Hvad du behøver at vide om EU's generelle databeskyttelsesforordning

Microsoft annoncerer ny tilgang til sikkerhed

I denne Spørg Administreren vil jeg give vejledning om, hvad du skal vide om den nye forordning.

Alle virksomheder, der beskæftiger sig med EU-registrerede, selv dem, der ikke er placeret i EU, skal overholde EU's generelle databeskyttelsesforordning (GDPR) inden maj 25, 2018. Bøder for manglende overholdelse kan være op til 4 procent af årlig omsætning eller 20 millioner euro, alt efter hvad der er højere. Det er umuligt at dække alle kompleksiteter af GDPR i denne artikel. Vi vil gå over det grundlæggende.

Dataemner, Controllers og Processorer

EU GDPR adskiller sig fra gældende lovgivning. Organisationer skal overholde, selvom den registeransvarlige og processoren er placeret uden for EU. Det er vigtigt at bemærke det registrerede sted. Dette taler om den person eller krop, som dataene er relateret til. En datastyring bestemmer, hvordan data kan bruges og på hvilken måde det kan behandles. Databehandling omfatter handlinger som hentning, sletning, organisering, ændring og lagring.

Ligesom de fleste lovgivningsmæssige koder, der indebærer beskyttelse af personligt identificerbare oplysninger (PII), kræver EU GDPR sandsynligvis ikke, at du gør noget, der ikke allerede betragtes som en god praksis. Men i betragtning af mange organisationer blokerer for selv de mest grundlæggende sikkerhedsprincipper, kan det være på tide at foretage nogle ændringer i it-operationer og forretningspraksis. Dette gælder især, hvis de nye regler gælder for dig.

Sponsoreret

Databeskyttelse ved design og standard

GDPR indeholder ikke en tjekliste over tekniske krav, som organisationer skal opfylde. I stedet indeholder den et sæt principper. Den første af disse er at gennemføre passende tekniske kontroller og organisatoriske foranstaltninger, hvor databeskyttelse er ved design og som standard. Sikkerhed kan ikke være en eftertanke eller noget, der er boltet på som en ekstra. At gøre sikkerhed efter at en app eller et system har nået produktionen, er ikke kun meget sværere, men ikke så effektivt som factoring det fra begyndelsen.

State of the art

Dette er et princip, der er åben for fortolkning. Jeg tror, ​​det er sikkert at antage, at organisationer forventes at vedtage nuværende teknologier og bedste praksis med hensyn til sikring af data. Eksempelvis har det længe været anerkendt af eksperter, at antimalware og endpoint firewalls ikke er nok til at beskytte servere og slutbruger enheder. Andre foranstaltninger, såsom applikationskontrol og fjernelse af administrative privilegier, er nøglen til at reducere angrebsfladen. Som en stadigt udviklende arena skal organisationer regelmæssigt gennemgå deres sikkerhedsforanstaltninger og procedurer.

Opbevaring af data

Databehandling skal revideres. Du skal vide hvem gjorde hvad og hvornår. Du skal kende DPA og eventuelle berørte personer. De skal underrettes om brud på data, der udsætter PII med 72 timer til DPA. IT-afdelingen skal kunne identificere, hvor PII er placeret, så den kan fås, ændres og destrueres. På den note har registrerede ret til at anmode om oplysninger gemt om dem i et læseligt format. Organisationer skal sikre, at alle katastrofegendannelsesprocedurer er på plads og er blevet testet.

Databeskyttelsesansvarlige

Offentlige myndigheder skal udpege en databeskyttelsesansvarlig (DPO) for at overvåge overholdelse. For andre organisationer er en DPO valgfri men anbefales. Dette er endnu vigtigere, hvis der er storskala behandling af fagdata eller særligt følsomme oplysninger, der behandles, såsom strafferegistre. Den, der er udnævnt til denne rolle, skal have påviselig erfaring i en lignende stilling.

I denne artikel skitserede jeg de grundlæggende krav, der er fastsat af EU's GDPR. For mere detaljerede oplysninger, se Reform af EU's databeskyttelsesregler.

Stillingen Hvad du behøver at vide om EU's generelle databeskyttelsesforordning dukkede først på Petri.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.