Bis jetzt haben wir viel über Umfang, Geltungsbereich und Speicherorte unserer Daten erfahren. Wir haben begonnen, sie zu verwalten und für ihren Schutz und ihre Sicherheit zu sorgen.Aber damit stellen Sie noch nicht die Compliance sicher.
Wir haben erst die ersten drei Prinzipien unserer fünf gelernten Lektionen betrachtet.
- Sie müssen Ihre Daten kennen
- Verwalten Sie die Daten
- Schützen Sie die Daten
- Dokumentation und Compliance
- Kontinuierliche Optimierung
Unser eingeschlagener Weg bringt uns zu den beiden letzten Prinzipien: Dokumentation und Compliance sowie Kontinuierliche Optimierung.
Lektion 4 und 5 lassen sich zusammenfassen.Alles, was Sie heute für die Dokumentation tun, und was automatisiert ist, kann für eine kontinuierliche Optimierung genutzt werden.
Zunächst ist wichtig, dass alle Prozesse dokumentiert werden.Die Daten selbst werden klassifiziert und geschützt, aber was ist mit der ihnen zugrundeliegenden Infrastruktur oder Services?Was passiert, wenn Daten von einem Ort an einen anderen verschoben werden?Wenn ein Mitarbeiter von einer Abteilung in eine andere wechselt, erhält er dann die richtigen Berechtigungen für seinen neuen Verantwortungsbereich und werden seine alten Rechte widerrufen?Sind die Daten, die Sie erfassen und die vor 6 Monaten noch relevant waren, es auch noch heute?(Wiederholen Sie regelmäßig Umfragen wie in Lektion 1 beschrieben.) Hat einer Ihrer externen Anbieter seine Datenverarbeitungsverfahren verändert, weil sich die Anforderungen geändert haben?Sind die Daten aus Ihrem aktuellen Aufgabenbereich geschützt?Werden sie bei der Übertragung wenn nötig verschlüsselt?Dies sind nur einige der Fragen, die Sie sich regelmäßig stellen sollten.
Dokumentation hilft nicht nur bei der nächsten Prüfung, sondern auch Ihrem internen Datenschutzbeauftragten (oder demjenigen, der, je nach Größe Ihrer Organisation, damit beauftragt ist).Der Datenschutzbeauftragte kann mit Hilfe dieser Dokumentation Arbeitsabläufe kontrollieren, den Zugriff auf bestimmte Daten verändern und sicherstellen, dass Ihr Unternehmen compliance-konform handelt.
Viele Fragen werden manuelle Umfragen oder Anstrengungen erfordern, andere können Sie automatisiert mit Dashboards und Reports beantworten.Wie gesagt: Technologie alleine kann nicht alle Anforderungen erfüllen. Ihr Datenschutzbeauftragter benötigt Reports und Dashboards von unterschiedlichsten Stellen.Die Informationen stammen aus vielen Quellen: Den eigentlichen Daten selbst, der Infrastruktur zur Datenbereitstellung, Sicherheits- und Datenschutzprofilen (Zugangsprüfung, potenziellen Verstößen usw.), manuellen Umfragen und vielen mehr.
Die DSGVO verlangt regelmäßige Überwachung, Audits, Überprüfungen und Optimierungen.
Fazit
Der Weg zur DSGVO endet nicht am 25. Mai 2018.Das ist erst der Anfang.Die Vorschriften nicht nur einmal, sondern dauerhaft zu erfüllen, verlangt regelmäßiges Monitoring, Audits, Überarbeitung und Optimierung.Eine einzige technische Lösung zur Dokumentation und Überwachung gibt es heute nicht.Reports und Dashboards kommen aus vielen Quellen in einem Unternehmen.Einige Aufgaben müssen manuell durchgeführt werden, während für andere die verschiedenen vorhandenen technischen Lösungen genutzt werden können.Prüfen Sie, welche Lösung welche Daten liefert, damit Ihr Datenschutzbeauftragter dies entsprechend überwachen und, wenn nötig, anpassen kann.
Der Weg, den Veeam zur Erfüllung der DSGVO zurückgelegt hat, war eine lehrreiche Erfahrung.Wir freuen uns, diese Erkenntnisse teilen zu können, um unseren Kunden zu helfen und sicherzustellen, dass die Nutzer dem digitalen Leben vertrauen können.