Blog

Sie haben die GDPR-Konformität erreicht - was nun?

Geschrieben von am Juli 23, 2018

asset_blog_youve_achieved_GDPR_compliance_now_was

Für die Organisationen, die von der Allgemeinen Datenschutzverordnung (DSGVO) betroffen sind, waren die Monate und Wochen bis zum 25. Mai schnell und wütend. Als sich die Frist abzeichnete, war der Fokus einfach: alles tun, um die Einhaltung zu erreichen.

Jetzt, da die Frist in vielerlei Hinsicht abgelaufen ist, ist der Druck weg. Aber auf andere Weise ist es nur der Anfang. Wenn Sie sich in die tägliche Compliance einarbeiten, stellen Sie möglicherweise fest, dass die Taktik, mit der Sie die Ziellinie erreicht haben, nicht die beste Lösung für Ihre laufenden Anforderungen ist.

„Unternehmen greifen auf temporäre Kontrollen und manuelle Prozesse zurück, um die Einhaltung sicherzustellen, bis sie dauerhaftere IT-Lösungen implementieren. Nach Ablauf der Frist im Mai bleibt noch viel zu tun, wenn Unternehmen solche Herausforderungen bewältigen und langfristig nachhaltige Lösungen entwickeln möchten. ”

- McKinsey & Company

Um sicherzustellen, dass Sie die Einhaltung der DSGVO auf lange Sicht aufrechterhalten können, müssen Sie sich möglicherweise eingehender mit vier Schlüsselbereichen befassen: Compliance-Framework, Incident Management, Anforderungsmanagement und Sichtbarkeit von Führungskräften.

Compliance-Framework

Im Wettlauf um die Einhaltung der Compliance-Frist haben Sie möglicherweise manuelle Lösungen und Problemumgehungen wie Tabellenkalkulationen zusammengestellt. Wenn Sie jedoch weiterhin ineffiziente und Ad-hoc-Governance- und Managementmethoden anwenden, sind Sie einem unangemessenen Risiko ausgesetzt.

Unternehmen können mit einer Geldstrafe von bis zu 4% ihres weltweiten Jahresumsatzes oder 20 Mio. EUR belegt werden, je nachdem, welcher Wert höher ist, wenn sie die GDPR-Standards nicht einhalten.

Angesichts der möglicherweise verheerenden Bußgelder im Zusammenhang mit Verstößen sind Tabellenkalkulationen einfach keine nachhaltige Lösung. Sie benötigen eine einfache Möglichkeit, GDPR-Artikel - wie Artikel, in denen Einwilligung (7), Datenzugriff (15, 16, 17, 20), Schutz (25) und Sicherheit (32) aufgeführt sind - Unternehmenskontrollen zuzuordnen, um sicherzustellen, dass Sie über Ihre Basis verfügen bedeckt.

Incident Management

In Ihrer Eile zur Einhaltung verwenden Sie möglicherweise Stop-Gap-Lösungen, z. B. die doppelte Nutzung Ihrer Helpdesk-Software, um GDPR-Ereignisse und -Vorfälle zu verwalten. Sollte es jedoch zu einem tatsächlichen Vorfall kommen, sind die sofortige Identifizierung, die Sperrung des Zugriffs auf Vorfalldaten und die schnelle Kommunikation von größter Bedeutung.

„Unternehmen müssen auch sicherstellen, dass die während der DSGVO-Vorbereitungen entwickelten Prozesse in der Praxis funktionieren und die erwarteten Ergebnisse liefern.“ - McKinsey & Company

Gemäß Artikel 33 müssen Sie die Aufsichtsbehörde innerhalb von 72 Stunden nach einem Verstoß gegen personenbezogene Daten benachrichtigen. Darüber hinaus müssen Sie der betroffenen Person unverzüglich Verstöße mit hohem Risiko mitteilen, wie in Artikel 34 beschrieben. Zum Schutz vor zusätzlichen Bußgeldern (bis zu 2% des weltweiten Jahresumsatzes) bei Nichterfüllung dieser Anforderungen benötigen Sie eine formelle und zuverlässiger Prozess, um sicherzustellen, dass alle Ereignisse und Vorfälle verwaltet, kommuniziert und überprüfbar sind.

Anforderungsmanagement

GDPR hat zwar viele Ebenen, aber letztendlich geht es um die Kontrolle personenbezogener Daten. Den betroffenen Personen Zugriff auf die Daten zu gewähren, die Sie über sie speichern, und ihnen die Kontrolle darüber zu geben, wie diese Daten verwendet werden (Artikel 15 bis 20), sind die Grundlagen der Verordnung.

„… Unternehmen müssen sicherstellen, dass sie über genügend Personal, angemessene Schulungen, einen angemessenen Prozess und ein Ticketsystem verfügen, das für die Bearbeitung entsprechender Anfragen ausgestattet ist.“ - McKinsey & Company

Da es auch das verbraucherorientierteste Teil des Compliance-Puzzles ist, ist Ihre Fähigkeit, den Zugriff auf personenbezogene Daten zu ermöglichen und zu verwalten, von entscheidender Bedeutung. Während die Anleitung dazu unscharf ist, sind die Regeln für das Engagement unkompliziert. Diejenigen, die über ein einfaches Self-Service-Portal das beste Kundenerlebnis bieten, werden gewinnen. Und diejenigen, die nicht riskieren, Kunden an fähigere Konkurrenten zu verlieren.

Executive Sichtbarkeit

GDPR-Anforderungen in Bezug auf Datenschutz-Folgenabschätzungen (DPIAs) - wie sie in den Artikeln 35, 37, 38 und 39 aufgeführt sind - können nicht durch Kürzungen aufrechterhalten werden. Wenn Sie sich für Aspekte der DSGVO auf unterschiedliche und / oder manuelle Systeme verlassen, werden Sie auch durch die regelmäßigen Datenprüfungen, Überprüfungen und Datenverwaltungsübungen herausgefordert, die zur Aufrechterhaltung der Compliance erforderlich sind.

Sie müssen der Geschäftsleitung und gegebenenfalls Ihrem Datenschutzbeauftragten (DPO) eine einheitliche Sicht auf Compliance Governance und Management bieten. Über die Compliance hinaus ist Ihre Transparenz über die Anzahl und Art der von Ihnen verwalteten Anfragen und Vorfälle der Schlüssel zur Durchführung laufender Risikobewertungen und Lückenanalysen, damit Sie Ihre Compliance-Haltung optimieren und verfeinern können.
Fazit

Als IT-Profi sind Sie der Herausforderung von Datenschutz und Datenschutz nicht fremd. Die DSGVO erweitert Ihre Anforderungen an Sicherheitsgovernance und Risikomanagement jedoch um eine völlig neue Ebene. Mehr denn je müssen Ihr Service Desk und Ihre Sicherheitsverfahren eng miteinander verbunden sein.

Das Cherwell Information Security Management-Lösung (ISMS) Integriert eine Reihe von Funktionen für das Sicherheitsmanagement in Unternehmen, die den Anforderungen von Sicherheits- und Service Desk-Führungskräften gerecht werden. Wenn Sie sich für Ihre Datenverwaltung und -verwaltung auf das Cherwell ISMS verlassen, können Sie:

  • Vereinfachen Sie die Zuordnung von GDPR-Artikeln zu Ihren Sicherheitskontrollen.
  • Optimieren Sie Ihre Sicherheitskonformität und entlasten Sie Ihr nächstes Audit.
  • Beschleunigen Sie die Behandlung von Sicherheitsereignissen und Vorfällen, um Ihre Compliance zu unterstützen.
  • Erweitern Sie die Funktionen des Self-Service-Portals, um den Zugriff auf betroffene Personen zu ermöglichen.
  • Automatisieren Sie Risikobewertungen, um Risiken besser zu antizipieren und zu mindern.

Sie haben die GDPR-Konformität erreicht. Jetzt ist es Zeit, es nachhaltig zu machen. 

Lernen Sie Cherwells Information Security Management Solution kennen.

Lerne jetzt

 

Zitate von McKinsey & Company stammen von: Daniel Mikkelsen, Henning Soller Malin, Strandell-Jansson und Marie Wahlers, „Einhaltung der DSGVO nach Mai 2018: Eine anhaltende Herausforderung“, McKinsey & Company, April 2018.

Ivanti übernimmt Cherwell, um personalisierte Mitarbeitererfahrungen am Arbeitsplatz überall zu bieten