博客标题

GDPR:您从哪里开始?

您会原谅将于2018年5月25日生效的GDPR或《通用数据保护条例》是全新的内容。

实际上,它们是1995年以来现有数据保护法的更新。

显然存在差异,包括用户的新权利和数据泄露报告要求的引入,以及所有欧洲国家/地区的一致性。即使在英国退欧后,情况也不会改变,特别是如果您有其他欧盟国家的员工,合作伙伴或客户。

而且,当然还有罚款!

这里最大的变化是可以执行的惩罚级别。

违反现有的数据保护法已受到严厉的处罚,因为 巴西尔登市议会最近发现,但他们收到的150,000英镑罚款是微不足道的,而明年下半年可能会发放1,750万英镑(占全球营业额的4%)。

实际上,鉴于过去十年中技术的根本变化,信息的存储和处理方式以及与滥用,丢失或未经授权的个人数据发布相关的日益增加的风险,这些变化早就应该实现。

GDPR对各种规模的企业提出了许多问题:谁来负责?我们实际上持有多少敏感数据?我们的数据和系统的安全性如何?我们需要采取什么步骤?我们怎么知道我们合规?

鉴于任何法规都可以解释,最后一个问题始终将是最具挑战性的回答。 GDPR的要求与其他合规性要求之间存在一些内在矛盾,即个人有权删除个人数据,而某些行业中的法律要求将其保留七年。

但是,这些不确定性不能作为无所事事的借口。

那你会从哪里开始?

根据我们与TSG内部的同事以及主要合作伙伴阅读,观看和讨论的内容,以下是您可能应该考虑的领域列表。

1.所有权–尽管可能有点“鸡和蛋”。除非您了解可能涉及的内容,否则实际上可能很难定义谁应该拥有GDPR,而且它可能是多维和多部门的。首先,所有权确实需要在组织内尽可能地高。

2.从某些方面入手–根据3和4的答案,可能是一些可管理的内容。

3.发现,第1部分–对术语的歉意,但实质上,这是关于尝试建立业务中拥有的数据集。可能存在多个位置,包括文件共享和网络驱动器,位于业务系统后面的数据库以及在许多情况下(例如Dropbox)的外部服务。如果您已经在使用Office 365,OneDrive和SharePoint,那么您可能会领先一步。而且,您不应忘记个人台式机。

4.发现,第2部分–您企业中已有哪些工具和策略可能有助于合规性?如果您已经在使用设备加密,那将是个好消息。鉴于去年超过90%的数据泄露是由恶意软件或黑客造成的,因此安全性,备份和灾难恢复无疑将是合规性的核心。

5.风险在哪里,在哪里–确定风险并不总是那么容易,但是重新开始才是重要的。

我们将在接下来的几个月中定期发布GDPR,并分解关键组件和技术,这些组件和技术将解决您需要考虑和解决的不同领域。

在普华永道专家的协助下,我们还在全国范围内进行了一系列路演,以涵盖信息治理和流程问题,并补充我们的首席技术官Paul Burns讲述的技术故事。

因此,作为这篇文章的最后注解,重要的是要理解遵守GDPR所需的工作应该产生非常有益的副作用:很可能您会了解数据-和客户-远胜于在此之前,如果您可以利用有价值的见解,那么GDPR不会成为负担,而是可以带来“双赢”。