2018年,欧洲GDPR等法规真正将隐私信息管理提上了每个企业的议程。强调个人数据的个人所有权,全球各地的公司被迫以法律合规的方式保护这一权利。
始终如一地保护个人数据仍然是企业面临的挑战。DNV最近的一项Espresso调查显示,与2019年的可比调查相比,成熟度仅略有提高。当GDPR在4年前实施时,公司都在争先恐后地确保合规。这似乎仍然是许多公司的主要角度。然而,仅从法律的角度来处理隐私信息管理可能是非常有限的。
人是风险的主要来源
接受调查的公司表示,人为错误是主要的风险来源(44.5%)。其次是员工缺乏意识或组织文化不佳(27.7%),以及缺乏法律能力/对法律要求的解释(25.3%)。人们关注的是组织、文化和能力问题,而不是外部威胁,这与2019年描绘的情况并没有太大不同。然而,行动已经从IT转向了人。2019年,加强IT安全是主要投资领域,现在已被员工培训和意识所超越。这几乎是1 / 2的人优先考虑的。
当人为错误和缺乏意识被认为是主要风险时,这通常意味着没有进行有效的文化建设。这可以通过实现正式的管理系统保证模型来轻松缓解。例如,每个组织都经历过由于减员和雇佣新资源而造成的临时资源。这需要定期培训新员工或更新现有员工的意识。
建立一致的安全文化
这种需求可以通过基于隐私信息管理系统标准ISO 27701中捕获的最佳实践的管理系统模型来最好地满足。该标准规定了定期培训和意识的具体要求,以确保整个组织的水平一致。这提高了员工的敬业度,并使员工能够从“隐私”的角度思考,帮助他们更好地管理与隐私相关的“不确定性”。来自其他领域(如信息安全)的经验清楚地表明,组织有能力通过实施管理体系来建立和改善安全文化。
在一个多连接的社会中,对隐私的威胁从信息和网络安全到公司本身或其他合法行为者错误地(即使是无意地)使用或存储数据。如今,由于大多数公司似乎面临风险,IT安全投资已被提上所有公司的议程,这是必不可少的。然而,数据链中的薄弱环节往往是使用信息的人以及处理信息的设备或软件。这就强调了定期培训的强烈必要性。它可以是针对数据管理人员的在线学习、小型培训或更广泛的培训。
系统驱动健壮、可靠的方法
当然,除了合规的管理系统之外,还有其他方面也很重要。例如,必须有经过适当训练的内部专题专家在场,他们是处理人员之间的要求或疑虑的协调中心。这些专家还可以帮助任何公司通过设计和默认来真正扩展隐私的逻辑。它通过实施限制收集和处理、确保质量、管理保留和处置以及在任何项目设计阶段的数据传输期间的控制或数据处理方式的更改,系统地确保数据安全。
DNV的调查显示,公司在培训和提高员工意识方面投入了大量资金,以降低人为错误的风险。对能力进行投资总是一种建设性的方法。我们确实看到了大量投资培训的公司的机会,将其与ISO 27701隐私信息管理系统的实施相结合,以获得更健壮、更有弹性和更可靠的方法。
南达·库马尔·沙曼纳,信息通信技术业务经理,挪威船级社