安全专家在GDPR检查表上重量
在欧盟一般数据保护规例(GDPR)和新的数据保护法案的符合性截止日期之前,该法规规定了英国法律,安全专家已经分享了他们在新数据保护开始时关注的组织的最高提示时代。
对于他们的GDPR实施中“后面”的组织,安全公司Outpost24的首席安全官员MartinJartelius Martin Jartelius表示,他们应该确保他们有:
枚举所有子处理器。执行数据隐私影响评估。配备的网站和任何其他通信手段,其中发生数据处理以符合符合方式的同意并记录此过程。明确告知用户如何执行他们的擦除权。知情人员没有通过电子邮件或即时通讯个人数据,或使用新平台而无需法律批准,因为未经同意将有子处理。接下来,Jartelius表示,组织应该计划如何处理可能来自杀戮或检查员的任何沟通。
“了解,如果发生某些事情,透明度和对受影响的用户的清晰通信是避免罚款的关键,以及遵守法律的右侧 - 透明度将是避免灾难的关键。一旦那些就到位,你就可以赶上追赶并随着你的余下的实现而回到轨道上,“他说。
ESET的高级数据保护和许可律师TomášMičo表示,GDPR即将改变组织对个人数据处理的方式,以及保护数据主体权利,以及该组织应在五个关键领域进行检查:
原则:在GDPR规定的原则方面需要综合分析和验证,这是GDPR遵从性最重要的部分。“必须存在法律和透明度,目的和储存限制,数据最小化,准确性和保密的完整性,必须存在在数据处理的每个阶段,“Mičo说。问责制:将原则嵌入数据处理活动后,检查组织证明它们按预期工作的能力是很重要的。“数据控制器必须能够提供坚定的证据,以支持通过数据保护当局调查的遵从性的索赔, “Mičo说。数据处理器安排:所有以前的签约都与数据处理程序进行修订并进行修订,以确保遵守GDPR的要求。数据受试者的权利:控制器应准备和测试数据主题请求的最坏情况场景,只是为了确保可以在GDPR所需的时间段内给出适当的答案。数据保护官:在具有法律义务指定DPO的数据控制器的情况下,选择过程应该已经完成,或者至少启动。Gavin Millard,Tenable技术总监表示,重要的是要记住良好的安全性并未通过采购订单的零数量来衡量,但通过技术在环境中运行的运行方式。他说:“一个康复的10,000英镑的安全技术可能比部署的10万英镑不足,”他说。
欧洲副主席阿德里安·比萨斯(Cyber Beactian)表示,组织“清单”的顶级产品之一是“被遗忘的权利”,因为它是公司在时间内实施的更困难的要求之一。“替代方法,例如代码的变化或应用程序的变更是不扩展的战术解决问题。他说,需要一种创新的方法来帮助公司加速他们遵守这一要求的能力,“他说。
Imperva的首席技术官Terry Ray表示,在数据监管方面还有两个常见的错误公司。首先是未能确保他们知道所有调节相关数据存储在其环境中,并且他们知道何时查看或修改数据时。
“这似乎很容易,直到客户意识到大多数审计员不接受私有数据所在的简单位置列表。相反,知识渊博的审计师希望公司证明只存在相关数据,它应该存在它所在的位置,而不是它的位置。
“更重要的是,该公司需要证明私人数据在组织中的其他地方存在”不“,并且在本组织以外的情况下没有被共享。这改变了许多组织的过程,从制作私有数据应该驻留的已知位置的简单库存,以完全主动地审查寻找不属于的私人数据的所有数据存储系统,或落在私人报告程序之外这可能会让数据隐私列表中的此类位置留出。
“违规后,用'我不知道部门回答数据治理机构已将私人数据复制到另一台服务器'不是一个适当的防御,”他说。
其次,组织倾向于未能审核对私人数据的访问,这通常与不知道存储个人数据的第一次故障相关。但是,假设组织确实具有有效的数据分类过程,并且知道所有数据的数据,它需要保证对其进行审计访问,“雷。
“大多数审计师正在寻找公司知道基础知识的证明:谁查看了数据?他们是如何访问它的?什么时候发生的?他们来自哪里以及数据在哪里?最重要的是,并且经常错过,是访问的,访问了多少,应该访问多少?违约后调查人员已经提出了最后三个问题多年来,现在已经达到监管审计,因为公司在数据丢失情况下有效地回答它们,“他说。
公司应该完全希望有次要的,更深入的问题围绕私人数据的位置,以及是否正在适当访问私人数据,警告射线。“这两者都需要许多公司的勤奋程度,即使今天有这么短的时间去,仍然无法回答。时间将判断GDPR是否软化了[审计师]语言,通过更具失败的公司或者他们是否使一些公司举例说明,以便遵守别人,“他说。
虽然组织正在争抢,以确保达到合规截止日期,但近一半的英国消费者仍未听说过GDPR,调查显示。
尽管欧洲联盟的高调竞选活动,但第三(31%)的人表示,他们不知道改变对他们意味着什么,而且只有一个(18%)觉得他们完全理解了变化的影响,根据虚拟私有网络普通服务Top10VPN.com的调查
当被问及细节时,只有2,000名受访者中只有10%可以准确地识别有关GDP的少数细节,例如同意是否需要主动行动或是否可以改变主意。
在10个中有三个(28%)是在实施规则之前删除他们持有的所有个人信息的印象。
然而,超过三分之二(67%)确实理解,裁决下的同意必须是数据主题的“积极行动”,但10人称有一个人认为,同意公司一次意味着你不能改变你的在以后的日期。
不到一半(47%)知道控制数据的人有一个月,同意来自欧盟公民的数据访问请求。
“周围的评论和建议近几周已经上涨到了一个心理,因此并不令人惊讶的是,不是每个人都对他们的变化充分了解它们,”Top10VPN.com的研究负责人Simon Migliano说。
“虽然记住新的GDPR规则的每个细节都有一些不切实际,但有一些关键元素可能很有用的是要知道的。
“例如,同意一家公司一次处理他们的数据并不意味着您无法稍后改变主意,然后撤回同意。欧盟公民还有权以“合理的间隔”要求向数据询问,并控制数据的人有一个月符合要求。
“虽然这一点被誉为欧盟法律,但值得注意的是,即使在欧盟公民外面的欧盟公民以外的公司也必须遵守。
“GDPR应该看到公司对他们所拥有的个人信息保持更严格的公司,因此这应该,从理论上,改善欧盟公民的安全意识和保护水平。在一年中看到英国通过指控似乎未经请求的私人信息的指控摇动,GDPR标志着更大个人控制他们的数据 - 这只能是一件好事,“他说。