Die GDPR (General Data Protection Regulation) - die Verordnung der Europäischen Union (EU), die es den Bürgerinnen und Bürgern ermöglicht, die Kontrolle über ihre eigenen Daten zurückzuerlangen und die Datenschutzbestimmungen in der gesamten EU zu vereinheitlichen - sorgt in letzter Zeit für viel Wirbel. Sie tritt am 25. Mai 2018, also in nur sechs Monaten, in Kraft und wird auch die Datenschutzrichtlinie von 1995 ersetzen. Letzteres geschieht durch die Vereinfachung des regulatorischen Umfelds für internationale Unternehmen durch die Vereinheitlichung der Vorschriften innerhalb der EU. Da der Brexit noch im Gange ist, gibt es natürlich Fragen.
Eine der wichtigsten Anforderungen der Datenschutz-Grundverordnung besteht darin, dass Unternehmen sensible Daten nachverfolgen und bestimmen müssen, wie sie über ihre Informationen hinweg verarbeitet werden Supply Chain. Infolgedessen müssen die Unternehmen bei der Datenverwaltung sorgfältig vorgehen, um die Grundsätze des "eingebauten Datenschutzes" einzuhalten. Für Unternehmen bedeutet dies, dass jeder neue digitale Dienst, der personenbezogene Daten nutzt, nun auch den Datenschutz berücksichtigen muss.
Was kostet es, die DSGVO zu ignorieren? Nun, Verstöße gegen einige GDPR-Bestimmungen könnten dazu führen, dass die Datenaufsichtsbehörden Geldstrafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen, je nachdem, welcher Betrag höher ist. Und da die GDPR-Frist immer näher rückt, suchen viele IT-Abteilungen nach einer Anleitung, wie sie mit diesen bevorstehenden Datenvorschriften umgehen sollen.
IT-Herausforderungen
Die DSGVO birgt viele Herausforderungen für IT-Abteilungen von Unternehmen, die mit EU-Bürgern Geschäfte machen, was das Recht auf Überprüfung, das Recht auf Löschung und die Datenübertragbarkeit betrifft. Hier sind ein paar der Herausforderungen:
Unternehmen müssen ein ganzheitliches Dateninventar erstellen und pflegen, um zu wissen, welche personenbezogenen Daten (PII) sie in ihrem Unternehmen gespeichert und verarbeitet haben. Aufzeichnungen über die Verarbeitungstätigkeiten - einschließlich der Zwecke der Verarbeitung, der betroffenen Kategorien und der voraussichtlichen Fristen - müssen geführt und der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.
Eine solche Anforderung kann eine Herausforderung für ein typisches Unternehmen darstellen, in dem Kundendaten in mehreren, oft isolierten Systemen gespeichert sind, was unterschiedliche Formate und Qualitätsstufen bedeutet, die alle unterschiedliche Definitionen und Datenkonventionen verwenden.
Als Nächstes müssen Unternehmen ihre Daten nicht nur schützen, sondern sie auch offenlegen, indem sie Technologien zur Datenintegration und Datendienste einsetzen. Das ist besonders wichtig, weil Einzelpersonen gemäß der DSGVO das Recht haben, von Organisationen zu verlangen, dass sie ihnen alle relevanten Daten, die diese Organisationen über sie gespeichert haben, zur Verfügung stellen.
Eine Person kann auch Folgendes verlangen: das "Recht auf Vergessenwerden", die Berichtigung unrichtiger Daten und die Übermittlung relevanter Daten in einem maschinenlesbaren Format.
Schließlich hat eine Person das Recht, die Übertragbarkeit ihrer Daten zu verlangen, so dass sie ihre personenbezogenen Daten von einem elektronischen Verarbeitungssystem in ein anderes übertragen kann, ohne von einem Unternehmen daran gehindert zu werden. Sowohl Daten, die von der Person "zur Verfügung gestellt" wurden, als auch Daten, die "beobachtet" wurden - etwa über ihr Verhalten - fallen in den Anwendungsbereich.
Ein Aktionsplan
Was sollte ein Unternehmen tun? Hier sind einige Schritte, die ein Unternehmen unternehmen kann, um sich auf die Datenschutzgrundverordnung vorzubereiten:
Schritt 1: Definieren Sie eine Richtlinie
Einer der wichtigsten Punkte zu Beginn dieser Reise ist die Definition der Richtlinie für Ihr Unternehmen. Die DSGVO enthält eine Reihe von Richtlinienattributen, die sowohl für die geschäftliche Definition (d. h. das Recht auf Einwilligung und was dies bedeutet) als auch für die technische Definition (Name, Adresse usw.) systematisch festgelegt werden müssen. Dieser entscheidende Schritt - das Zusammentreffen von Richtlinie und Regeln zur Durchsetzung der Richtlinie - muss so dokumentiert werden, dass er durchsetzbar ist. Die Definition einer Richtlinie ist auch der Schritt, in dem die Datenattribute, die die Richtlinie unterstützen, festgelegt werden.
Schritt 2: Automatisieren der Datenermittlung
Sobald die Richtlinie definiert ist, muss eine digitale Lösung die automatische Erkennung relevanter Kundendaten in einer beliebigen Anzahl von Datenbanken, Anwendungen, Big Data- und Cloud-Datenspeichern usw. ermöglichen. Außerdem muss sie flexible, leistungsstarke und skalierbare Scan-Funktionen einsetzen, um herauszufinden, wo sich der potenziell relevante Kunde aufhält.
Schritt 3: Verstehen der Datenvermehrung
Wie bereits erwähnt, stellt die Datenvermehrung im Zusammenhang mit relevanten Kundendaten eine große Herausforderung dar, da diese häufig aus den Quellsystemen extrahiert und zur Weiterverarbeitung in andere Systeme kopiert werden. Diese anderen Systeme befinden sich oft außerhalb jeglicher formaler Governance-Prozesse, was bedeutet, dass der Einblick in diese Daten eingeschränkt ist oder ganz fehlt.
Schritt 4: Zuweisung einer Risikobewertung
Die Datenschutzgrundverordnung verlangt nun, dass eine Risikobewertung auf der Grundlage des Verständnisses und der Bewegung relevanter Kundendaten erstellt wird. Eine Risikobewertung sollte aus einer Reihe von verschiedenen Attributen der Datensicherheit erstellt werden, darunter:
- Verfügbarkeit des Datenschutzes
- Existenz der Daten
- Umfang der Daten
- Datenvermehrung
- Zugänglichkeit der Daten
Ein Unternehmen kann eine Risikobewertung berechnen, indem es die oben genannten Attribute und andere Faktoren berücksichtigt. Anhand dieser Punktzahl können Unternehmen die Reihenfolge festlegen, in der relevante Kundendatenspeicher behandelt werden müssen. Eine hohe Punktzahl würde bedeuten, dass eine Datenquelle möglicherweise dringend behandelt werden muss, während eine niedrige Punktzahl bedeutet, dass sie warten kann.
Schritt 5: Maßnahmen ergreifen
Sobald ein Unternehmen die Richtlinie festgelegt und festgestellt hat, wo die Daten gespeichert wurden, muss es Maßnahmen ergreifen, die dem Risiko, das die Datenströme darstellen, angemessen sind. Der vielleicht schwierigste Teil ist die Frage, wie die Daten aus den verschiedenen, unterschiedlichen Datenquellen am besten integriert werden können, wie der notwendige Schutz gewährleistet wird und wie die Daten synchronisiert werden können. Die Enterprise Integration Cloud von SnapLogic wurde entwickelt, um die Integration, Sicherung und Synchronisierung von Daten aus Cloud-Anwendungen, Datenbanken, sozialen Medien, IoT, Datenspeichern und anderen Endpunkten zu erleichtern, damit ein Unternehmen die GDPR leichter einhalten kann.
Was kommt als Nächstes?
Da die Frist für die Umsetzung der DSGVO näher rückt, sind viele Unternehmen noch dabei, die Auswirkungen der Verordnung zu ermitteln und Pläne zu entwickeln, um sie einzuhalten. Ich hoffe, dass meine Zusammenfassung dazu beiträgt, dass sich mehr Menschen bewusst werden, wie sich diese geschäftsverändernde Verordnung auf ihr Unternehmen auswirken wird. Meine Zusammenfassung erhebt weder den Anspruch auf Vollständigkeit noch auf Vorschriftentreue, daher werden wir mit dem Näherrücken des Stichtags weitere Informationen weitergeben. Wenn Sie mehr über die GDPR erfahren möchten, ist Wikipedia ein guter Ausgangspunkt.
