Днес е Европейският ден за защита на данните. Време е да се замислим. Този път ще анализираме повтарящ се въпрос в организациите. Да приемем, че този, който знае най-много или най-малко, че законодателството за защита на данните се е променило преди няколко години.

одитът

Също така ще приемем, че този, който е направил най-много или най-малко си е направил домашните и е положил усилията да се „адаптира“ към новите разпоредби, т.е. Регламент на ЕС 2016/679 Обща защита на данните или RGPD (това вече е много да се предположи).

И направиха усилията (тези, които го направиха) сега мнозина се чудят, трябва ли да направим одит? Къде го казваш? Колко често? И когато човек трябва да се отърве от обясненията защо без преглед, одит или каквото и да искаме да го наречем, няма спазване.

Намираме се през януари, месец на добри решения: диети и регистрация във фитнес залите. Управлението на поверителността е като човешкото тяло: трябва да се грижите за него и то е благодарно. Ако се напиете и не работите по-късно, той се разваля, наранява се, разболява се и е безполезно да се присъединявате към фитнес за един месец, защото чудеса, поне в тази област, не съществуват. Същото се случва и с поверителността. Май 2018 г. и месеци преди и след: запой за поверителност. Оттогава някои не са се връщали към него. Голяма и сериозна грешка. Това не е съобразено.

Треньорите казват, че е по-добре малко и продължи, отколкото не "битката в неделя". За да бъде ефективно спазването, то трябва да бъде постоянно и подлежащо на преглед. Няма правило, което да не изисква да бъде ревизирано навреме.

Задължението: За да установим правно основание, трябва да се позовем на поредица от членове на RGPD:

The член 24 Казах, че техническите и организационни мерки „ще бъдат прегледани и актуализирани при необходимост“. AЧлен 32, от своя страна, той задължава мениджърите и мениджърите да прилагат подходящи технически и организационни мерки, за да гарантират ниво на сигурност, съответстващо на риска, което, ако е приложимо, включва, наред с други ... процес на редовна проверка, оценка и оценка на ефективността на технически мерки и организационни, за да се гарантира сигурността на лечението ».

Там имаме задължението за „одит“, без определена, но индикативна честота: когато е необходимо “и„ да гарантираме сигурността на лечението “.

Ако се потопим в системите за управление на информационната сигурност като ISO 27001 или схемата за национална сигурност, ще проверим, че прегледите като цяло са годишни. Части от системите се преразглеждат ежегодно и на всеки три години се преглеждат изцяло (в случай на ISO за подновяване на сертифицирането).

Периодичността: Предишните разпоредби установяваха задължение за одит най-малко на всеки две години или когато имаше промени в информационните системи. Две години могат да бъдат ориентация, но ние считаме, че това не е достатъчно предвид ритъма на дейностите на субектите: Ако след две години не направим нищо, възможно е след две години да трябва да започнем отначало. Следователно трябва да се установят две стъпки:

- Постоянни и периодични процеси на преглед, наблюдение дали нещата се правят добре, прилагане на принципа на сигурност от дизайна и по подразбиране и в крайна сметка, като на върха. Изглежда лъжа, но с всичко и с това, когато преглеждате, "нещата" винаги излизат.

- Или глобални, или частични одитни процеси (например за стратегически или критично важни за бизнеса дейности по обработка), които проверяват дали това, което се прави там, е в съответствие със стандарта и че адекватно гарантира сигурността на личните данни. Преглед на всеки две години може да бъде добре в организации, в които няма големи промени и стига да се прави постоянен преглед. В други честотата трябва да бъде годишна ...

Ако продължим със сравненията, това е нещо като ежедневно и общо почистване. Ако почиствате само веднъж годишно, може да откриете повече от мъх ... И дори при ежедневно почистване е необходимо генерално почистване. Ето как трябва да бъде управлението на поверителността: нещо ежедневно, интернализирано в организациите като още един елемент от тяхното управление на бизнеса. По този начин одитите не трябва да бъдат плашещи, а ще бъдат инструмент за непрекъснато усъвършенстване, задълбочено размишление (и повече, ако го видят "други" очи) и реално спазване.

И мнозина ни казват: „Аз съм МСП, никой няма да ме забележи“. Още една голяма грешка. Неспазването дебне зад ъгъла и неспазването поради незнание не е посочено като „смекчаващо“.

Следователно, за да спечелите "мускул" в тази защита на данните е необходимо да я упражнявате. И няма по-добро упражнение от постоянния преглед и осъзнаването, че това, с което си имаме работа, е основно право, което заслужава нашето пълно внимание и уважение.