Es gibt viele Wachstumstreiber, die ein Unternehmen und seine Lieferkette thematisieren müssen Informationssicherheit und Privatsphäre ernst nehmen. Dazu gehören große Bedrohungen durch Cyberkriminalität, die Unternehmen durch eine einfache Datenschutzverletzung töten können. Trotz dieser Bedrohung investieren nicht alle Unternehmen in Informationen, die es zu pflegen und zu schützen gilt, oder kümmern sich vielleicht darum.
Es ist also keine Überraschung, dass Vorschriften wie die DSGVO wurde zum Schutz personenbezogener Daten und zur Verbesserung der Privatsphäre des Einzelnen ins Leben gerufen. Der DSGVO ist ein starker externer Treiber, der Unternehmen dazu zwingt, den Datenschutz und die Privatsphäre zu verbessern.
Die DSGVO ist ein zwingendes Ereignis für Veränderungen, doch obwohl sie am 25. Mai 2018 in Kraft getreten ist, haben nicht alle Organisationen die gleichen Fortschritte gemacht. Wir sehen derzeit vier Ebenen der Absichten rund um diese neue Verordnung. Wo sehen Sie also Ihre Organisation und was können Sie sonst noch dagegen tun?
Diejenigen, die glauben, dass die DSGVO sie nicht betrifft, oder diejenigen, die der Meinung sind, dass ihre aktuelle Situation gut genug ist, um die Anforderungen einzuhalten, obwohl sie Datenverantwortliche und -verarbeiter sind. Kein Wunder, dass die Büro des Informationskommissars (ICO) hat wahrscheinlich nur einen Bruchteil der Organisationen registriert. Unsere informellen Umfragen ergaben, dass viele Organisationen nicht einmal wussten, dass sie beim ICO registriert werden sollten, geschweige denn das neue Datenschutz- und Schutzsystem übernehmen sollten.
Diejenigen, die „bewusst inkompetent“ und (wahrscheinlich) nicht konform sind, aber nicht bereit sind, jetzt zu handeln. Sie erkennen jedoch die Notwendigkeit, dies zu tun, sobald in ihrem Sektor Bußgelder verhängt werden oder von einflussreichen Kunden und Branchenakteuren eine stärkere Compliance-Steigerung gefordert wird.
Diese reagieren im Allgemeinen auf Forderungen mächtiger Kunden und besorgter interner Stakeholder im Zusammenhang mit der Verarbeitung personenbezogener Daten. Diese Organisationen sind offen für entsprechende Änderungen, um ihre Verträge beizubehalten und bei der Verarbeitung konform zu sein. Viele sehen die Vorteile, mit einem sichtbaren ISMS „zu zeigen, dass sie arbeiten“, um das Vertrauen ihrer Stakeholder zu gewinnen. Sie sind derzeit weniger daran interessiert, sich offen mit anderen wichtigen Informationsmanagementbereichen wie geistigen Eigentumsrechten, Finanzen, Handelsverträgen, Softwarecode, Geschäftsplaninformationen usw. zu befassen.
Diejenigen, die die DSGVO als Chance sehen, voranzukommen und die Informationssicherheit insgesamt (über personenbezogene Daten an sich hinaus) zu verbessern, indem sie ihren Ansatz gegenüber Stakeholdern als echtes organisatorisches Kapital und nicht als Belastung stärken. Es macht auch die Investition in ein Informationssicherheits-Managementsystem zukunftssicher (ISMS) und senkt die Gesamtbetriebskosten. Sie sehen den Vorteil darin, neben der Regulierung auf anerkannte Standards wie ISO 27001:2013 oder NIST Cyber Security hinzuarbeiten oder diese zu befolgen.
Die meisten Organisationen, die „leugnen“, und einige andere glauben, dass sie es tun werden Seien Sie DSGVO-konform da sie über eine dokumentierte „Informationssicherheitsrichtlinie“ verfügen. Es wird in einem freigegebenen Ordner gespeichert, den sie auf Anfrage an Kunden weiterleiten. Leider ist die konkrete Regelung selbst mit rund 180 zu berücksichtigenden Anforderungen etwas komplexer und Käufer werden immer schlauer! Sicherlich muss es einen besseren und pragmatischeren Weg geben, um zu zeigen, dass Ihnen (nur) persönliche Daten anvertraut werden können, ganz zu schweigen von anderen wertvollen Daten Informationsvermögen?
Die DSGVO stellt auch eine etwas größere Herausforderung dar, da es keine offizielle EU-Grundlage gibt, anhand derer die Einhaltung genau gemessen werden kann. Viele Organisationen fordern dies Compliance aus ihrer Lieferkette zu etwas, das „ihre Sicht auf die DSGVO“ ist, das für den Rest des Kundenstamms dieses Lieferanten möglicherweise über- oder unterausgereift ist.
Vielleicht noch schlimmer: Einige Kunden fordern eine einfache, aber unwissende Risikoübertragung in einer erzwungenen Vertragsaktualisierung und überlassen es dem Lieferanten, herauszufinden, wie er diese einhalten kann. Verantwortungsbewusste Kunden und ihre wichtigen Lieferanten werden gemeinsam daran arbeiten, was angesichts der gefährdeten Informationen und des Werts der Beziehung (und etwaiger Verträge) akzeptabel ist.
Von der EU genehmigte DSGVO-Datenschutzsiegel und -Zertifizierungen dürften noch in weiter Ferne liegen. Was können Sie also in der Zwischenzeit tun, um zu zeigen, dass Sie zumindest in Bezug auf die DSGVO vertrauenswürdig sind, und gleichzeitig pragmatisch für Ihr Unternehmen und die meisten, wenn nicht alle Ihrer Kunden zu bleiben? Ein Informationssicherheitspolitik Dokument reicht nicht aus. Ein ISMS ist viel besser und innerhalb dieses ISMS sollten Sie idealerweise einer anerkannten Methode oder Rahmenstruktur folgen, der Ihre Stakeholder vertrauen und mit der sie ihre Fortschritte vergleichen können.
Wir hatten das Gefühl, wir hätten es getan
das Beste aus beiden Welten. Wir waren
in der Lage, unsere zu nutzen
bestehende Prozesse,
& das Adoptieren, Anpassen
Inhalte gaben uns Neues
Tiefe unseres ISMS.
Uns fällt kein Unternehmen ein, dessen Service mit ISMS.online mithalten kann.
Das Information Commissioner's Office ist die britische Aufsichtsbehörde für die DSGVO. Ob Sie sie mögen oder verabscheuen, sie geben sich alle Mühe, UK PLC bei der Umsetzung der Verordnung zu unterstützen und eine Kultur des Datenschutzes und der Privatsphäre durch Technikgestaltung zu entwickeln.
Kommissarin Elizabeth Denham sagte:
„…es ist klar, dass einige Unternehmen in diesem sich verändernden Umfeld erfolgreich sein werden. Sie werden diejenigen sein, die das ganze Thema mit einer Denkweise betrachten, die die Wünsche der Verbraucher wertschätzt. Heutzutage denken viele Unternehmen, dass es beim Datenschutz nur noch um „Compliance“ geht. Es ist eine Denkweise, die besagt: „Meine Aufgabe ist es, die gesetzlichen Anforderungen zu erfüllen.“ „Solange ich die richtigen Kästchen ankreuze, wird es uns gut gehen.“
Aber um die Herausforderungen zu meistern, müssen wir von einer Compliance-Denkweise zu einer Engagement-Denkweise übergehen: der Verpflichtung, Daten vertraulich und ethisch zu verwalten.
Nicht nur, weil es das Gesetz ist, sondern weil es Teil einer grundlegenden guten Geschäftspraxis ist … Rechenschaftspflicht fördert eine Vorabinvestition in die Grundlagen des Datenschutzes, zahlt sich aber auf der ganzen Linie aus, nicht nur in Form einer besseren Einhaltung gesetzlicher Vorschriften, sondern auch eines Wettbewerbsvorteils. Das ist das Zuckerbrot, um es richtig zu machen. Und da ist auch ein ziemlich großer Stock…“
Das ICO ist die britische Aufsichtsbehörde und die Stelle für das Vereinigte Königreich, die Bußgelder verhängt (aus Sicht der Bedrohung). Daher ist es sinnvoll zu wissen, was die DSGVO aus ihrer Sicht bedeutet, wenn Sie sich im Vereinigten Königreich befinden. Ihre ursprünglichen 12 Schritte zur DSGVO eigneten sich hervorragend für die Schlagzeilenkommunikation, waren aber einfach zu hoch für die Umsetzung im Vergleich zum Standard. Als solche wurden sie freigelassen sieben umfassende Checklisten die in den letzten 6–12 Monaten aktualisiert und erweitert wurden. Wir empfehlen sie jedem.
Das Ausfüllen dieser Checklisten als Rahmen zum Nachweis von Compliance und Engagement ist ein guter Ausgangspunkt. Es hilft dabei, Bereiche mit Stärken und Schwachstellen zu identifizieren und dann die Grundlage für einen priorisierten Investitionsplan zu bilden. Da die Verordnung risikobasiert ist (anstatt sehr spezifische Kontrollen vorzuschreiben), bedeutet dies, dass Sie auch klarer nachweisen können, warum Sie einer ICO-Empfehlung gefolgt sind oder nicht. Es bietet auch eine objektivere Perspektive als viele der derzeit auf dem Markt tätigen Schlangenölfirmen, die ihre eigenen Methoden verkaufen, die einer künftigen Prüfung möglicherweise nicht standhalten.
Organisationen, die leicht beschreiben und nachweisen können, wie sie die DSGVO berücksichtigt und umgesetzt haben (entweder mit den ICO-Checklisten oder entsprechend umfassenden Alternativen), werden mit ziemlicher Sicherheit von der Regulierungsbehörde besser aufgenommen, wenn es dennoch zu etwas Schrecklichem wie einem Datenverstoß kommt. Sie haben auch die unten aufgeführten „Aufgaben“ erfüllt und damit begonnen, die Grundlage für ein ISMS zu schaffen, dem andere vertrauen können!
Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen
Während im Rahmen der ICO 120-Checklisten 7 Aktivitäten zu berücksichtigen sind, lassen sie sich grob wie folgt unterteilen:
| Aufgaben, die im Hinblick auf die DSGVO erledigt werden müssen | Können Sie das jetzt beweisen? | |
|---|---|---|
| 1 | Von Ihnen gespeicherte Informationen:
|
Ja Nein |
| 2 | Risiken: Vertraulichkeit, Integrität, Verfügbarkeit (CIA)
|
Ja Nein |
| 3 | Richtlinien- und Kontrollmanagement:
|
Ja Nein |
| 4 | Bewertungen und Anfragen zur Gewährleistung von Datenschutz und Sicherheit durch Design:
|
Ja Nein |
| 5 | Vorfälle und BCP:
|
Ja Nein |
| 6 | Mitarbeiterengagement:
|
Ja Nein |
| 7 | Lieferkette:
|
Ja Nein |
| 8 | Gesamtsystemkoordination und -sicherung:
|
Ja Nein |
100 % unserer Benutzer erreichen beim ersten Mal die ISO 27001-Zertifizierung