Databeskerming beskerm jou data se privaatheid, beskikbaarheid en integriteit deur verskeie databeskermingstrategieë en -prosesse aan te neem.
Privaatheid is van kardinale belang om 'n verhouding tussen mense en organisasies te vestig, maar dit gaan eintlik oor die beveiliging van fundamentele regte. 'n Goeie strategie kan help om dataverlies, diefstal of korrupsie te voorkom en skade te verminder as 'n oortreding of ramp plaasvind. 'n Organisasie wat sensitiewe data hanteer, berg of insamel, moet 'n databeskermingstrategie ontwikkel.
Databeskerming moet in die ontwerpfase van enige stelsel, diens, produk of proses en dwarsdeur sy leeftyd oorweeg word.
Persoonlike inligting kan in verskeie kategorieë verdeel word, wat almal kommer oor privaatheid kan veroorsaak. Hierdie is:
Fundamenteel help die beginsels van databeskerming organisasies om data te beskerm en dit onder enige omstandighede geredelik beskikbaar te stel aan die individu. Databeskerming verwys na beide data-rugsteunbedrywighede en besigheidskontinuïteit/rampherstel (BCDR), soos:
Daar word na persoonlike data verwys as enige inligting wat verband hou met 'n identifiseerbare of geïdentifiseerde lewende individu. 'n Persoon kan geïdentifiseer word deur verskeie stukkies inligting saam te voeg, wat, wanneer dit saam versamel word, persoonlike data uitmaak.
Sommige persoonlike data voorbeelde sluit in; voorname en vanne, adresse, 'n identifiseerbare e-posadres (dit kan voornaam.van@maatskappy.com wees), liggingdata en IP (internet Protocol) adres.
Organisasies maak gewoonlik staat op persoonlike data vir daaglikse aktiwiteite.
Die ICO verklaar dat:
“Op sigself is die naam John Smith dalk nie altyd persoonlike data nie, want daar is baie individue met daardie naam. Waar die naam egter gekombineer word met ander inligting (soos 'n adres, 'n werkplek of 'n telefoonnommer), sal dit gewoonlik voldoende wees om een individu duidelik te identifiseer.”
Die ICO maak ook die punt dat name nie noodwendig die enigste inligting is wat nodig is om 'n individu te identifiseer nie:
“Bloot omdat jy nie die naam van ’n individu ken nie, beteken nie dat jy [hulle] nie kan identifiseer nie. Baie van ons ken nie al ons bure se name nie, maar ons kan hulle steeds identifiseer.”
Dataprivaatheid verwys na hoe sensitiewe en belangrike data ingesamel of hanteer moet word. Persoonlike gesondheidsinligting (PHI) en Persoonlik identifiseerbare inligting (PII) is twee voorbeelde van data wat onderhewig is aan dataprivaatheidswette. Hierdie kategorie sluit finansiële inligting, mediese rekords, sosiale sekerheid of ID-nommers, name, geboortedatums en kontakinligting in.
Sensitiewe data behoort slegs vir gemagtigde partye toeganklik te wees, so dataprivaatheid help verseker dat misdadigers nie data opsetlik kan gebruik nie en verseker dat organisasies aan regulatoriese vereistes voldoen.
Die meerderheid aanlyngebruikers wil sekere tipes persoonlike data-insameling beheer of verhoed, net soos iemand dalk mense van 'n private gesprek wil uitsluit.
Besighede moet dataprivaatheid 'n topprioriteit maak. Nie-nakoming van data privaatheid regulasies kan lei tot aansienlike verliese. Dink aan regsgedinge, aansienlike finansiële boetes en handelsmerkskade.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Alles wat jy met data doen, word as verwerking beskou; versamel, berg, opneem, ontleed, kombineer, openbaar of skrap dit, onder andere.
Daar word na enige bewerking op data verwys as dataverwerking. Omdat rou data nie gereed is vir ontleding, besigheidsintelligensie, verslagdoening of masjienleer nie, moet dit saamgevoeg, verander, verryk, gefiltreer en skoongemaak word.
Organisasies moet data verwerk om te skep beter besigheidstrategieë en hul mededingende voordeel te verbeter.
Die 'waarom' en 'hoe' persoonlike data verwerk word, word bepaal deur die data kontroleerder. Uiteindelik is databeheerders die sleutelbesluitnemers in die bepaling van die rede en doel vir data-insameling en die metode en middele vir enige dataverwerking.
Databeheerders kan wees:
'n Dataverwerker is 'n persoon, openbare owerheid, agentskap of ander liggaam wat persoonlike data namens die beheerder verwerk.
A data verwerker tree namens die kontroleerder en onder hul gesag op. Deur dit te doen, dien hulle die beheerder se belange eerder as hul eie.
In sekere situasies kan 'n entiteit 'n databeheerder, 'n dataverwerker of albei wees.
Masjiene wat data verwerk, soos sakrekenaars of rekenaars, word as dataverwerkers beskou. Wolkdiensverskaffers word ook nou as dataverwerkers gekategoriseer. 'n Derdeparty-dataverwerker besit of beheer nie die data wat hulle verwerk nie. Die data kan nie verander word om die doel waarvoor dit gebruik word, te verander nie. As jy persoonlike data verwerk, sal jy 'n dataverwerker wees.
Daar word na 'n individu wat die onderwerp van bepaalde persoonlike data is, verwys as 'n datasubjek of datasubjekte.
Daar is geen enkele oplossing wat vir elke maatskappy werk. Databeskermingsregulasies stel nie baie streng reëls nie; in plaas daarvan volg hulle 'n risiko-gebaseerde benadering en voldoen aan 'n paar sleutelbeginsels. Dit is veelsydig en kan in 'n verskeidenheid organisasies en situasies gebruik word; daarom inhibeer dit nie innoverende benaderings nie.
Hierdie buigsaamheid beteken egter dat jy moet oorweeg – en verantwoordelik moet wees vir – hoe jy persoonlike inligting gebruik. Daar is dikwels verskeie benaderings om jou verpligtinge na te kom, afhangend van presies hoekom en hoe jy die data gebruik.
Jy kan bepaal watter antwoorde die beste vir jou organisasie is, maar jy moet dit kan regverdig. Die aanspreeklikheidsbeginsel van databeskermingswetgewing is 'n kritieke aspek.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Organisasies, besighede en die regering moet voldoen aan die Wet op die Beskerming van data 2018 wanneer persoonlike inligting hanteer word. Die Databeskermingswet 2018 het die Databeskermingswet 1998 vervang en opgedateer en het op 25 Mei 2018 in werking getree.
Die DPA is die VK se verskansing van die Algemene Databeskermingsregulasie (meer oor GDPR verder in die artikel hieronder) in die Britse wetgewing. Om dit eenvoudig te stel:
Streng reëls genoem 'beginsels beskerming van data' beheer hoe persoonlike inligting gebruik word. Diegene wat betrokke is by die insameling en gebruik van data moet by die volgende streng reëls hou:
Hoe meer sensitief die inligting is, hoe meer wetlike beskerming is daar. Hierdie inligting sal wees; ras, etnisiteit, politieke oortuigings, godsdienstige oortuigings, lidmaatskap van vakbond, genetika, biometrie vir identifikasie, gesondheidstatus en seksuele oriëntasie.
Die Algemene databeskermingsregulasie (GDPR) is die wêreld se strengste regulering van privaatheid en datasekuriteit. Alhoewel dit deur die Europese Unie (EU) ontwikkel en goedgekeur is, moet organisasies wêreldwyd daaraan voldoen as hulle data oor EU-inwoners insamel of gebruik.
Die GDPR het op 25 Mei 2018 in werking getree. Diegene wat nie voldoen aan die privaatheid- en sekuriteitstandaarde wat deur die GDPR vasgestel is nie, kan aansienlike boetes opgelê word.
Die GDPR vervang die EU-databeskermingsrichtlijn van 1995. Volgens die nuwe richtlijn moet besighede meer deursigtig wees en datasubjekte van groter privaatheidsbeskerming voorsien. Wanneer 'n ernstige data-oortreding plaasgevind het, moet die maatskappy alle geaffekteerde partye en die toesighoudende owerheid binne 72 uur in kennis stel.
Selfs al is die GDPR verskans in die Britse wetgewing as die DPA sedert die wegbreek van die EU, UK-GDPR en EU-GDPR is afsonderlike en afsonderlike regulasies. Terwyl regulasies tans identies is, is die Verenigde Koninkryk sedert Brexit vry om VK-GDPR-regulasie te wysig soos wat die Parlement nodig ag.
'n Kontroleur of verwerker wat buite die VK gebaseer is, moet aan die VK se GDPR voldoen as hul verwerking betrekking het op individue in die VK.
ISO 27701 is 'n uitbreiding van ISO 27001 (meer daaroor hieronder), die jongste opdatering in internasionale privaatheid- en inligtingbestuurstandaarde.
Die doel van beide GDPR en ISO 27701 is om etiese data-privaatheidstandaarde daar te stel om verbruikers te beskerm. Hulle werk saam en vul mekaar aan om dieselfde doelwitte te bereik.
Hier is 'n opsomming van wat hulle in gemeen het:
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Ons kan nie aan enige maatskappy dink wie se diens by ISMS.online kan kers vashou nie.
Verskeie databeskermingswette en data van regoor die wêreld word in die tabel hieronder gevind.
wette | Gebied van Jurisdiksie |
---|---|
Algemene wet op die beskerming van persoonlike data (ook bekend as LGPD en Lei Geral de Proteção de Dados Pessoais) | Brasilië |
Wet op die Verbruikersbeskerming van Kalifornië (CCPA) | Kalifornië |
Wet op privaatheid | Kanada |
Wet op Privaatheid 1988 | Australië |
Wetsontwerp op die Beskerming van Persoonlike Data 2019 | Indië |
China Cyber Security Law (CCSL) | Sjina |
Wet op die beskerming van persoonlike inligting (PIPL) | Sjina |
Wet op Databeskerming, 2012 | Ghana |
Wet op die Beskerming van Persoonlike Data 2012 | Singapoer |
Republiekwet No. 10173: Wet op Dataprivaatheid van 2012 | Filippyne |
Die Russiese Federale Wet op Persoonlike Data (No. 152-FZ) | Rusland |
Wet op die beskerming van persoonlike data (PDPL) | Bahrain |
Artikel 32 van GDPR bepaal wat vereis word wanneer dit kom by die versekering van die sekuriteit van persoonlike data verwerking.
Die regulasie vereis dat u 'toepaslike tegniese en organisatoriese maatreëls moet tref om die risiko's wat u in die gesig staar, aan te spreek. Dit beskryf ook sommige van die tipiese maatreëls in hierdie verband, insluitend:
ISO 27001 dek ook hierdie aspekte. Jy moet presteer uitgebreide risikobepalings om die gevare te identifiseer wat jou maatskappy in die gesig staar. Dit is presies wat u moet uitvind as 'toepaslike' veiligheidsmaatreëls onder GDPR.
Dit stel standaarde vas vir wanneer en hoe om data-enkripsie te laat werk, sowel as om die vertroulikheid en beskikbaarheid van jou data te verseker. Dit definieer ook wat vereis word in terme van "besigheidskontinuïteitsbestuur," dek daardeur die GDPR-vereiste om dataherstel en beskikbaarheidsmaatreëls te implementeer.
As jy voldoen aan en handhaaf ISO 27001-nakoming, het u effektief u GDPR-dataverwerkingsekuriteitvereistes gedek, danksy strestoetsing tot personeelopleiding.
Of jy nou net begin kyk na dataprivaatheid of 'n kenner wat verskeie regulasies en standaarde wil kombineer, ons kenmerke is maklik om te gebruik. Jy sal dadelik kom waar jy wil wees.
ons PIMS oplossing vereenvoudig datakartering. Dit is maklik om dit alles op te teken en te hersien en om jou organisasie se besonderhede by ons vooraf-gekonfigureerde dinamiese rekords van verwerkingsaktiwiteit-nutsding te voeg.
'N Effektiewe PIMS vereis bestuur van risiko. Om te help met elke fase van risikobepaling en bestuur, ons het 'n ingeboude risikobank en ander praktiese hulpmiddels geskep.
Of jy nou aan dataprivaatheidstandaarde of -regulasies werk, jy moet jou vermoë demonstreer om hanteer dataonderwerpregteversoeke (DRR). Ons veilige DRR-spasie hou alles op een plek, wat jou help om outomaties aan te meld en insig te kry.
Vind meer uit deur bespreek 'n praktiese demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo