In een van onze meest recente berichten bespraken we het belang van gegevensprivacy en de best practices die organisaties zouden moeten toepassen om ervoor te zorgen dat gevoelige informatie veilig wordt bewaard. We bespraken ook de principes en voorschriften die van toepassing zijn op gegevensprivacy. Hier gaan we het hebben over gegevenscompliance. Gegevenscompliance is de praktijk om ervoor te zorgen dat entiteiten de voorschriften volgen om ervoor te zorgen dat de gevoelige gegevens die ze bezitten, worden georganiseerd, opgeslagen en beheerd, zodat ze worden beschermd tegen verlies, corruptie, diefstal en misbruik.
Lees verder om meer te weten te komen over voorschriften, oplossingen en normen voor gegevensnaleving.
Lees ook: GEGEVENSPRIVACY: belang en best practices voor organisaties
Wat is gegevenscompliance?
Zoals eerder gezegd, verwijst datacompliance naar de voorschriften en normen die een bedrijf moet volgen om de gevoelige digitale activa waarover het beschikt – meestal persoonlijk identificeerbare informatie en financiële informatie – te beschermen tegen verlies, diefstal en misbruik. Deze regelgeving kent verschillende vormen. Ze specificeren welke gegevens moeten worden beschermd, welke praktijken acceptabel zijn en de sancties voor het niet naleven van de normen.
Hoewel datacompliance en databeveiliging op elkaar lijken, zijn ze niet hetzelfde. Hoewel zowel gegevenscompliance als gegevensbeveiliging tot doel hebben de risico's die gepaard gaan met het verzamelen, bewaren en verwerken van gegevens te verminderen en te beheersen, zorgt gegevenscompliance er slechts voor dat u voldoet aan het absolute minimum aan wettelijke verplichtingen. Gegevensbeveiliging daarentegen omvat alle processen en technologie die worden gebruikt om gevoelige gegevens te beschermen, zoals firewalls, codering en protocollen voor wachtwoordbeveiliging.
Wat zijn de 3 staten van gegevensnaleving?
Dat zijn:
- Gegevens over rust
- Gegevens over beweging
- Gegevens over gebruik
Regelgeving en oplossingen voor gegevensnaleving
#1. HIPAA
De Health Insurance Portability and Accountability Act van 1996 specificeert hoe entiteiten in de Verenigde Staten die in het bezit zijn van de gezondheidszorg en medische gegevens van individuen, de veiligheid en vertrouwelijkheid van deze dossiers moeten handhaven.
Aangezien dit enkele van de meer gevoelige documenten zijn, kan de straf voor het niet bewaren ervan zwaar zijn voor de organisatie. Er zijn gevallen geweest waarin een bedrijf miljoenen dollars moest betalen. In 2018 stemde een bepaalde verzekeringsmaatschappij bijvoorbeeld ermee in een boete van $ 16 miljoen te betalen nadat een hackpoging de gezondheidsinformatie van meer dan 79 miljoen klanten had blootgelegd.
Bovendien vereist HIPAA dat alle elektronische medische dossiers alleen toegankelijk zijn voor mensen met legitieme redenen, dus codering en sterke toegangsbeperkingen zijn essentieel. De regels zijn niet alleen van toepassing op records in de database, maar ook op records die worden gedeeld. Er moeten dus stappen worden ondernomen om te garanderen dat acties zoals e-mails en bestandsoverdrachten grondig worden gecontroleerd, beveiligd en beheerd.
#2. PCI-DSS
De PCI-DSS is de tweede op de lijst met oplossingen voor gegevensnaleving. De Payment Card Industry Data Security Standard (PCI DSS) is een belangrijk aspect van elk nalevingsproces voor organisaties die te maken hebben met financiële informatie van consumenten, aangezien het voorschriften vaststelt voor hoe bedrijven kaarthoudergegevens zoals creditcardnummers beheren en beschermen.
In tegenstelling tot de AVG is PCI DSS eerder een industriestandaard dan een overheidsregelgeving. Dit doet echter niets af aan het belang ervan, aangezien elk bedrijf waarvan wordt vastgesteld dat het zijn gegevensnalevingsnormen overtreedt, te maken kan krijgen met zware boetes of zelfs de relatie met banken of betalingsverwerkers kan worden beëindigd, waardoor het voor bedrijven buitengewoon moeilijk wordt om kaartbetalingen aan te nemen.
Zelfs als een bedrijf gebruikmaakt van diensten van derden om kaartbetalingen te verwerken, zoals velen doen, is het nog steeds de plicht van het bedrijf om de veiligheid te waarborgen van alle creditcard- of debetkaartgegevens die het verzamelt, verzendt of bewaart.
De specifieke procedures die organisaties moeten volgen, zijn afhankelijk van het aantal transacties dat ze verwerken. Bedrijven met een groter klantenbestand zullen te maken krijgen met aanzienlijk strengere voorschriften voor gegevensnaleving. Uiteindelijk vereisen de PCI DSS-normen dat bedrijven een bepaald beveiligingsniveau garanderen.
Het is vermeldenswaard dat de Payment Card Industry Security Standards Council een reeks maatregelen schetst die bedrijven moeten nemen om aan deze normen te voldoen. Deze maatregelen variëren van het installeren van een afdoende firewall tot het periodiek testen van systemen en processen om kaarthoudergegevens te beveiligen. Uiteraard kan er geen excuus zijn om geen duidelijk plan te hebben om deze normen te bereiken.
#3. AVG
GDPR is een van de meest recente en uitgebreide dataregelgeving. Sinds de inwerkingtreding op 25 mei 2018 heeft de AVG een aantal oplossingen geboden met betrekking tot het recht van mensen om te weten welke gegevensentiteiten over hen beschikken, hoe bedrijven deze gegevens moeten verwerken en strengere wetten voor het melden van datalekken.
Interessant is dat deze regelgeving niet alleen van toepassing is op in Europa gevestigde bedrijven. Als u zaken doet met een persoon die onder de jurisdictie van de EU valt, moet u zich houden aan de regels van de AVG. Hoewel de wet veel vereisten bevat, kan de meerderheid ervan worden teruggebracht tot drie basisprincipes: toestemming verkrijgen, de hoeveelheid gegevens die wordt bewaard verminderen en de rechten van betrokkenen beschermen.
Hoewel het misschien een kleine stap lijkt, is het eerste wat elk bedrijf moet doen om naleving van de GDPR-wetgeving en -normen te garanderen, iemand aanstellen om toezicht te houden op zijn activiteiten. Deze persoon, ook wel een data nalevingsfunctionaris, is vereist in bepaalde bedrijven die enorme hoeveelheden gegevens gebruiken, en het is hun taak om toezicht te houden op de strategie en implementatie van gegevensbescherming om ervoor te zorgen dat aan de vereisten en voorschriften van de AVG wordt voldaan.
#4. CCPA
Dit is een van de strengste consumentenbeschermingen waarmee veel in de VS gevestigde bedrijven te maken zullen krijgen. Het wordt ook wel de AVG van Californië genoemd, en hoewel het niet zo streng is op het gebied van rapportagevereisten als de AVG, is het in sommige opzichten veel meer dan zijn Europese tegenhanger.
Het bevat bijvoorbeeld alle informatie waaruit gevolgtrekkingen kunnen worden getrokken om een klantprofiel te maken dat iemands "voorkeuren, kenmerken, psychologische trends, aanleg, gedrag, attitudes, intelligentie, capaciteiten en bekwaamheden" weerspiegelt in de definitie van privégegevens.
CCPA-compliance is niet voor elk bedrijf vereist. Het is alleen van toepassing op ondernemingen met een bruto jaaromzet van meer dan $ 25 miljoen; degenen die de persoonlijke informatie van 50,000 of meer individuen, huishoudens of apparaten verwerven, ontvangen of verkopen; of bedrijven die 50% of meer van hun jaaromzet genereren door persoonlijke informatie van klanten te verkopen.
Hoewel dit veel kleinere bedrijven uitsluit, betekent dit wel dat vrijwel elke middelgrote of grote onderneming die met klanten in Californië werkt, gedekt zal zijn. Dit kan het voor veel Amerikaanse bedrijven relevanter maken dan de AVG, want hoewel sommige organisaties ervoor kozen om volledig te stoppen met zakendoen in Europa om deze verordening te omzeilen, kan het voor hen veel moeilijker zijn om de CCPA te omzeilen, omdat ze niet verplicht hoeven te zijn gevestigd in Californië, of zelfs fysiek aanwezig zijn in de staat, onderworpen zijn aan de bepalingen ervan.
#5. SOX
De Sarbanes-Oxley Act van 2002 (SOX) werd uitgevaardigd om een herhaling van de boekhoudschandalen van Enron te voorkomen, WereldCom en anderen. Als gevolg hiervan, omdat het zich richt op financiële rapportage in plaats van op gegevensbescherming, kunnen IT-professionals het als minder belangrijk beschouwen dan sommige van de andere normen waaraan ze moeten voldoen. Integendeel, dit is niet het geval. IT-afdelingen hebben verschillende taken om ervoor te zorgen dat aan deze behoeften wordt voldaan.
Om te beginnen moeten ze de CEO en CFO naleven door ervoor te zorgen dat ze realtime financiële rapportage over de organisatie ontvangen. Dit houdt in dat mechanismen worden ingevoerd om rapportage te automatiseren en waarschuwingen te configureren die worden geactiveerd wanneer zich kritieke gebeurtenissen voordoen die nauwkeuriger moeten worden onderzocht.
Bovendien moet IT-personeel ook garanderen dat alle records op de juiste manier worden opgeslagen. Als gevolg hiervan zijn effectieve en tijdige back-ups van kritieke informatie- en documentbeheersystemen van cruciaal belang voor het handhaven van de naleving van deze regels. Om effectief te zijn, moeten ze ook zorgen voor volledig inzicht in elk aspect van de digitale middelen van hun bedrijf. Instant messages, e-mails, opgenomen telefoongesprekken en financiële transacties moeten allemaal minstens vijf jaar worden bewaard voor het geval auditors dat willen. Daarom moeten er goede beheersystemen zijn.
Ten slotte moeten IT-professionals ervoor zorgen dat archivering en audits zo soepel mogelijk verlopen bij het voldoen aan SOX. Tools voor het automatiseren van activiteiten, het beheren en monitoren van datastromen en het snel archiveren en ophalen van informatie zullen hierbij allemaal een belangrijke rol spelen.
De voordelen van gegevenscompliance voor organisaties
Wanneer uw organisatie prioriteit geeft aan gegevensbeveiliging en naleving, mag u financiële beloningen verwachten. Enerzijds kun je klanten geruststellen dat ze hun gegevens bij jou kunnen achterlaten. Dit gaat een lange weg om te garanderen klantenbinding en een positief imago
Door de moeite te nemen om protocollen te ontwerpen en vast te leggen voor de manier waarop uw bedrijf gevoelige informatie beheert, persoonlijke privacy beschermt en reageert op inbreuken op de beveiliging, kan uw organisatie bovendien veerkrachtig en aanpasbaar blijven wanneer uw omgeving verandert en er iets onverwachts gebeurt.
Ten slotte zal een grondige implementatie van beveiligingsnormen uw bedrijf helpen bij het verminderen van de risico's van reputatieschade en financiële schade veroorzaakt door datalekken.
Hoewel het belangrijk is om aan auditors aan te tonen dat uw bedrijf aan bepaalde vereisten voldoet (bijv. SOX, HIPAA, CCPA), moet u niet vergeten dat het handhaven van een nalevingsbeleid voor gegevensbescherming in uw voordeel is. Een systematische benadering van naleving kan u helpen de kans te verkleinen dat er zich incidenten voordoen waarbij de gegevens, het intellectueel eigendom van het bedrijf en de bedrijfsactiviteiten aan het licht komen.
Hoe handhaaft u gegevensconformiteit?
Volg als bedrijfseigenaar deze controlemaatregelen om te voldoen aan de normen en voorschriften voor gegevensbeveiliging:
#1. Zorg voor een nauwkeurige registratie van gegevensbeveiligingsmaatregelen en auditprocedures.
Om de volgende redenen is het van cruciaal belang om al uw gegevensbeschermings- en auditprocedures bij te houden:
Om te beginnen zorgt dit dossier ervoor dat geen enkele persoon gedetailleerde kennis heeft van de nalevingsacties van uw bedrijf. Zonder dit dossier tast uw bedrijf mogelijk in het ongewisse en kan een audit flagrante zwakke punten in het gegevensbeveiligings- en nalevingsprogramma aan het licht brengen.
Bovendien zal dit compliance-activiteitenoverzicht aantonen dat uw organisatie zich te goeder trouw heeft ingespannen om aan elke reeks vereisten te voldoen. Veel regelgevingen bevatten te goeder trouw uitzonderingen waardoor autoriteiten boetes kunnen verlagen voor organisaties die over solide nalevingsprocessen beschikken of er actief naar streven er een te ontwikkelen.
Ten slotte moet u, om voor een audit te slagen, de auditor laten zien dat u de normen voor gegevensbeveiliging serieus neemt. Auditors willen uitgebreide gegevens om te bepalen of de procedures die u hebt ingesteld, geschikt zijn voor het beschermen van de gegevens die u opslaat of verwerkt. Door te werken met de vereisten van auditors in gedachten, kunt u zich blijven concentreren op die belangrijke punten.
#2. Gebruik CCF-meting.
Een Common Controls Framework (CCF) is een complete set controlecriteria die zijn afgeleid van een breed scala aan industriële normen voor gegevensbeveiliging en privacy. Door een CCF te gebruiken, kan een bedrijf voldoen aan de normen op het gebied van beveiliging, privacy en andere nalevingsprocedures, terwijl het risico van "overbeheer" wordt beperkt.
#3. Zorg ervoor dat uw voorzorgsmaatregelen voor gegevensprivacy up-to-date zijn.
Deze standaarden stellen hoge eisen aan gegevensbeveiliging. Zorg er dus niet alleen voor dat u beschikt over een sterke procedure voor naleving van de beveiligingsregels, maar zorg er ook voor dat u over actuele oplossingen voor gegevensnaleving beschikt. Deze oplossingen voor datacompliance zijn cruciaal om de kans op een datalek in uw organisatie te verkleinen.
Als de maatregelen voor gegevensbeheer en -bescherming van uw bedrijf zwak zijn, zal het aanzienlijk moeilijker worden om te voldoen aan normen voor gegevensbeveiliging en -naleving die zijn ontworpen met de huidige technologieën in het achterhoofd.
#4. Wijs een functionaris aan voor gegevensbeveiliging en nalevingsnormen.
Met de voorgaande factoren in gedachten, vraagt u zich misschien af wie verantwoordelijk is voor de naleving van gegevens. Uw gegevensbeveiligings- en complianceproces vereist, net als elk ander proces, één enkel contactpunt: een functionaris die alle bewegende delen afhandelt. Deze persoon moet directe toegang hebben tot leidinggevenden en de geloofwaardigheid en macht hebben om anderen in de hele organisatie te overtuigen om te voldoen aan normen voor gegevensbeveiliging en naleving.
Wat is de rol van een functionaris voor gegevensbescherming?
De belangrijkste verantwoordelijkheid van de functionaris voor gegevensbescherming is ervoor te zorgen dat haar organisatie de persoonsgegevens van haar werknemers, klanten, leveranciers of andere personen verwerkt in overeenstemming met de toepasselijke vereisten voor gegevensbescherming.
Afsluiten
Om boetes of schade aan hun reputatie te voorkomen, moeten organisaties beschikken over een sterk nalevingsprogramma en gegevensbeschermingsbeleid. Anders lopen ze het risico klanten te verliezen of, erger nog, een enorme boete te betalen.
Gerelateerde artikelen
- COMPLIANCE-MANAGEMENTSYSTEMEN: definitie, voorbeelden en softwareopties
- BESTE BELEIDSBEHEERSOFTWARE: 2023 Beoordelingen
- HR COMPLIANCE: wat is het, software, training en belang
Referentie
- IPF
