7 Gewohnheiten eines hocheffektiven Programms zur Einhaltung des Datenschutzes
Der Datenschutz ist in Unternehmen auf der ganzen Welt zu einem zentralen Compliance-Risiko geworden. GDPR (Europa), CCPA (Kalifornien), APP (Australien), PIPEDA (Kanada), PDO (Hongkong), PIPA (Japan), ECTA (Südafrika)... die Welt der Datenschutz-Compliance ist wie ein Teller Buchstabensuppe, doch diese Liste zeigt nur die wichtigsten Punkte einige der vielen Datenschutzvorschriften, die auf die Unternehmen zukommen.
Die Herausforderung mit der Einhaltung des Datenschutzes ist, dass das Geschäft ist dynamisch. Sie ändern sich von Minute zu Minute und von Sekunde zu Sekunde. Personenbezogene Daten sind in den Daten und Prozessen eines Unternehmens allgegenwärtig (z. B. Mitarbeiterdaten, Kundendaten und Verkaufsdaten). Vielleicht waren Sie Ende 2019 mit Ihren Datenschutzverpflichtungen auf dem Laufenden, aber die Organisation hat sich in den letzten Wochen stark verändert und hat nun auch Einhaltung des CCPA um die Sie sich kümmern müssen. Prozesse haben sich geändert, das Unternehmen hat sich geändert, Mitarbeiter haben sich geändert, Dritte haben sich geändert, Ihre Kunden haben sich geändert.
Das Management der Einhaltung von Datenschutzbestimmungen muss in Organisationen kontinuierlich verwaltet und überwacht werden. Es handelt sich dabei nicht um eine punktuelle Maßnahme, sondern um eine, die im Rahmen eines kontinuierlichen organisatorischen Wandels angegangen werden muss. Bei der Einhaltung des Datenschutzes geht es darum, die mit der Verarbeitung personenbezogener Daten verbundenen Compliance-, Marken- und Geschäftsrisiken zu ermitteln und zu mindern. Es geht um das Management von Risiken über den gesamten Lebenszyklus von Daten in einer Organisation und deren Netz von Prozessen, Transaktionen, Beziehungen und Interaktionen.
Hier sind 7 Gewohnheiten hocheffektiver Programme zur Einhaltung des Datenschutzes um Sie auf Kurs zu halten:
1. Ernennung eines Datenschutzbeauftragten
Unter GDPR Dies wird als Datenschutzbeauftragter/Verarbeitungsbeauftragter. Jemand muss dafür verantwortlich sein, dass die Risiken des Datenschutzes und die Einhaltung der Vorschriften in allen Organisationen und deren Zuständigkeitsbereichen berücksichtigt werden. Bei großen, verteilten Organisationen kann es erforderlich sein, dass regionale Datenschutzbeauftragte eingesetzt werden, die dem globalen Datenschutzbeauftragten der Organisation Bericht erstatten.
2. Datenprozessflüsse dokumentieren
Grundlegend für die Einhaltung der Datenschutzbestimmungen - ob GDPR, CCPA oder viele andere - ist die Dokumentation der Datenverarbeitungsabläufe und der Art und Weise, wie personenbezogene Daten (z. B. von Mitarbeitern oder Kunden) in das Unternehmen gelangen und es durchlaufen, wie sie im Unternehmen verwendet werden und wie auf sie zugegriffen wird, wie die Disposition und die Kontrollen in diesen Phasen aussehen und wie diese Abläufe über die Beziehungen zu Dritten hinweg zusammenwirken.
3. Definition und Kommunikation von Datenschutzrichtlinien
Letztendlich sind es die Mitarbeiter (und Dritte) auf allen Ebenen des Unternehmens, die mit personenbezogenen Daten umgehen. Bei der Einhaltung der Datenschutzbestimmungen geht es mehr um das Front-Office des Unternehmens als um die Back-Office-Funktion der Einhaltung. Unternehmen müssen sicherstellen, dass sie über die richtigen Richtlinien zum Schutz der Privatsphäre, zum Datenschutz und zur Datennutzung verfügen und dass die Mitarbeiter diese im Zusammenhang mit ihrer Rolle im Unternehmen verstehen. Die Einhaltung der Datenschutzbestimmungen erfordert von den Unternehmen eine klare und vertretbare Dokumentation der Verwaltung der Richtlinien, der Kommunikation, der Bescheinigungen, der Mahnungen und der Schulungsmaßnahmen.
4. Durchführung von Datenschutz-Folgenabschätzungen.
Unternehmen sollten sich über den Stand der Einhaltung der Datenschutzbestimmungen und das Risiko für personenbezogene Daten in ihrem dynamischen Umfeld im Klaren sein. Dies erfordert die regelmäßige Durchführung einer Datenschutz-Folgenabschätzung sowie Auslöser für die Durchführung einer Bewertung zwischen den regelmäßigen Bewertungen, wenn bestimmte Ereignisse oder Risikoindikatoren die Organisation alarmieren.
5. Überwachung der Kontrollen und der Verwendung personenbezogener Daten
Die laufende Überwachung der Umgebung ist entscheidend, um sicherzustellen, dass Kontrollen vorhanden sind und personenbezogene Daten in der Umgebung geschützt werden. Dies setzt voraus, dass die Organisation Einblick in den Ort hat, an dem personenbezogene Daten gespeichert und verwendet werden, dass sie auf Datenlecks und unangemessene Verwendung achtet und dass sie über vollständige Prüfprotokolle der Interaktionen mit personenbezogenen Daten verfügt.
6. Festlegung von Verfahren zur Reaktion auf Vorfälle
Die besten Pläne von Mäusen und Menschen werden scheitern. Selbst in den besten Organisationen mit der besten Kultur und dem stärksten Engagement für Datenschutz und Integrität wird es Probleme geben. Ob böswillig oder versehentlich, Verstöße gegen den Datenschutz werden vorkommen. Es ist von entscheidender Bedeutung, dass die Organisation über klare Verfahren für die Meldung von Problemen und das Fallmanagement verfügt, um kleine und große Datenschutzverletzungen zu behandeln. Geeignete Schritte und Reaktionspläne sollten bereits vor einem Vorfall festgelegt werden, damit das Unternehmen weiß, wie es damit umgehen muss und keine kostspieligen Fehler macht.
7. Beziehungen zu Dritten regeln
Über halb der Datenschutzverletzungen stammen von Dritten - Auftragnehmern, Beratern, Outsourcern, Anbietern, Zeitarbeitern, Dienstleistern und anderen. Unternehmen müssen sicherstellen, dass auch ihre Drittparteien die Vorschriften einhalten und strenge Richtlinien und Kontrollen befolgen, die mit den Datenschutzrichtlinien und -kontrollen des Unternehmens abgestimmt sind. Datenverarbeiter (z. B. Dritte) sind nach der DSGVO und anderen Vorschriften rechtlich haftbar und haben direkte rechtliche Verpflichtungen zur Einhaltung der Vorschriften. Eine zusätzliche Anforderung ist, dass der Datenverarbeiter keine "vierte Partei" zur Verarbeitung identifizierbarer personenbezogener Daten heranziehen darf, ohne die vorherige Genehmigung seines Kunden (d. h. des für die Datenverarbeitung Verantwortlichen) einzuholen.
Die nächste Herausforderung für die Einhaltung der Datenschutzbestimmungen?
Sobald diese 7 Gewohnheiten für ein hochwirksames Programm zur Einhaltung des Datenschutzes eingeführt sind, wird die nächste Herausforderung soll halten Sie sie aktuell. Die Einhaltung des Datenschutzes (und aller seiner Elemente) ist ein Prozess, der in der heutigen verteilten und dynamischen Organisation kontinuierlich verwaltet werden muss. Es handelt sich nicht um einen einmaligen Aufwand, sondern um einen Prozess, der mit dem Unternehmen synchronisiert werden muss, während es sich weiterentwickelt, anpasst, verändert und wandelt.
Die Wirtschaft verändert sich im Minutentakt und im Sekundentakt. Dies erfordert eine fortlaufende Funktion die sicherstellt, dass jeder neue Dienst oder Geschäftsprozess, der personenbezogene Identitätsinformationen innerhalb der Organisation nutzt, den Schutz personenbezogener Daten bei der Gestaltung neuer oder der Aktualisierung operativer Prozesse berücksichtigen muss.
Um eine nachhaltige Einhaltung der Datenschutzbestimmungen zu erreichen, müssen Unternehmen über Technologien zur Einhaltung der Datenschutzbestimmungen verfügen, die effizient, effektiv, und wendig um mit einem dynamischen Geschäftsumfeld Schritt zu halten. Dies ist kein einmaliger Aufwand, sondern erfordert ständige Bemühungen um die Einhaltung der Vorschriften. Manuelle Prozesse mit Dokumenten, Tabellenkalkulationen und E-Mails führen nur zu Lücken, Fehlern und schließlich zu erheblichen Problemen bei der Nichteinhaltung von Vorschriften, was zu potenziellen Strafen führt.