Die 9 wichtigsten Gründe, warum Sie einen Datenschutzrahmen brauchen
Datenschutz ist ein geschäftliches, technologisches und rechtliches Thema, das jeden Tag an Bedeutung gewinnt. Hier erfahren Sie, wie ein Datenschutzrahmen Ihrem Unternehmen helfen kann, damit umzugehen.
Wichtige Punkte
- Neue Vorschriften, Technologien und Geschäftsvereinbarungen legen die Messlatte für den Schutz der Privatsphäre immer höher.
- Ein Datenschutzrahmen kann Ihrem Unternehmen dabei helfen, die Anforderungen von heute zu erfüllen und sich auf die Anforderungen von morgen einzustellen.
- Unternehmen können auf das NIST-Datenschutz-Framework, Anbieter von Datenschutztechnologien, Cloud-Dienstleister und andere Quellen zurückgreifen, um ihre eigenen Frameworks zu implementieren.
Der Datenschutz ist ein bewegliches Ziel, und Ihre Aufsichtsbehörden, Kunden, Mitarbeiter und Partner erwarten von Ihrem Unternehmen, dass es Schritt hält. Ein Rahmenwerk für den Datenschutz ist ein Instrument, das Ihnen helfen kann, dieser Herausforderung mit einer Kombination aus Disziplin und Flexibilität zu begegnen, indem es die Datenschutzrichtlinien und -verfahren festlegt, die Ihr Unternehmen befolgt.
Warum sind Rahmenbedingungen für den Datenschutz wichtig?
Politische, geschäftliche und technologische Entwicklungen üben weiterhin Druck auf den Umgang der Unternehmen mit dem Datenschutz aus und treiben sie dazu an, Datenschutzrahmen zu schaffen, die unmittelbare Bedenken ausräumen und ihnen helfen, sich an Veränderungen anzupassen. Hier ist, was passiert:
- US-Politik: Die Aussichten auf eine umfassende nationale Datenschutzpolitik werden immer besser,[1] auch wenn die einzelnen Bundesstaaten weiterhin ihre eigenen Vorschriften einführen und die Regierungsbehörden einen Flickenteppich älterer Vorschriften in den Büchern durchsetzen.
- Internationale Politik: Die europäische Datenschutz-Grundverordnung (GDPR) hat einen globalen Standard gesetzt, der von vielen anderen Ländern und Orten übernommen wurde. Zur Durchsetzung wurden Hunderte von Unternehmen mit Geldstrafen belegt. Doch nun, da die GDPR fünf Jahre alt ist, fordern einige politische Entscheidungsträger ein Umdenken.[2]
- Business: Die derzeitigen Fernarbeitsregelungen der Unternehmen sind eine Belastungsprobe für die Datenschutzbestimmungen und ihre Einhaltung durch die Mitarbeiter und die Anbieter von Cloud-Diensten.
- Verbraucher: Der Druck der Verbraucher wächst, und eine kürzlich durchgeführte Umfrage zeigt, dass fast 80 % der Menschen über den Schutz ihrer Daten besorgt sind.[3]
- Technologie: Innovationen wie künstliche Intelligenz und Gesichtserkennung werfen erhebliche neue Datenschutzprobleme auf.
- Sicherheit: Datenschutzverletzungen stellen eine der größten Bedrohungen für den Datenschutz dar, da bei 80 % dieser Vorfälle persönlich identifizierbare Informationen (PII) gestohlen werden.[4] Die Bedrohung nimmt zu, da im Jahr 2020 weit mehr Datensätze als je zuvor durch Datenschutzverletzungen offengelegt werden.[5]
Gründe, warum Ihr Unternehmen einen Datenschutzrahmen braucht
Ein Datenschutz-Rahmenwerk ist ein lebendiges Dokument mit Richtlinien, die je nach Entwicklung der Ereignisse angepasst werden können, so dass Ihr Unternehmen in diesem turbulenten Umfeld erfolgreich sein kann. Das National Institute of Standards and Technology (NIST), die US-amerikanische Normungsorganisation, nennt drei taktische Gründe, warum Ihr Unternehmen ein Datenschutz-Rahmenwerk braucht:
- Entscheidungsfindung: Ein Rahmen kann die ethische Entscheidungsfindung in der Produktentwicklung und im Betrieb unterstützen - Optimierung der Datennutzung bei gleichzeitiger Minimierung negativer Folgen für die Privatsphäre des Einzelnen.
- Konformität: Es kann dazu beitragen, die aktuellen Vorschriften einzuhalten und gleichzeitig zukunftssicher gegen sich ändernde Vorschriften und Technologien zu sein.
- Kommunikation und Zusammenarbeit: Die schriftlichen Richtlinien Ihres Unternehmens helfen Ihnen, Ihre Datenschutzpraktiken innerhalb Ihres Unternehmens und darüber hinaus gegenüber Kunden, Partnern und Aufsichtsbehörden zu kommunizieren.
Was ist das NIST Privacy Framework?
Das NIST-Rahmenwerk für den Datenschutz ist etwas mehr als ein Jahr alt und wird immer noch weiterentwickelt, und viele Unternehmen haben es als Grundlage für ihre eigenen Rahmenwerke übernommen. [6] Die freiwilligen Richtlinien des NIST werden weithin befolgt, da von staatlichen Auftragnehmern oft erwartet wird, dass sie bei der Beschaffung im öffentlichen Sektor eingehalten werden, was sich auch auf die Beschaffung im privaten Sektor in den USA und im Ausland auswirkt. Der Datenschutzrahmen des Instituts ist so konzipiert, dass er mit dem Cybersicherheitsrahmen zusammenarbeitet.
Das NIST-Rahmenwerk zum Schutz der Privatsphäre ist nach Geschäftsfaktoren, organisatorischen Rollen und Verantwortlichkeiten sowie Aktivitäten zum Schutz der Privatsphäre gegliedert. [7] Es gliedert sich wie folgt:
- Funktionen: Welche Überlegungen zum Datenschutzrisikomanagement auf höchster Ebene fließen in die Identifizierung, Steuerung, Kontrolle, Kommunikation und den Schutz sensibler Daten ein? Beispielsweise würden Governance-Entscheidungen regulatorische Anforderungen anerkennen und Unternehmensrichtlinien zur Priorisierung der Bemühungen festlegen. Fragen der Kontrolle würden die Datenverwaltung und das Datenmanagement leiten. Entscheidungen über den Schutz würden sich auf Datenschutzereignisse im Zusammenhang mit Cybersicherheit beziehen, wie z. B. Datenverletzungen.
- Profile: Wie gut erfüllt Ihr Unternehmen derzeit jede dieser Funktionen? Welches Leistungsniveau wünschen Sie sich?
- Implementierung: Welche Prozesse und Ressourcen sind erforderlich, um Ihr Zielprofil zu erreichen? Hier wird die Liste des NIST recht lang und detailliert, einschließlich Risikobewertungen, Bestandsaufnahmen, Sensibilisierungsprogramme, Überwachungsmechanismen und mehr.
Unternehmen können sich bei der Gestaltung ihrer Datenschutzrahmenwerke an dem NIST-Modell oder an anderen orientieren. So hat beispielsweise die Internationale Organisation für Normung (ISO) ein weiteres allgemeines Rahmenwerk veröffentlicht. [8] In der Gesundheitsbranche wurde von zwei Interessengruppen ein "Draft Consumer Privacy Framework for Health Data" (Entwurf eines Rahmenwerks für den Verbraucherdatenschutz für Gesundheitsdaten) veröffentlicht, das Lücken im Datenschutz des Health Insurance Portability and Accountability Act (HIPAA) schließen soll. [9]
Unabhängig davon, wofür Sie sich entscheiden, darf Ihr Unternehmen seinen Datenschutzrahmen nicht als einmalige Angelegenheit betrachten, sondern muss ihn regelmäßig überprüfen, überarbeiten, kommunizieren und seine Mitarbeiter schulen, um mit den neuen Entwicklungen Schritt zu halten.
Implementierung von Datenschutz-Rahmenwerken
Auf technischer Ebene umfasst die Umsetzung des Datenschutzrahmens Prozesse, die eines der folgenden Elemente beinhalten können:
- Identifizieren und priorisieren Sie vertrauliche Informationen, wie z. B. Kreditkartennummern von Kunden oder Sozialversicherungsnummern von Mitarbeitern.
- Stellen Sie dar, wie vertrauliche Informationen in Ihrem Unternehmen fließen und wer daran beteiligt ist.
- Setzen Sie Grenzen für das Sammeln, Aufbewahren, Zugreifen, Verwenden und Weitergeben von Informationen.
- Einholung der Zustimmung des Einzelnen.
- Verschlüsselung, De-Identifizierung und Anonymisierung persönlicher Daten.
- Probenahme, Überprüfung, Analyse und Weiterleitung markierter Daten.
- Finden und löschen Sie Kundeninformationen auf Anfrage, unter Einhaltung der gesetzlichen Fristen.
- Überwachung und Kontrolle der internen und externen Datenverwaltung.
- Melden Sie Verstöße, die personenbezogene Daten betreffen, den Aufsichtsbehörden nahezu in Echtzeit.
"CIOs spielen eine wichtige Rolle bei der Schaffung grundlegender Fähigkeiten für ein nachhaltiges Datenschutzprogramm", berichtet CIO Dive. "Sobald diese Schichten vorhanden sind, haben Unternehmen die Freiheit, sich je nach Bedarf weiterzuentwickeln, ohne zusätzliche Änderungen im Rest des Unternehmens vorzunehmen." [10]
Einige Unternehmen stellen fest, dass sie die Verfahren zum Schutz der Privatsphäre in der aktuellen Umgebung der Fernarbeit anpassen müssen. "Beim Umgang mit personenbezogenen Daten bei der Arbeit von zu Hause aus werden die Nutzer mit zahlreichen rechtlichen Verpflichtungen allein gelassen, die schwer zu verstehen sind, und können unwissentlich gegen das Gesetz verstoßen", sagt Alex Voss, Mitglied des Europäischen Parlaments. [11]
Automatisierung von Datenschutz-Rahmenwerken
Unternehmen können den Datenschutz selbst und mit Hilfe von Beratern auf ihren bestehenden Systemen automatisieren oder sie können sich an eine wachsende "Privacy-Tech"-Branche wenden, die speziellere Tools für die Umsetzung ihrer Datenschutzregelungen anbietet.
Viele Unternehmen, die über große Mengen an Daten verfügen, können ihre Compliance-Aufgaben nicht mehr ohne Unterstützung durch Datenschutztechnologien erfüllen, so der "2021 Privacy Tech Vendor Report" der International Association of Privacy Professionals (IAPP). [12] Zu den Produktkategorien des Berichts gehören Bewertungsmanagement-Tools, die Compliance-Lücken aufspüren können, Zustimmungsmanagement-Tools, die die Zustimmung der Benutzer für die Nachverfolgung und andere Zwecke verwalten, Lösungen für die Reaktion auf Vorfälle, die Unternehmen dabei helfen, relevante Stakeholder darüber zu informieren, dass ihre Daten bei einer Datenschutzverletzung gefährdet wurden, und andere.
Anbieter von Cloud-Diensten verpflichten sich auch, die Einhaltung der Datenschutzbestimmungen ihrer Kunden zu unterstützen, wie Mimecast für seine E-Mail-, Speicher- und Archivierungslösungen . Dazu gehört oft auch die vertragliche Zusicherung der Einhaltung der Datenschutzvorschriften durch den Dienstanbieter selbst. Darüber hinaus können die Dienstanbieter die Systemadministratoren ihrer Kunden mit Verwaltungskonsolen für Compliance-Prozesse wie Archivsuche, E-Discovery und Überprüfung ausstatten.
Die Quintessenz
Unternehmen können den Datenschutz besser handhaben, wenn sie einen Datenschutzrahmen einrichten, der die Richtlinien und Verfahren zum Schutz der persönlichen Daten ihrer Kunden und Mitarbeiter dokumentiert. Rahmenwerke können ihnen dabei helfen, die heutigen Anforderungen zu erfüllen und sich an die künftigen Anforderungen in einem sich ständig verändernden geschäftlichen, technologischen und rechtlichen Umfeld anzupassen.
[1] " Die Schlacht der Gesetzesentwürfe beginnt: Proposed Federal Data Privacy Legislation Aims to End Patchwork Problem But Increases Enforcement ," National Law Review
[2] " Wie man die Datenschutzgrundverordnung ins digitale Zeitalter bringt ," Politico
[3] " Daten von Entrust zeigen Widersprüche in der Einstellung der Verbraucher zum Datenschutz und zur Datensicherheit im Jahr 2021 ," Entrust
[4] " Global Cost of Data Breach Study 2020 ," Ponemon Institute
[5] " Neue Forschung: Zahl der gefährdeten Datensätze steigt bis 2020 um 141% ," Risk Based Security
[6] " Vorteile, Eigenschaften und Gewohnheiten von ausgereiften Datenschutzprogrammen ," International Association of Privacy Professionals
[7] " NIST Privacy Framework ," National Institute of Standards and Technology
[8] " Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Management von Datenschutzinformationen ," Internationale Organisation für Normung
[9] " Datenschutz und Cybersicherheit ," eHealth Initiative & Stiftung und Zentrum für Demokratie und Technologie
[10] " Die wahre Rolle des CIO beim Datenschutz ," CIO Dive
[11] " Wie man die Datenschutzgrundverordnung ins digitale Zeitalter bringt ," Politico
[12] " 2021 Privacy Tech Vendor Report ," International Association of Privacy Professionals
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!