Was bedeutet DSGVO
Die DSGVO legt die gleiche Verantwortung auf die Datenverantwortlichen (die Organisation, die Eigentümer der Daten ist) und die Datenverarbeiter (externe Organisationen, die bei der Verwaltung dieser Daten helfen). Ein Drittverarbeiter, der nicht konform ist, bedeutet, dass Ihre Organisation nicht konform ist. Die neue Verordnung hat auch strenge Regeln für die Meldung von Datenschutzverletzungen, die jeder in der Kette einhalten können muss. Organisationen müssen auch Kunden über ihre Rechte unter der DSGVO informieren.
Das bedeutet, dass alle bestehenden Verträge mit Auftragsverarbeitern (z. B. Cloud-Anbietern, SaaS-Anbietern oder Anbietern von Gehaltsabrechnungen) und Kunden die Verantwortlichkeiten klarstellen müssen. Die überarbeiteten Verträge müssen auch einheitliche Prozesse definieren, wie Daten verwaltet und geschützt werden und wie Verstöße gemeldet werden.
"Die größte Aufgabe liegt auf der Beschaffungsseite des Hauses - bei Ihren Drittanbietern, Ihren Beschaffungsbeziehungen, die Daten in Ihrem Auftrag verarbeiten", sagt Mathew Lewis, Global Head of Banking and Regulatory Practice beim Rechtsdienstleister Axiom. "Es gibt eine ganze Reihe von Anbietern, die Zugang zu diesen personenbezogenen Daten haben, und die DSGVO legt sehr klar fest, dass Sie sicherstellen müssen, dass alle diese Drittanbieter die DSGVO einhalten und die Daten entsprechend verarbeiten."
Auch die Kundenverträge müssen die regulatorischen Änderungen widerspiegeln, sagt Lewis. "Kundenverträge nehmen verschiedene Formen an, egal ob es sich um Online-Klickverträge oder formelle Vereinbarungen handelt, in denen Sie sich verpflichten, wie Sie Daten ansehen, darauf zugreifen und sie verarbeiten."
Bevor diese Verträge überarbeitet werden können, müssen Geschäftsleiter, IT- und Sicherheitsteams verstehen, wie die Daten gespeichert und verarbeitet werden, und sich auf einen konformen Prozess für die Berichterstattung einigen. "Die Technologiegruppen, der CISO und das Data-Governance- Team (siehe Team Seminar) müssen eine ziemlich umfangreiche Übung durchführen, um zu verstehen, welche Daten in das Unternehmen gehören, wo sie gespeichert oder verarbeitet werden und wohin sie außerhalb des Unternehmens exportiert werden. Sobald Sie diese Datenflüsse und die Auswirkungen auf das Geschäft verstehen, können Sie beginnen, die Anbieter zu identifizieren, auf die Sie sich am meisten konzentrieren müssen, sowohl aus der Perspektive der Informationssicherheit, als auch wie Sie diese Beziehungen in Zukunft verwalten und wie Sie dies im Vertrag selbst festhalten", sagt Lewis.
Die DSGVO könnte auch die Denkweise von Geschäfts- und Sicherheitsteams in Bezug auf Daten verändern. Die meisten Unternehmen sehen ihre Daten und die Prozesse, mit denen sie sie gewinnen, als einen Vermögenswert an, aber diese Wahrnehmung wird sich ändern, sagt Lewis. "In Anbetracht der expliziten Zustimmung der DSGVO und der Tatsache, dass Unternehmen ihr Verständnis von Daten und Datenflüssen viel granularer gestalten müssen, gibt es jetzt eine ganze Reihe von Verpflichtungen, die mit der Anhäufung von Daten einhergehen", sagt Lewis. "Das ist eine ganz andere Denkweise, sowohl für die Rechtsabteilung als auch für die Compliance (siehe auch Compliance Seminare) , aber vielleicht noch wichtiger für die Art und Weise, wie das Unternehmen über die Anhäufung und Verwendung dieser Daten denkt und für die Informationssicherheitsgruppen und wie sie über die Verwaltung dieser Daten denken."
"Die Daten verlassen das Unternehmen auf alle möglichen Arten", sagt Lewis. "Während der CISO und die Technologiegruppen in der Lage sein müssen, all das zu verfolgen, müssen Sie auch Schutzmaßnahmen ergreifen." Diese Schutzmaßnahmen müssen im Vertrag festgehalten werden, damit die externen Firmen wissen, was sie mit den Daten tun können und was nicht.
Lewis merkt an, dass ein Unternehmen durch den Prozess der Definition von Verpflichtungen und Verantwortlichkeiten darauf vorbereitet wird, die DSGVO-Compliance operativ zu handhaben. "Wenn einer Ihrer Anbieter sagt: 'Sie wurden letzte Nacht gehackt', wissen sie, wen sie anrufen müssen und wie sie im Rahmen der Erfüllung der regulatorischen Anforderungen reagieren müssen", sagt er.
Das 72-Stunden-Meldefenster, das die DSGVO vorschreibt, macht es besonders wichtig, dass die Anbieter wissen, wie sie eine Datenschutzverletzung richtig melden müssen. "Wenn ein Anbieter gehackt wurde und Sie einer von Tausenden von Kunden sind, benachrichtigen Sie dann Ihre Einkaufsabteilung oder einen Kundenbetreuer oder jemanden in der Debitorenbuchhaltung? Es könnte auf alle möglichen Arten kommen", sagt Lewis.
Sie wollen einen klar definierten Weg im Vertrag, wie die Informationen zu der Person in Ihrer Organisation gelangen, die für die Meldung des Verstoßes verantwortlich ist. "Eine Aufsichtsbehörde wird nicht sagen, dass Sie keinen Verstoß hätten haben dürfen. Sie werden sagen, dass Sie über Richtlinien, Verfahren (mehr dazu Verfahren Training) und eine Reaktionsstruktur hätten verfügen müssen, um dies schnell zu beheben", sagt Lewis.
Größere Unternehmen haben möglicherweise Tausende von Verträgen zu aktualisieren. Erschwerend kommt hinzu, dass dies in einem späten Stadium des Compliance-Prozesses geschehen muss. Bevor man Verantwortlichkeiten und Zuständigkeiten festlegen kann, muss man genau wissen, welche Daten man hat, wo und wie sie verarbeitet werden und wie die Datenflüsse aussehen. "Das hat dazu geführt, dass viele Institute auf den Stichtag zu rasen und versuchen, die technischen und operativen Fragen zu klären, und dann den richtigen Vertrag aufsetzen müssen, um das durchzusetzen. Viele Firmen haben keine Neuverhandlung der Vertragsbedingungen vorgenommen."
Die DSGVO-Anforderungen werden US-Unternehmen dazu zwingen, die Art und Weise zu ändern, wie sie die personenbezogenen Daten ihrer Kunden verarbeiten, speichern und schützen. Zum Beispiel dürfen Unternehmen personenbezogene Daten nur dann speichern und verarbeiten, wenn die Person zustimmt und "nicht länger, als es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist". Personenbezogene Daten müssen auch von einem Unternehmen zum anderen übertragbar sein, und Unternehmen müssen personenbezogene Daten auf Anfrage löschen.
Dieser letzte Punkt ist auch als das Recht auf Vergessenwerden bekannt. Es gibt einige Ausnahmen. Zum Beispiel ersetzt die DSGVO nicht die gesetzlichen Anforderungen, dass eine Organisation bestimmte Daten aufbewahren muss. Dazu gehören auch die HIPAA-Anforderungen für Gesundheitsdaten.
Mehrere Anforderungen werden sich direkt auf Sicherheitsteams auswirken. Eine davon ist, dass Unternehmen in der Lage sein müssen, den EU-Bürgern ein "angemessenes" Maß an Datenschutz (mehr Infos Datenschutz Training) und Privatsphäre zu bieten. Was die DSGVO mit "angemessen" meint, ist nicht genau definiert.
Was eine Herausforderung darstellen könnte, ist die Anforderung, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden nach Entdeckung der Verletzung an Aufsichtsbehörden und betroffene Personen melden müssen. Eine weitere Anforderung, die Durchführung von Folgenabschätzungen, soll dazu beitragen, das Risiko von Datenschutzverletzungen durch die Identifizierung von Schwachstellen und deren Behebung zu mindern.
Wenn Ihr Unternehmen klein ist, bitten Sie bei Bedarf um Hilfe. Kleinere Unternehmen werden von der DSGVO betroffen sein, einige stärker als andere. Sie verfügen möglicherweise nicht über die notwendigen Ressourcen, um die Anforderungen zu erfüllen. Externe Ressourcen stehen zur Verfügung, um Beratung und technische Experten bereitzustellen, die ihnen durch den Prozess helfen und interne Störungen minimieren.
Testen Sie Reaktionspläne für Vorfälle: Die DSGVO verlangt, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden melden. Wie gut die Reaktionsteams den Schaden minimieren, wirkt sich direkt auf das Risiko des Unternehmens aus, für den Verstoß mit Geldstrafen belegt zu werden. Stellen Sie sicher, dass Sie innerhalb des Zeitraums angemessen berichten und reagieren können.
Das bedeutet, dass alle bestehenden Verträge mit Auftragsverarbeitern (z. B. Cloud-Anbietern, SaaS-Anbietern oder Anbietern von Gehaltsabrechnungen) und Kunden die Verantwortlichkeiten klarstellen müssen. Die überarbeiteten Verträge müssen auch einheitliche Prozesse definieren, wie Daten verwaltet und geschützt werden und wie Verstöße gemeldet werden.
"Die größte Aufgabe liegt auf der Beschaffungsseite des Hauses - bei Ihren Drittanbietern, Ihren Beschaffungsbeziehungen, die Daten in Ihrem Auftrag verarbeiten", sagt Mathew Lewis, Global Head of Banking and Regulatory Practice beim Rechtsdienstleister Axiom. "Es gibt eine ganze Reihe von Anbietern, die Zugang zu diesen personenbezogenen Daten haben, und die DSGVO legt sehr klar fest, dass Sie sicherstellen müssen, dass alle diese Drittanbieter die DSGVO einhalten und die Daten entsprechend verarbeiten."
Auch die Kundenverträge müssen die regulatorischen Änderungen widerspiegeln, sagt Lewis. "Kundenverträge nehmen verschiedene Formen an, egal ob es sich um Online-Klickverträge oder formelle Vereinbarungen handelt, in denen Sie sich verpflichten, wie Sie Daten ansehen, darauf zugreifen und sie verarbeiten."
Bevor diese Verträge überarbeitet werden können, müssen Geschäftsleiter, IT- und Sicherheitsteams verstehen, wie die Daten gespeichert und verarbeitet werden, und sich auf einen konformen Prozess für die Berichterstattung einigen. "Die Technologiegruppen, der CISO und das Data-Governance- Team (siehe Team Seminar) müssen eine ziemlich umfangreiche Übung durchführen, um zu verstehen, welche Daten in das Unternehmen gehören, wo sie gespeichert oder verarbeitet werden und wohin sie außerhalb des Unternehmens exportiert werden. Sobald Sie diese Datenflüsse und die Auswirkungen auf das Geschäft verstehen, können Sie beginnen, die Anbieter zu identifizieren, auf die Sie sich am meisten konzentrieren müssen, sowohl aus der Perspektive der Informationssicherheit, als auch wie Sie diese Beziehungen in Zukunft verwalten und wie Sie dies im Vertrag selbst festhalten", sagt Lewis.
Die DSGVO könnte auch die Denkweise von Geschäfts- und Sicherheitsteams in Bezug auf Daten verändern. Die meisten Unternehmen sehen ihre Daten und die Prozesse, mit denen sie sie gewinnen, als einen Vermögenswert an, aber diese Wahrnehmung wird sich ändern, sagt Lewis. "In Anbetracht der expliziten Zustimmung der DSGVO und der Tatsache, dass Unternehmen ihr Verständnis von Daten und Datenflüssen viel granularer gestalten müssen, gibt es jetzt eine ganze Reihe von Verpflichtungen, die mit der Anhäufung von Daten einhergehen", sagt Lewis. "Das ist eine ganz andere Denkweise, sowohl für die Rechtsabteilung als auch für die Compliance (siehe auch Compliance Seminare) , aber vielleicht noch wichtiger für die Art und Weise, wie das Unternehmen über die Anhäufung und Verwendung dieser Daten denkt und für die Informationssicherheitsgruppen und wie sie über die Verwaltung dieser Daten denken."
"Die Daten verlassen das Unternehmen auf alle möglichen Arten", sagt Lewis. "Während der CISO und die Technologiegruppen in der Lage sein müssen, all das zu verfolgen, müssen Sie auch Schutzmaßnahmen ergreifen." Diese Schutzmaßnahmen müssen im Vertrag festgehalten werden, damit die externen Firmen wissen, was sie mit den Daten tun können und was nicht.
Lewis merkt an, dass ein Unternehmen durch den Prozess der Definition von Verpflichtungen und Verantwortlichkeiten darauf vorbereitet wird, die DSGVO-Compliance operativ zu handhaben. "Wenn einer Ihrer Anbieter sagt: 'Sie wurden letzte Nacht gehackt', wissen sie, wen sie anrufen müssen und wie sie im Rahmen der Erfüllung der regulatorischen Anforderungen reagieren müssen", sagt er.
Das 72-Stunden-Meldefenster, das die DSGVO vorschreibt, macht es besonders wichtig, dass die Anbieter wissen, wie sie eine Datenschutzverletzung richtig melden müssen. "Wenn ein Anbieter gehackt wurde und Sie einer von Tausenden von Kunden sind, benachrichtigen Sie dann Ihre Einkaufsabteilung oder einen Kundenbetreuer oder jemanden in der Debitorenbuchhaltung? Es könnte auf alle möglichen Arten kommen", sagt Lewis.
Sie wollen einen klar definierten Weg im Vertrag, wie die Informationen zu der Person in Ihrer Organisation gelangen, die für die Meldung des Verstoßes verantwortlich ist. "Eine Aufsichtsbehörde wird nicht sagen, dass Sie keinen Verstoß hätten haben dürfen. Sie werden sagen, dass Sie über Richtlinien, Verfahren (mehr dazu Verfahren Training) und eine Reaktionsstruktur hätten verfügen müssen, um dies schnell zu beheben", sagt Lewis.
Größere Unternehmen haben möglicherweise Tausende von Verträgen zu aktualisieren. Erschwerend kommt hinzu, dass dies in einem späten Stadium des Compliance-Prozesses geschehen muss. Bevor man Verantwortlichkeiten und Zuständigkeiten festlegen kann, muss man genau wissen, welche Daten man hat, wo und wie sie verarbeitet werden und wie die Datenflüsse aussehen. "Das hat dazu geführt, dass viele Institute auf den Stichtag zu rasen und versuchen, die technischen und operativen Fragen zu klären, und dann den richtigen Vertrag aufsetzen müssen, um das durchzusetzen. Viele Firmen haben keine Neuverhandlung der Vertragsbedingungen vorgenommen."
Die DSGVO-Anforderungen werden US-Unternehmen dazu zwingen, die Art und Weise zu ändern, wie sie die personenbezogenen Daten ihrer Kunden verarbeiten, speichern und schützen. Zum Beispiel dürfen Unternehmen personenbezogene Daten nur dann speichern und verarbeiten, wenn die Person zustimmt und "nicht länger, als es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist". Personenbezogene Daten müssen auch von einem Unternehmen zum anderen übertragbar sein, und Unternehmen müssen personenbezogene Daten auf Anfrage löschen.
Dieser letzte Punkt ist auch als das Recht auf Vergessenwerden bekannt. Es gibt einige Ausnahmen. Zum Beispiel ersetzt die DSGVO nicht die gesetzlichen Anforderungen, dass eine Organisation bestimmte Daten aufbewahren muss. Dazu gehören auch die HIPAA-Anforderungen für Gesundheitsdaten.
Mehrere Anforderungen werden sich direkt auf Sicherheitsteams auswirken. Eine davon ist, dass Unternehmen in der Lage sein müssen, den EU-Bürgern ein "angemessenes" Maß an Datenschutz (mehr Infos Datenschutz Training) und Privatsphäre zu bieten. Was die DSGVO mit "angemessen" meint, ist nicht genau definiert.
Was eine Herausforderung darstellen könnte, ist die Anforderung, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden nach Entdeckung der Verletzung an Aufsichtsbehörden und betroffene Personen melden müssen. Eine weitere Anforderung, die Durchführung von Folgenabschätzungen, soll dazu beitragen, das Risiko von Datenschutzverletzungen durch die Identifizierung von Schwachstellen und deren Behebung zu mindern.
Wenn Ihr Unternehmen klein ist, bitten Sie bei Bedarf um Hilfe. Kleinere Unternehmen werden von der DSGVO betroffen sein, einige stärker als andere. Sie verfügen möglicherweise nicht über die notwendigen Ressourcen, um die Anforderungen zu erfüllen. Externe Ressourcen stehen zur Verfügung, um Beratung und technische Experten bereitzustellen, die ihnen durch den Prozess helfen und interne Störungen minimieren.
Testen Sie Reaktionspläne für Vorfälle: Die DSGVO verlangt, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden melden. Wie gut die Reaktionsteams den Schaden minimieren, wirkt sich direkt auf das Risiko des Unternehmens aus, für den Verstoß mit Geldstrafen belegt zu werden. Stellen Sie sicher, dass Sie innerhalb des Zeitraums angemessen berichten und reagieren können.