verstaan ​​gdpr blog

'n Praktiese gids tot voldoening aan databeskerming: Verstaan ​​en toepassing van die GDPR-beginsels en -vereistes

Databeskerming het 'n topprioriteit vir besighede en individue geword. Met komplekse regulasies soos die Algemene Databeskermingsregulasie (GDPR), kan navigasie nakoming uitdagend wees. In werklikheid, meer as €359 miljoen in aansienlike BBP-boetes is tot dusver uitgereik. Jy moet jou verpligtinge verstaan ​​en aan hierdie regulasies voldoen terwyl jy die privaatheid van jou kliënte en werknemers beskerm.

En terwyl baie organisasies beweer dat hulle voorbereid is databeskermingsregulasies, het hulle dalk nog al die nodige maatreëls getref om sulke eise te regverdig.

Volgens 'n opname van 205 sakeleiers in die Verenigde Koninkryk en die VSA deur die regsfirma Womble Bond Dickinson, terwyl baie maatskappye eksterne aksies kan implementeer, soos om 'n koekiebanier op hul webwerf te plaas of privaatheid op te dateer Beleide, sê net 34% van alle respondente dat hulle datakartering gedoen het en datapraktyke regoor die organisasie verstaan.

“Maatskappye het dikwels gebrekkige hulpbronne en moet op kosmetiese veranderinge fokus deur inhoud wat na die publiek kyk, by te werk; dit skakel egter nie die onvermydelike behoefte uit om back-end-vereistes uit te bou om die voldoeningsvereistes werklik operasioneel te maak nie,” sê Tara Cho, vennoot en voorsitter van die privaatheid en kuberveiligheidspan vir Womble Bond Dickinson (VSA).

So, hoe kom organisasies deur die doolhof van databeskermingsregulasies?

GDPR-beginsels en nakoming

Die BBP skets sewe belangrike dataverwerkingsbeginsels: wettigheid, regverdigheid, deursigtigheid, doelbeperking, dataminimisering, akkuraatheid, bergingbeperking, sekuriteit (integriteit en vertroulikheid) en aanspreeklikheid. Hierdie beginsels vorm die kern van 'n organisasie se dataverwerkingsbenadering. Persoonlike data moet wettig, regverdig en deursigtig ingesamel en verwerk word. Dit moet vir spesifieke, wettige doeleindes verkry word en nie op onversoenbare maniere gebruik word nie. Data wat ingesamel word, moet relevant, beperk en akkuraat wees. Stappe moet gedoen word om onakkuraathede spoedig reg te stel.

Datasubjekte se inligting moet slegs behou word soos nodig vir verwerkingsdoeleindes. Sekuriteitsmaatreëls moet in plek wees om teen ongemagtigde verwerking, verlies of skade te waak. Organisasies moet voldoening toon.

Afgesien van hierdie beginsels, dek die GDPR verskeie aspekte, insluitend spesiale verwerkingscenario's, data-oordragte, remedies, aanspreeklikheid en boetes.

Volgens Louise Brooks, hoof van konsultasie by DQM GRC, is die Britse GDPR op beginsels gebaseer, wat beteken dit het nie 'n voorgeskrewe lys van moets en moenies nie. 

“’n Organisasie moet die raamwerk wat die Britse GDPR verskaf, oorweeg en dit implementeer soos toepaslik vir die konteks van hul besigheid. Ons vind dat kliënte met hierdie konsep kan sukkel,” sê sy.

“Dit kan ook soms moeilik wees om ’n positiewe voldoeningskultuur te vestig wat organisasies bemagtig om die regte keuses rakende databeskerming te maak. Ons vind dikwels dat databeskerming beskou word as 'n blokkering, eerder as 'n bemiddelaar, vir besigheidsdoelwitte. Die regte kultuur in 'n organisasie sal samewerkende werk vergemaklik en verseker dat databeskerming die grondslag is waarop alle besigheidsaktiwiteite wat persoonlike data behels, gebaseer is."

Individuele regte

Die GDPR bied verskeie regte aan individue om hulle te help om hul persoonlike data te beheer.

Hierdie regte sluit in die reg om ingelig te word, die reg op toegang, die reg op regstelling, die reg op uitvee (ook bekend as die reg om vergeet te word), die reg om verwerking te beperk, die reg op data-oordraagbaarheid en die reg om beswaar te maak.

Organisasies moet duidelike databesonderhede aanbied—wat ingesamel word, gebruik, deel. Individue kan hul verwerkte data aanvra vir akkuraatheid en wettigheid kontrole. Onakkuraathede kan reggestel word. Versoeke vir dataverwydering is van toepassing wanneer onnodige of toestemming teruggetrek word.

Persoonlike datagebruik kan beperk word, bv. betwiste akkuraatheid of onwettige verwerking. Individue kan hul data hergebruik en dit veilig tussen organisasies oordra. Sommige dataprosesse, soos bemarking, kan verwerp word. Hierdie regte versterk persoonlike databeheer, bevorder regverdigheid en deursigtigheid.

Brooks sê dat wanneer dit by datasubjekregteversoeke kom, "'n organisasie moet begin deur te verstaan ​​watter regte van toepassing is op watter van sy verwerkingsaktiwiteite."

“Dit is belangrik omdat dit organisasies sal help om te verstaan ​​waar die individu se data binne die organisasie is, byvoorbeeld in watter stelsels, wat deur watter spanne gebruik word, en waarvoor dit gebruik word, voeg sy by.

Wettige basis vir verwerking

Die GDPR mandaat geldige regsgronde vir die verwerking van persoonlike data, wat ses basisse insluit: toestemming, kontrakuitvoering, wettige belang, lewensbelang, wetlike vereiste en openbare belang.

Toestemming behels eksplisiete toestemming vir spesifieke dataverwerking, gekenmerk deur vryheid, spesifisiteit, inligting en duidelikheid.

Die uitvoering van 'n kontrak noodsaak dataverwerking om 'n kontrak na te kom of te inisieer op 'n individu se versoek.

Wettige belangstelling regverdig dataverwerking vir organisatoriese of derdeparty strewes, tensy dit deur individuele regte oorheers word.

Vitale belangstelling behels dataverwerking om 'n individu se lewe of 'n ander s'n te beskerm.

Wetlike vereiste eis dataverwerking om te voldoen aan organisatoriese wetlike verpligtinge.

Openbare belangstelling behels dataverwerking vir openbare taakverrigting of amptelike gesagsuitoefening.

Voordat hulle persoonlike data verwerk, moet organisasies hulle bepaal en dokumenteer wettige grondslag. Hierdie basis is gewortel in die GDPR of ander relevante wette binne die Europese Unie of lidlande.

Data Security

GDPR beklemtoon datasekuriteit, wat sterk verwerkingsmaatreëls vereis. Dit verseker beskerming teen ongemagtigde verwerking, verlies en skade, deur gebruik te maak van geskikte tegniese en organisatoriese stappe.

Organisasies oorweeg risiko-analise, beleide en fisiese/tegniese aksies vir datasekuriteit. Maatreëls verseker datavertroulikheid, integriteit en tydige herstel na voorvalle.

Voorbeelde: toegangskontroles, voorkoming van dataverlies, enkripsie, insidentreaksieplanne, derdeparty-risikobestuur en fisiese/logiese aksies.

Gereelde hersiening en toetsing is noodsaaklik vir effektiewe sekuriteit. Nakoming bevorder vertroue by belanghebbendes, bou vertroue.

Aanspreeklikheid en Bestuur

Die aanspreeklikheidsbeginsel is een van die kritieke beginsels van die GDPR. Organisasies moet verantwoordelikheid neem vir die verwerking van persoonlike data en aan ander GDPR-beginsels voldoen. Dit sluit 'n verpligting in om voldoening te demonstreer deur gedokumenteerde prosedures en roetines.

Organisasies moet aanspreeklik wees vir hul data-insameling, verwerking en bergingsaktiwiteite en moet kan demonstreer dat hulle die nodige maatreëls getref het om aan GDPR-verpligtinge te voldoen. Dit kan gerealiseer word deur gebruik te maak van geskikte tegniese en organisatoriese strategieë. Hierdie strategieë sluit in;

  • Die aanvaarding en uitvoering van databeskermingsbeleide
  • Omhels die 'databeskerming deur ontwerp en verstek'-filosofie
  • Die totstandkoming van formele kontrakte met derdeparty-entiteite wat persoonlike data hanteer
  • Handhawing van omvattende rekords van verwerkingsaktiwiteite
  • Ontplooi voldoende sekuriteitsprotokolle
  • Dokumenteer en kommunikeer persoonlike data-oortredings soos nodig
  • Uitvoer van assesserings van die impak van databeskerming vir situasies wat wesenlike risiko's vir individue se regte behels
  • Aanwysing van a databeskermingsbeampte wanneer nodig
  • Voldoening aan toepaslike gedragskodes terwyl jy ook vir sertifiseringsprogramme inskryf.

 

Aanspreeklikheidsverpligtinge is deurlopend, en organisasies moet hul maatreëls met gepaste tussenposes hersien en bywerk. Implementering van 'n privaatheidsbestuur raamwerk kan aanspreeklikheidsmaatreëls insluit en 'n kultuur van privaatheid oor 'n organisasie heen skep. Aanspreeklikheid kan help om vertroue met individue te bou en afdwingingsaksie te verlig.

Internasionale data-oordragte

GDPR dek die oordrag van persoonlike data na derde lande of internasionale organisasies. Oordragte buite die EER word beperk tensy beskerming of uitsonderings van toepassing is.

Databeheerders en verwerkers benodig 'n ooreenkoms met gedefinieerde kriteria onder GDPR. Persoonlike data-oordrag na lande sonder voldoende beskerming vereis "voldoende voorsorgmaatreëls", wat afdwingbare regte en remedies vir individue verseker.

Genoegsame voorsorgmaatreëls kan meganismes soos standaard kontraktuele klousules, bindende korporatiewe reëls of goedgekeurde gedragskodes of sertifiseringsmeganismes insluit. Daarbenewens maak verskeie uitsonderings voorsiening vir die oordrag van persoonlike data buite die EER sonder voldoende voorsorgmaatreëls, soos uitdruklike toestemming van die individu, die uitvoering van 'n kontrak, beduidende redes van openbare belang, of die vestiging, uitoefening of verdediging van regseise.

Met die nuwe EU-VS-dataprivaatheidsraamwerk wat inkom en sommige organisasies wat wegbeweeg standaard kontraktuele klousules (SCC's), is dit belangrik om daarop te let dat 'n nuwe meganisme genaamd 'n "databrug" gebruik kan word om persoonlike data tussen die EU en die VSA oor te dra. Die VK en die VSA het in beginsel 'n verbintenis bereik om 'n "databrug" tussen die twee lande. Hierdie meganisme sal dit vir ongeveer 55,000 XNUMX Britse ondernemings makliker maak om data vrylik aan gesertifiseerde Amerikaanse organisasies oor te dra sonder omslagtige burokrasie of regulasies.

Organisasies moet verseker dat hulle voldoen aan die reëls rondom internasionale data-oordrag en toepaslike meganismes gebruik om nakoming te verseker.

Vrystellings

Die GDPR het verskeie vrystellings wat in sekere omstandighede kan geld. Dit sluit in vrystellings vir nasionale veiligheid en wetstoepassing, sekere tipes persoonlike data, joernalistiek en kreatiewe uitdrukking, wetenskaplike of historiese navorsing, aktiwiteite buite die omvang van die EU-wetgewing, inligting wat nie in 'n "liasseer"-stelsel is nie, finansies, bestuur en onderhandelinge, openbare belang en huishoudelike gebruik.

Byvoorbeeld, die GDPR is nie van toepassing as 'n organisasie nie binne die EU werk nie, nie persoonlike data verwerk nie, of as dit slegs data vir huishoudelike doeleindes verwerk. Daarbenewens is daar vrystellings vir die verwerking van persoonlike data vir joernalistieke doeleindes of vir akademiese, artistieke of literêre uitdrukking doeleindes.

Organisasies moet noukeurig oorweeg of enige vrystellings van toepassing is op hul verwerkingsaktiwiteite en moet aan alle ander vereistes van die GDPR voldoen indien geen vrystelling van toepassing is nie.

ISO 27001 en GDPR Voldoening

ISO 27001 is 'n internasionale standaard vir 'n inligtingsekuriteit Bestuurstelsel (ISMS) wat 'n uitstekende beginpunt bied vir die bereiking van die tegniese en operasionele vereistes wat nodig is om die risiko van 'n oortreding te verminder. Die EU Algemene Databeskermingsregulasie (GDPR) verplig organisasies om toepaslike tegniese en organisatoriese maatreëls te implementeer, insluitend beleide, prosedures en prosesse, om die persoonlike data wat hulle te beskerm proses. Die toepassing van beide standaarde sal jou help om te voldoen aan en te demonstreer dat jy voldoen aan die privaatheid- en inligtingsekuriteitsvereistes van die GDPR.

Implementering van 'n ISO 27001-belynde ISMS kan organisasies help om GDPR-nakoming koste-effektief te bereik deur 'n raamwerk vir die bestuur van inligtingsekuriteitsrisiko's te verskaf en voldoening aan die GDPR se tegniese en organisatoriese vereistes te demonstreer. Deur beide standaarde te implementeer, kan organisasies verseker dat hulle voldoen aan die privaatheid- en inligtingsekuriteitsvereistes van die GDPR en ander databeskermingswette, terwyl koste tot die minimum beperk word.

Daar moet egter erken word dat hierdie standaarde nie al die aspekte van GDPR dek nie, soos toestemming, data-oordraagbaarheid, die reg om vergeet te word en internasionale data-oordragte. Daarom moet organisasies hul ISO-raamwerke aanvul met ander maatreëls om volle GDPR-nakoming te verseker.

Kern GDPR-beginsels en -vereistes om sukses te behaal

Databeskermingsregulasies soos GDPR lyk dalk kompleks, maar om die kernbeginsels te begryp is noodsaaklik. Hiermee kan organisasies voldoening verseker en kliënte en personeel se privaatheid beskerm.

Onthou hierdie aspekte:

  • Gryp wettige dataverwerkingsbasisse.
  • Beveilig persoonlike data.
  • Handhaaf aanspreeklikheid.
  • Gehoorsaam internasionale data-oordragreëls.
  • Respekteer GDPR se individuele regte en vrystellings.

Praktiese stappe behels:

  • Gereelde risikobepalings.
  • Sterk veiligheidsmaatreëls.
  • Gedokumenteerde verwerkingsrekords.
  • Duidelike kommunikasie met individue.
  • Konsekwente voldoeningsopdaterings.

 

Deur proaktief te voldoen, groei vertroue onder belanghebbendes, wat afdwingingsrisiko's tot die minimum beperk.

skrywer

Rene Millman

Rene Millman is 'n veelsydige vryskutskrywer en uitsaaier wat spesialiseer in kuberveiligheid, KI, IoT en wolktegnologieë. Benewens sy rol as 'n bydraende ontleder by GigaOm, bring hy uitgebreide ervaring as 'n voormalige Gartner-ontleder wat op die infrastruktuurmark fokus. Rene Millman, bekend vir sy kundigheid, het gereeld televisie-optredes gemaak en insigte en ontledings gedeel oor tegnologieneigings en invloedryke maatskappye wat ons daaglikse lewens vorm. Bly op hoogte van Rene Millman se insigte deur hom op Twitter te volg.

Bekyk alle plasings deur Rene Millman

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!