Datenschutz 2.0: Veränderungen in der Compliance-Landschaft verstehen
Inhaltsverzeichnis:
Die Weiterentwicklung künstlicher Intelligenz (KI), vernetzter Geräte und anderer Technologien hat zu einer Datenexplosion geführt. Tatsächlich ist es so geschätzt dass die Welt derzeit täglich fast 330 Millionen Terabyte erzeugt.
Durch das Sammeln und Nutzen dieses Datenschatzes können Unternehmen ihre Kunden besser verstehen und gezielt ansprechen und letztendlich ihre Geschäftsstrategien und Produktangebote verbessern. Da die Datenerfassung jedoch zunimmt, ergreifen Regierungen Maßnahmen, um sie durch neue Gesetze zu schützen. Dabei werden Themen wie Datentransparenz, -portabilität und -löschung zu wichtigen Prioritäten für moderne Unternehmen, da Datenmissbrauch hohe Geldstrafen und Reputationsschäden mit sich bringt.
Mit der Weiterentwicklung der Technologielandschaft werden sich auch die Datenschutzbestimmungen und -richtlinien ändern.
Das globale Datenschutzrecht verändert sich
In den nächsten Monaten können Unternehmen mit Änderungen einer Reihe globaler Datenschutzbestimmungen rechnen – darunter auch der Gesetz zum Schutz der Verbrauchergesetze in Kalifornien (CCPA) in den USA, die Datenschutz-Grundverordnung (DSGVO) in Europa und das Gesetz zum Schutz personenbezogener Daten (PIPL) in China.
Die California Privacy Protection Agency hat diesen Monat eine gestartet spezielle Website Hier können Bürger mehr über ihre Datenschutzrechte erfahren. Greg Clark, Direktor für Produktmanagement bei OpenText Cybersecurity, geht davon aus, dass die Agentur die Zahl weiter steigern wird Datenschutzrechte der Bürger durch die Umsetzung von „strengeren Regeln für die Verwendung personenbezogener Daten und zusätzlichen Pflichten zur Durchführung von Risikobewertungen und Cybersicherheitsprüfungen“.
Auch in Europa sind große Veränderungen im Datenschutz im Gange. Clark prognostiziert, dass der Gesetzgeber die DSGVO erweitern wird, sodass sie „tiefere Wurzeln im Bereich Datenschutz, internationale Datenübertragungen und Harmonisierung von Durchsetzungsmaßnahmen“ hat.
Eine weitere große Änderung der DSGVO wird die Formalisierung der ePrivacy-Verordnung (ePR) sein, die laut Clark dazu beitragen wird, die Privatsphäre des Einzelnen im Zusammenhang mit der elektronischen Kommunikation zu schützen.
Auch der europäische Gesetzgeber treibt sein KI-Gesetz voran. Tim Wright, Partner bei Fladgate LLP, glaubt, dass das neue Gesetz „die Datenschutzrichtlinien und Best Practices für KI-Systeme, Gesichtserkennung und digitale IDs in Europa maßgeblich beeinflussen wird“. Best Practices für diese Lösungen werden sich wahrscheinlich auf die Einwilligung konzentrieren. Zugangskontrollen und Datenminimierung, fügt er hinzu.
Seit dem Austritt aus der EU strebt Großbritannien eine Abkehr von der DSGVO durch die Entwicklung einer eigenen Datenschutzverordnung an. König Charles skizzierte die Pläne der Regierung für einen Gesetzentwurf zum Datenschutz und zu digitalen Informationen (DPDI).
Andrew Bridges, DQ & Governance Manager bei Sagacity, erklärt gegenüber ISMS.online: „Der Gesetzentwurf sollte einen klaren unternehmensfreundlichen Rahmen einführen, der Schlüsselelemente der britischen DSGVO enthält und Organisationen mehr Vertrauen darüber gibt, wie und wann sie personenbezogene Daten verarbeiten können.“ , und wenn eine Einwilligung erforderlich ist.“
China hat mit dem Personal Information Protection Law (PIPL), dem Data Security Law (DS) und dem Cyber Security Law (CSL) auch ein robustes Datenschutzsystem entwickelt. Laut Clark von OpenText besteht das Hauptziel dieser Gesetze darin, die Rechte betroffener Personen in ganz China zu schützen.
Eine weitere Absicht der chinesischen Regierung bei der Ausarbeitung und Durchsetzung dieser Gesetze besteht jedoch wahrscheinlich darin, den Datenfluss zu verbessern, um „internationale Datenübertragungen zu unterstützen, eine sichere Nutzung des Datenaustauschs im Allgemeinen zu gewährleisten und den gesamten Datenlebenszyklus von der Erfassung bis zur Entsorgung zu verwalten“. er addiert.
Verbesserung der Benutzerrechte
Wenn es um die Schaffung neuer Datenschutzgesetze und die Weiterentwicklung bestehender Gesetze geht, scheinen sich Regierungen auf Bereiche wie Datentransparenz, Portabilität und Löschung zu konzentrieren.
Was die Datentransparenz betrifft, erklärt Protegrity-Vizepräsident Alasdair Anderson, dass der Gesetzgeber die Bedeutung „klarer, zugänglicher Informationen darüber, wie personenbezogene Daten verwendet werden“ betont.
Von Unternehmen wird heute immer mehr erwartet, dass sie die Transparenz darüber verbessern, wie sie mit Daten umgehen und sie nutzen. Viele Organisationen unternehmen Maßnahmen wie die Bereitstellung von Datenschutzhinweisen und Offenlegungen zur Datenerfassung und -nutzung als Teil eines „laufenden betrieblichen Prozesses mit damit verbundenem Kostenaufwand“, erklärt Anderson.
Gegenüber ISMS.online erklärt er, dass der Gesetzgeber es den Menschen auch einfacher mache, ihre Daten zwischen Dienstleistern zu übertragen. Dies hat die Interoperabilität zwischen Diensten verbessert und Benutzern mehr Kontrolle über ihre Daten gegeben. Solche Trends könnten „zu einer Konvergenz der Standards für den Datenaustausch, die Speicherung und vielleicht sogar den Schutz der Privatsphäre führen“, argumentiert Anderson.
Obwohl Datentransparenz und Datenportabilitätsrechte in letzter Zeit große Fortschritte gemacht haben, räumt Anderson ein, dass das Recht auf Datenlöschung für reife Unternehmen mit verteilten Infrastrukturen und Prozessen weiterhin eine erhebliche Herausforderung darstellt.
„Eine kosteneffiziente Betriebsabwicklung kann nur durch einen fortschrittlichen Technologieansatz für das Daten- und Datenschutzmanagement erreicht werden“, erklärt er. „Die Alternative, die nicht ungewöhnlich ist, besteht darin, dass die Mitarbeiter erhebliche Ressourcen aufwenden, um zu versuchen, Benutzerinformationen zu finden.“
Wie Standards helfen können
Für Unternehmen, die die kontinuierliche Einhaltung sich ändernder Datenschutzbestimmungen sicherstellen und die Datensicherheit verbessern möchten, könnte die Einführung eines anerkannten Industriestandards wie ISO 27701 ein guter erster Schritt sein.
Clark von OpenText ermutigt Unternehmen, den Standard zu befolgen, da er ihnen „eine Grundlage für einen verbesserten Datenschutz“ bietet. Er beschreibt es als eine Erweiterung von ISO 27001 die „spezifische Kontrollen“ für den Schutz personenbezogener Daten festlegt.
„Es schafft einen gemeinsamen Rahmen, der dazu beiträgt, die Einhaltung von Datenschutzbestimmungen wie DSGVO und CCPA sicherzustellen, die Risiken bei der Verwaltung personenbezogener Daten zu mindern und das Vertrauen bei externen und internen Interessengruppen zu stärken“, erklärt er.
Da die Online-Sicherheitsbedrohungen zunehmen, wird die Umsetzung der ISO 27701 könnte Organisationen auch dabei helfen, die Cybersicherheit zu stärken. Laut Clark ist dies möglich, weil ISO 27701 „Praktiken zur Identifizierung und proaktiven Bewertung von Risiken und Schwachstellen“ festlegt.
Auf diese Weise könnte es Unternehmen dabei helfen, die Wahrscheinlichkeit finanzieller Verluste, Reputationsschäden und Ausfallzeiten im Zusammenhang mit Datenschutzverletzungen zu verringern und die Gesamteffizienz des Betriebs zu verbessern.
„Die Implementierung von ISO 27701 trägt dazu bei, Datenverarbeitungsverfahren zu rationalisieren und das Ressourcenmanagement für den Datenschutz zu optimieren. Dies führt zu Kosteneinsparungen und einer verbesserten betrieblichen Effizienz in einer Organisation“, fügt er hinzu.
Vor der Einführung von ISO 27701 empfiehlt Clark Unternehmen, die in der Norm festgelegten Anforderungen zu überprüfen und etwaige Lücken in ihren Datenpraktiken zu identifizieren. Dies wird es ihnen ermöglichen, eine Compliance-Roadmap zu erstellen, Synergien bei Cybersicherheitspraktiken zu erkennen und Automatisierungstechnologien zu nutzen.
Die Datenerfassung hat für Unternehmen enorme Vorteile, doch ohne geeignete Sicherheitsmaßnahmen und Richtlinien kann sie auch ein großes Unternehmensrisiko darstellen. Um Daten ethisch und verantwortungsvoll zu nutzen, müssen Unternehmen die damit verbundenen Risiken verstehen und die Branchenvorschriften einhalten. Klar ist, dass ISO 27701 dies viel einfacher macht.
Den Erfolg freischalten: Ein Leitfaden zur Implementierung von ISO 27701
Wir haben eine praktische einseitige Roadmap erstellt, die in fünf Hauptschwerpunkte unterteilt ist, um ISO 27701 in Ihrem Unternehmen zu erreichen und zu erreichen. Es muss kein Formular ausgefüllt werden. Laden Sie das PDF noch heute herunter, um einen einfachen Kickstarter auf Ihrem Weg zu einem effektiveren Datenschutz zu erhalten.
