虽然组织可能认为他们已经为GDPR做了一切准备, 他们可能没有想过如何获得GDPR方面的保证, 特别是考虑到为GDPR做准备与将GDPR作为运营的一部分是不同的.
GDPR已经生效一年多了, 因此,假设所有组织都采取了必要的步骤来确保遵从是正确的吗? 根据我们的工作和其他人的反馈,情况似乎并非如此,而且远非如此. 但最大的问题是 最近的罚款数额 对英国航空(British Airways)(1.86亿英镑)和万豪(Marriott)(9900万英镑)征收的罚款让股东们重新思考?
信息专员办公室(ICO)对组织的期望是什么?
这很简单. ICO希望所有组织, 不管它们的大小, 有否认真对待保障个人资料,并照顾资料当事人的利益. ICO希望所有组织在业务活动的核心都遵守立法. 这意味着就个人资料而言,他们是:
- 做正确的事;
- Doing them in the right way; and
- 把它们做好.
显然,英国航空和万豪都没能让信息专员相信,他们在做正确的事情,并尽了一切努力来保护客户的个人数据, 但是为什么罚款这么大呢? 是否因为ICO正在做出榜样,并向那些将GDPR视为另一个合规问题的组织发出信息,而这些组织只做了最低限度的工作, 更糟糕的是, 完全忽略了它? 可能, 但同样,这也可能是因为两家公司在根本层面上都失败了——它们未能保护好自己的数字资产.
但它本可以更高. 英航的罚款是1.5 percent of global turnover; it could have been up to 4 percent. 同样值得注意的是,万豪之所以被罚款9900万英镑,是因为它在2016年收购了另一家连锁酒店,而这家连锁酒店就是这家酒店集团, 喜达屋, 该公司因网络漏洞而丢失了客户数据.
虽然许多组织已经投入了大量的时间和精力来遵守法规, 许多人没有认识到商业价值.
而不是将GDPR视为你需要遵守的另一项法规, 考虑潜在的商业利益. 你为什么不想确保你的数据是:
- 公平合法地获得
- 记录准确可靠
- 真相的一个版本
- 安全保密的
- 有效且合乎道德地使用
- 适当及合法分享
提供商业价值……遵守GDPR
GDPR还涉及对数据的价值和信任,这是信息治理的核心要素. 信息治理包括, 除此之外, 资讯保安或, 在数字层面上, 网络安全.
有许多组织接受了检查清单和提供一站式技术解决方案的公司, 没有采取必要的步骤来了解个人数据如何在组织中流动, 而不是设计和实现一个与组织的文化和工作方式相适应的框架.
还有一些组织抱怨说“这不公平”,并把它列为“太难做”.
在很多场合, 高级利益相关者告诉我,他们看不出GDPR对他们有什么影响,因为他们没有收集数据, 储存或处理个人资料-在所有情况下,他们都没有把握就业资料是个人资料.
像往常一样,将GDPR融入澳门赌场官方下载需要一种全面的信息治理方法.
人, 流程和技术-第29工作组发布的指南, 负责制定法规和ICO, 说白了就是:提高意识, 火车, 制定流程和程序, 加强资讯科技保安.
如何做到以上几点来构建业务价值? 它可以是一个微分, 尤其是如果你相信我们正从信息时代过渡到声誉至上的时代.
在市场上,竞争是激烈的,选择不受地域的限制. 我们不再仅仅依靠大街上的商店或当地的澳门赌场官方下载来满足我们的需求.
在不久的将来,我们在决定与哪家互联网澳门赌场官方下载进行互动时,是否会看到“数据信任指数”? So, 一家因不能信任我们的数据而声誉受损的澳门赌场官方下载,会在我们下次购物时被忽视吗?
在GDPR方面,即使是那些接受挑战的组织也是如此 只是在他们旅程的开始. 组织为各种目的从各种来源收集数据.
简单的问题是,为什么我们要花费时间和资源来收集、处理和存储这些数据? 简单的回答应该总是因为它是帮助实现业务目标所必需的. 如果是这种情况,那么收集的数据必须具有价值,并且值得保护. 如果某样东西没有价值,我们为什么要得到它?
在过去的一两年, 焦点一直是GDPR, 但在现实中, 许多进步的组织一直在使用GDPR作为改进其信息治理总体方法的一种方式.
期待, 而是我们如何将GDPR纳入信息治理,这将导致GDPR在一定程度上的成熟. 保护个人数据也有可能成为年度审计要求的一部分.
But it’s not just about our organization; it’s also about organizations with which we share our data. 如果我们没有妥善管理我们的第三方数据处理关系, 我们的声誉可能因他们的疏忽而受到影响. 即使第三方的数据安全存在漏洞, we are still accountable; therefore, 我们有责任确保与我们合作的第三方能够妥善保管我们共享的数据.
GDPR does not reflect a whole new philosophy with regard to personal data; rather, 它建立在良好信息治理实践的基本应用程序之上, 尽管比审计师可能习惯的更强调透明度.
Providing audit assurance on GDPR is not a one-off process; the regulation requires auditors to consider personal data throughout the enterprise:
- GDPR的核心是所收集数据的质量和准确性——信息治理的一个核心要素是信息的可靠性.
- GDPR关注的是数据的安全性. 在信息治理中, 我们还会考虑安全数据,并查看我们为数据丢失管理所制定的流程. 我们不想丢失数据, 但是如果我们这样做了, 我们需要适当的系统来通知我们发生了入侵.
- 在GDPR中,我们需要确保个人数据是可访问的. 在信息治理中, 我们还需要能够访问数据——这是我们利用信息价值的方式.
你能做些什么来降低被罚款的风险呢? 以下是一些需要考虑的要点:
- 完成数据审计, 编制处理活动记录,并对收集到的数据进行风险评估, 加工过的, 存储和共享.
- 知道我们所有的第三方供应商是谁, 以及处理我们个人数据的供应商, 并确保他们有适当的程序,他们正在有效地工作.
- 起草隐私声明,并随时准备好.You don’t have to get the data subject to sign them; just ensure that the data subject is aware where the notice can be found.
- 在网站中添加cookie语句.
- 制定流程和模板信件,以支持在个人提出主题访问请求时解决个人权利的方式.
- 提高整个组织的意识, 培训员工如何处理个人资料,并评估他们的理解程度.
- 审核与供应商和客户的合同, 在适当的地方, 制定数据处理协议.
- 检讨资讯保安安排,以确保所有储存及处理的敏感及个人资料,不论在存放或传送过程中,均得到适当的保护.
•以电子形式向数据主体提供个人数据,方便携带. - 对用于收集的系统进行更改时, 存储和处理数据, 制定一个流程来进行数据隐私影响评估,以确保充分了解行动和活动可能如何影响数据主体的权利和自由.
- 审查所有涉及个人数据的业务流程,以确保GDPR合规性嵌入到“照常营业”中,并成为日常运营中不可或缺的一部分.
- 能够证明与gdp相关的流程有效且持续地运行.
不要让你的组织成为下一个因为收到ICO巨额罚款而上头条的组织. 这笔罚款只是你担忧的开始——声誉和品牌受损的代价可能会高得多!
不要惊慌,帮助就在眼前
有许多信息来源可以帮助我们,包括:
ISACA网络安全资源: http://z0.28277cc.com/火Carting-and-events/Cybersecurity
ICO的12个步骤: http://ico.org.uk/media/for-organisations/documents/2014918/dp-act-12-steps-infographic.pdf
NCSC的网络要件: http://www.cyberessentials.ncsc.gov.uk/
NCSC网络安全的10个步骤: http://www.ncsc.gov.uk/collection/10-steps-to-cyber-security
NCSC板工具包: http://www.ncsc.gov.uk/collection/board-toolkit