当的技术措施,以保护欧盟公民的个人数据。这个概念可能看起来不言而喻且易于实施,但在现实世界中,试图确保遵守GDPR已经让许多组织陷入困境。
GDPR适用于收集和使用欧盟公民个人信息的企业,无论企业本身位于何处。这种隐私方法使GDPR具有全球影响力,如果企业向欧盟公民提供商品或服务,或通过数据收集收集和分析其数据,则需要符合GDPR。未遵守GDPR的处罚非常严厉,高达组织年营业额的4%或2000万欧元(以较高者为准)的罚款,以及其他处罚可能适用于一系列隐私侵权。
GDPR的四个主要关注领域是:隐私权、数据安全、数据控制、数据治理。
因此,实现法规遵守的一些关键考虑因素包括:
GDPR的核心是“设计隐私”,这是一个由20世纪90年代加拿大安大略省前信息和隐私专员Ann Cavoukian博士创建的概念,几十年来一直是企业的最佳实践指南。 。
设计隐私是指在设计时考虑到隐私和数据安全性的最佳实践,政策,程序和数据处理流程。从安全和隐私政策的设计到收集,使用和存储员工和客户数据的方式,企业的每个方面都必须从一开始就采用深入的隐私和安全最佳实践。
GDPR列出了收集消费者个人数据的六个可能的法律依据,但对于绝大多数企业而言,唯一可能适用的法律依据是以下列表中的基础(i)、(ii)和(iii):
同意
在不侵犯个人权利和自由的情况下实现某人的合法利益
履行合同
法律义务
保护某人的重要利益
既得权威的公共利益
在合法利益的情况下,企业必须能够向欧盟数据保护机构(DPA)证明收集个人信息对于向客户履行特定服务至关重要,并且企业只能将个人数据保存为只要它能够完成这项服务。
GDPR要求企业必须非常快速地(在72小时内)和彻底的欧盟数据保护机构(DPA)通知任何涉及欧洲公民的安全数据泄露事件。
虽然GDPR是一个非常复杂的监管,但其核心是一个旨在管理数据保护的法律框架。这意味着GDPR的主要重点是保护企业收集、创建、使用和共享的个人信息,无论是从员工、客户还是第三方合作伙伴处收集的PII数据。由于信息是从不同来源收集的,因此企业必须采用基于风险的数据保护方法,以便在GDPR下最好地评估和降低风险。
企业必须采取的第一步是投入足够的时间来了解个人数据的性质和类型以及通过数据映射和信息流分析来实现其服务所需的信息。英国信息专员办公室免费提供一个很好的模板,其中有一个工作示例可帮助您完成此任务,您需要回答的几个关键问题是:
为什么使用个人数据?
你是谁掌握了相关信息?
你对他们有什么信息?
如何使用数据?
谁有权访问数据?
数据是否与第三方共享?
存储数据的位置和持续时间?
只有在发现组织拥有的所有数据后,您才能确定是否使用它并以不会给员工,客户和第三方合作伙伴带来隐私和安全风险的方式存储它。一旦确定了所有数据并确定了如何使用它,您可以采取以下几个步骤,以便在所有资产中实现基于风险的数据保护方法:
GDPR要求企业必须在高风险处理活动的情况下进行DPIA,并且欧盟的许多组织已经将隐私影响评估(PIA)作为法律或监管义务的一部分。数据保护影响评估(DPIA)是一种定义的流程,用于评估您的企业收集,使用,存储和披露个人数据的方式是否会产生任何隐私风险。DPIA专门帮助我们识别隐私风险和即将发生的安全问题,它们是帮助我们识别解决方案并在必要时建议适当安全控制的绝佳工具。
此外,通过实施明确定义的流程来确定何时需要进行DPIA,企业还将能够证明对数据保护机构(DPA)的责任,从而更接近实现完全符合GDPR的要求。
GDPR要求隐私和安全性,不仅要像我们之前解释的那样“按设计”,而且“默认情况下”。这意味着行业最佳实践现在将成为企业日常运营中的强制性活动,并且需要向数据进行证明。保护当局(DPA),如有要求。这就是为什么组织必须采取措施重新考虑其安全和隐私策略,并将隐私作为其所有运营的基本原则。
最后,GDPR要求组织保留其所有合规工作的详细文档。为了遵守本指南,您必须准备向数据保护机构(DPA)展示您记录的安全策略的证据,并证明您的策略正在被定期监控和执行。您的目标是能够证明您以负责任,合乎道德和合法的方式收集,使用,共享,维护和处理个人信息。
现在,让我们探讨一些关键的安全控制措施,这些控制措施需要符合GDPR标准,如果您已经将它们实施到您的组织中,您将获得额外的“免费”合规性奖励:
拥有适当的身份和访问管理(IDAM)控制将有助于控制和限制仅授权员工访问个人数据。这两项关键安全原则适用于IDAM,最低权限和职责分离原则,既确保员工只能访问其工作职能所需的个人数据或资产。
IDAM通过确保只有那些需要访问个人信息数据以便执行其工作的人才能访问,从而帮助我们实现GDPR合规性。在此设置中,应向所有员工提供安全意识和隐私培训,以保证维护收集个人数据的预期目的。
数据丢失防护(DLP)是技术控制,可帮助我们防止个人数据丢失。这些控制措施对于防止可能对业务造成不可逆转损害的违规行为至关重要,根据GDPR,组织,无论是否具有数据控制者或个人数据的数据处理者,均对任何个人数据的丢失承担责任。他们收集。通过控制和限制公司网络外部的个人数据传输,将DLP控制集成到您的安全策略中可以为业务增加另一层保护。
加密和假名化都是我们可以用来防止未经授权访问个人数据的技术。加密是将信息或数据转换为代码的过程,并且假名替换或删除标识个人的数据集中的信息。特别是假名化是GDPR推荐但不需要的,但是,如果发生安全漏洞,如果负责违规的组织已将这些类型的技术控制和技术作为额外的安全层实施,调查人员将认为这是一个很大的优势。
这是不言自明的,所有企业必须在法律和合规性需求之外制定事件响应计划(IRP)。经过深思熟虑和测试的IRP应该有明确的阶段,如准备,识别,遏制,根除,恢复和经验教训。如果发生涉及个人数据的事件,GDPR会对您的组织提出一些要求,最明显的是违规通知,如果是高风险违规行为,甚至会通知受影响的数据主体事件,这两种情况都应该得到很好的覆盖。通过您的IRP。
对于第三方关系而言,GDPR合规性与组织内部关系同样重要。根据GDPR数据处理器受其数据管理员政策的约束,只要您的组织处理,存储或传输欧盟公民的个人数据与第三方,它就可能在违反情况下承担责任。如果您的组织信任处理个人数据到数据处理器或子处理器,并且发生违规,GDPR还要求数据处理器在保护个人数据方面发挥积极作用。无论数据控制器实施的策略如何,个人数据的数据处理者必须符合GDPR,并且可以对与丢失或未经授权披露个人数据相关的任何事件负责。子处理器也需要符合GDPR,
强大的信息安全策略是将所有先前讨论的安全控制和合规性要求结合在一起的粘合剂,并且是描述组织范围的安全性和隐私策略的文档,同时它可以成为一个很好的问责制工具。来到DPA。为了有效,安全策略必须得到全公司的认可,以便在不断变化的网络风险世界中有效地管理和更新所需的安全控制。如果管理得当并得到妥善处理,则政策管理是实现GDPR或任何其他未来隐私法规(如电子隐私)合规性的基础。
通过实施GDPR等框架,可以将更多控制权交还给人/消费者,这种额外控制极大地有助于提高人们对政府机构和企业的信任程度,从而提高收入和利润。GDPR要求不仅仅是一份清单,如果您的组织处理欧盟数据主体的个人数据,那么您必须花时间探索您现有的安全控制措施,以支持GDPR要求,并确保个人数据得到考虑、保护、并妥善处理。
最终,GDPR合规性很简单,组织必须对其客户的收集数据的法律依据透明,并且必须让他们控制是否要与他人共享数据。然后,组织必须遵循并确保他们仅将他们收集的数据用于他们最初概述的目的,始终在客户提供的同意范围内,并确保他们尊重根据法规授予他们的所有权利。
揽阁信息,助力中国企业走出国门,走进欧洲,我们可为您提供满足GDPR合规性要求的信息安全产品与解决方案,欢迎您与我们联系!
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!