Strategii de conformitate GDPR și liste de verificare GDPR

Optimizarea, restaurarea încrederii, o abordare mai holistică și transformarea mai sigură a securității și a informațiilor în factorii de transformare digitală sunt doar câteva beneficii pe care organizațiile inteligente le pot realiza cu cadre precum GDPR .

Pe de altă parte, există o muncă grea necesară pentru a deveni conformă cu GDPR. După cum s-a spus, abordările strategice, care privesc toate aspectele afacerii, sunt esențiale.

Diferite organizații, adesea într-o colaborare cu alții care au expertiză în materie într-unul sau mai multe domenii specifice ale implicațiilor practice ale GDPR, au prezentat astfel de abordări strategice. De fapt, aceasta este o parte a întregii realități GDPR. GDPR prevede evaluări ale impactului protecției datelor.

Toate acestea, mai mult sau mai puțin, au aceiași pași comuni și fac parte din orice listă de verificare a respectării GDPR sau lista de verificare a protecției datelor și a riscurilor pe care o veți găsi.

Conformitatea GDPR pasul 1: Conștientizarea UE GDPR

Evident, organizațiile trebuie să fie conștiente de GDPR și implicațiile acestuia. Faceți parte din ceea ce facem în această imagine de ansamblu și, așa cum s-a menționat, există destul de multe organizații care nu cunosc și / sau nu vor fi pregătite.

Cu toate acestea, în abordarea strategică a respectării GDPR, conștientizarea înseamnă altceva (prea): personalul dvs., conducerea, echipa de IT, oamenii de securitate, administratorii de informații și așa mai departe trebuie să fie conștienți de ceea ce înseamnă GDPR în practică pentru ei. Acest lucru se face, de obicei, în ateliere și cursuri de formare pentru a trece de la a fi conștient la a acționa conștient, de la înțelegere la acțiune în consecință.

Protecția datelor necesită un efort continuu, evaluare, monitorizare și control.

Rețineți că este important să aveți persoane responsabile de crearea acestei conștientizări și că educația va fi o temă recurentă, pe măsură ce noi oameni se vor alătura companiei. GDPR prevede, de asemenea, mai multe roluri.

De asemenea, GDPR nu ar trebui văzută ca un singur mare efort pentru a fi „gata” până la 25 mai 2018, desigur. Protecția datelor, în domeniul GDPR și dincolo de acesta, necesită un efort continuu, evaluare, monitorizare și control. Mai mult, nu este ca si cum mâine nu veti folosi noile tehnologii cu noi intrebari.

În cele din urmă, conștientizarea înseamnă, de asemenea, înțelegerea pe deplin a GDPR și a impactului său, altfel este greu să vezi unde sunt lacunele între locul în care stai acum și unde trebuie să fii desigur.

Conformitatea GDPR la etapa 2: Evaluarea / auditul GDPR: descoperirea și analiza diferențelor

Aceste lacune ne conduc la o a doua parte a tuturor abordărilor strategice: există o etapă de evaluare / audit cu descoperirea și analiza diferențelor. Pentru a ajunge undeva, trebuie să știți unde vă situați, este un lucru universal dat.

Această etapă este una de descoperire și de cartografiere a oricărui lucru relevant în domeniul GDPR.

Deci, trebuie să obțineți cunoștințe despre practicile dvs. actuale la diferite niveluri, cum ar fi capacitățile / metodele de audit, unde se află datele (descoperirea datelor), care procese sunt implicate, modul în care procesați datele, modul în care funcționează practicile de confidențialitate și securitate, și responsabile astăzi, ce tipuri de sisteme, rețele și baze de date intră în ecuație și așa mai departe.

Când efectuați o evaluare a riscurilor, examinați riscurile pentru drepturile și confidențialitatea persoanelor.

În practică, evaluarea / auditul și conștientizarea, așa cum vă puteți imagina, se suprapun într-o oarecare măsură. Văzând ceea ce faceți poate duce la conștientizarea aspectelor pe care le-ați trecut cu vederea și invers.

În practică, o etapă de evaluare și descoperire trebuie, de asemenea, să conducă la o analiză a lacunelor. După cum sa spus, acest lucru înseamnă, în mod evident, că deja cunoașteți GDPR și impactul său complet ca un fel de referință care vă ghidează în evaluarea în mod prioritar a lacunelor în minte.

Un audit include în plus o colectare și analiză a tuturor politicilor actuale ale documentului din cadrul organizației, așa cum acestea există acum: de la politicile de securitate și de continuitate a activității la politicile de utilizare acceptabile și de confidențialitate.

Unele sfaturi suplimentare de audit GDPR:

  • Audit pentru a evalua riscul . Se recomandă luarea tuturor elementelor de risc și clasificarea acestora din perspectiva prioritizării. Atunci când efectuați o evaluare a riscurilor, nu gândiți (doar) la riscurile organizației dvs. GDPR vă dorește să examinați riscurile pentru drepturile și confidențialitatea persoanelor.
  • Evaluați toate cadrele , aspectele organizaționale, strategiile și practicile de gestionare a securității / datelor / incidentului / rapoartelor.
  • Concentrați-vă pe oameni : nu este vorba numai despre riscurile din practicile, procesele, sistemele și cadrele actuale, ci și despre cultura organizațională față de protecția datelor personale și abilitățile.
  • Obțineți documentele . Asigurați-vă că aveți acces la toate celelalte date și documente care conțin informații despre cele mai recente evaluări și incidente de securitate și așa mai departe.
  • Ascultă . După cum știm cu toții, există adesea o lume a diferenței între politicile documentate și practica vieții reale. Acest lucru inevitabil înseamnă că trebuie să vorbești cu oamenii despre cum funcționează în practică, indiferent de documente și politici.

Conformitatea GDPR la etapa a 3-a : Planificare / strategie – pregătirea acțiunilor GDPR care urmează a fi luate

Odată ce știți unde sunt decalajele, este timpul să obțineți într-adevăr strategii și să planificați ce trebuie făcut pentru a închide lacunele și a lua toate celelalte măsuri pe care le-ați identificat.

Scopul unui plan este să îl execute și necesită o imagine completă a lacunelor, a diferitelor domenii implicate și a rolurilor și responsabilităților.

Deoarece GDPR atinge atât de multe domenii, va trebui în mod esențial să planificați și într-un mod integrat și holistic. Planificarea și, în continuare, acționarea într-un mod holistic este una dintre acele beneficii pe care le puteți obține în timp ce mergeți la un exercițiu de conformitate cu GDPR. La urma urmei, transformarea digitală, securitatea, managementul informațiilor , marketingul, serviciul pentru clienți și așa mai departe necesită o viziune holistică pentru a reuși și ea. Și încă mai trăim într-o realitate cu multe silozuri.

În practică, veți planifica însă mai multe domenii funcționale și practice. Acestea includ:

  • Gestionarea și guvernanța informațiilor
  • Securitatea
  • Resurse umane
  • Marketing, gestionarea prezențelor online și a publicității (rețineți că GDPR va fi completat de un nou regulament UE privind confidențialitatea în mediul electronic ).
  • Serviciul de relații cu clienții și centrul de contact
  • Etc.

De asemenea, trebuie să vă uitați la ecosistemul afacerii dvs., printre care și partenerii de date terți și outsourcing-ul proceselor de afaceri (BPO) și la SLA (managementul vânzătorilor).

În etapa de planificare (și, de asemenea, în etapa de audit) va trebui să vă uitați, printre altele:

  • Aspectele practice ale trecerii la o organizație „confidențialitate prin design”.
  • „Noi” planuri de guvernare a informațiilor.
  • Planuri de implementare privind managementul informațiilor, inițiativele de securitate și intimitate.
  • Planuri privind politicile de acces, gestionarea rolului și controalele de securitate care trebuie puse în aplicare.
  • Planuri de rezolvare a potențialelor vulnerabilități detectate în etapa de evaluare / audit.
  • Planuri de politici pentru forța de muncă mobilă și planuri de acțiune pentru a aborda IT-ul subțire.
  • Planuri privind auditurile, rolurile și responsabilitățile (de exemplu, responsabilul cu protecția datelor).
  • Planuri privind dezvoltarea tehnologiilor care contribuie la îmbunătățirea securității și a vieții private.
  • Planurile privind auditurile informațiilor, păstrarea datelor, gestionarea datelor principale (MDM), gestionarea dispozitivelor (telefoane mobile ale lucrătorilor, …) etc.
  • Planuri foarte specifice în multe aspecte foarte specifice ale securității și tehnologiei.

Conformarea cu GDPR 4: Acționarea : faceți ceea ce ați planificat

Aveți un plan? Este timpul să deveniți practic, să îl lansați și să îl desfășurați în toate zonele pe care le-ați identificat și planificat.

Cu toate acestea, după cum s-a menționat, diversele componente trebuie văzute într-un mod holistic. Așa cum am spus mai devreme, mulți văd GDPR ca un accelerator al integrării securității, confidențialității, guvernării informațiilor, conformității și multe altele. Și asta este într-adevăr un beneficiu.

Conformitatea cu GDPR 5: Gestionarea / evaluarea și îmbunătățirea / adaptarea

Odată ce planurile sunt lansate, munca nu se face. De fapt, dacă uităm UE GDPR ca atare și analizăm abordarea integrată în ceea ce privește securitatea, confidențialitatea, guvernanța informațională etc., veți observa că de fapt căutăm un ciclu.

Așadar, pe lângă gestionarea a ceea ce am făcut, evaluând eforturile noastre cu ajutorul unor indicatori cheie simplificați, va fi întotdeauna necesar să se îmbunătățească și să se adapteze.

Există mai multe motive pentru aceasta:

  • Noii angajați vor intra în organizație.
  • Noile tehnologii vor fi implementate și vor atinge datele personale: fie că este vorba de cloud , de date mari sau de Internetul obiectelor, va trebui să evolueze.
  • Îmbunătățirea și adaptarea continuă sunt pur și simplu date, cu siguranță într-un ecosistem digital în schimbare și într-un context juridic și geopolitic în schimbare.