Datenschutz ist im weitesten Sinne das Recht von Einzelpersonen, Gruppen oder Organisationen zu kontrollieren, wer auf etwas zugreifen, es beobachten oder verwenden kann, das ihnen gehört, z. B. auf ihren Körper, ihr Eigentum, ihre Ideen, Daten oder Informationen.
Kontrolle wird durch physische, soziale oder informative Grenzen hergestellt, die dazu beitragen, unerwünschten Zugriff, Beobachtung oder Nutzung zu verhindern. Beispielsweise:
- Eine physische Grenze, z. B. eine verschlossene Haustür, verhindert, dass andere Personen ein Gebäude ohne ausdrückliche Erlaubnis in Form eines Schlüssels zum Entriegeln der Tür oder einer Person im Inneren betreten, die die Tür öffnet.
- Ein soziales Netzwerk, z. B. ein Club nur für Mitglieder, ermöglicht nur Mitgliedern den Zugriff auf Clubressourcen und deren Nutzung.
- Eine Informationsgrenze, z. B. eine Geheimhaltungsvereinbarung, schränkt ein, welche Informationen an andere weitergegeben werden können.
Das exponentielle Wachstum einer globalen Informationswirtschaft, angetrieben durch neue Technologien und disruptive Geschäftsmodelle, bedeutet, dass immer mehr personenbezogene Daten gesammelt, verwendet, ausgetauscht, analysiert, aufbewahrt und manchmal für kommerzielle Zwecke verwendet werden. Es bedeutet auch, dass es immer mehr zufällige oder vorsätzliche Datenverletzungen, falsche oder verlorene Datensätze und Vorfälle von Datenmissbrauch gibt.
Infolgedessen ist die Nachfrage nach Datenschutz — das Recht zu kontrollieren, wie persönliche Informationen gesammelt werden, mit wem sie geteilt werden und wie sie verwendet, aufbewahrt oder gelöscht werden — gewachsen, ebenso wie die Nachfrage nach Datensicherheit.
Das Recht des Einzelnen auf Datenschutz und den Wunsch einer Organisation, personenbezogene Daten für ihre eigenen Zwecke zu verwenden, in Einklang zu bringen, ist eine Herausforderung, aber nicht unmöglich. Es erfordert die Entwicklung eines Datenschutzrahmens.
Entwickeln eines Datenschutz-Frameworks
Obwohl es keine „One-Size-fits—all-Vorlage“ für ein Framework gibt, gibt es mehrere universelle Prozesse, die Ihnen helfen können, einen für Ihr Unternehmen relevanten zu entwickeln:
Entdecken und Klassifizieren personenbezogener Daten – Bestimmen, welche Arten von Daten gesammelt werden (z. B. medizinische, finanzielle oder personenbezogene Daten wie Sozialversicherungsnummern), wo und wie die Daten erhoben werden, wo Daten gespeichert werden, wer Zugriff auf die Daten hat und wo sie sich physisch befinden, Datenflüsse innerhalb und zwischen einer Geschäftseinheit sowie Datenübertragungen innerhalb und zwischen Ländern.
Durchführung einer Datenschutz—Folgenabschätzung (PIA) – Bestimmung, wie und wo Daten gespeichert, gesichert und entsorgt werden, welche Datensicherheitsmaßnahmen derzeit implementiert werden und wo Systeme für eine Datenschutzverletzung anfällig sein können. Beispiele für Datensicherheitsmaßnahmen sind die folgenden:
- Änderungsmanagement – Überwacht, protokolliert und berichtet über Änderungen der Datenstruktur. Zeigt Compliance-Prüfern, dass Änderungen an der Datenbank auf akzeptierte Änderungstickets zurückgeführt werden können.
- Data Loss Prevention – Überwacht und schützt Daten, die sich in Netzwerken bewegen, sich im Datenspeicher befinden oder auf Endgeräten verwendet werden. Blockiert Angriffe, Missbrauch von Berechtigungen, unbefugten Zugriff, böswillige Webanforderungen und ungewöhnliche Aktivitäten, um Datendiebstahl zu verhindern.
- Datenmaskierung – Anonymisiert Daten durch Verschlüsselung / Hashing, Generalisierung, Störung usw. Pseudonymisiert Daten, indem sensible Daten durch realistische fiktive Daten ersetzt werden, die die betriebliche und statistische Genauigkeit beibehalten.
- Datenschutz – Gewährleistet die Datenintegrität und Vertraulichkeit durch Abstimmung der Änderungskontrolle, grenzübergreifende Kontrollen, Whitelisting von Abfragen usw.
- Ethical walls – Hält eine strikte Trennung zwischen Geschäftsgruppen ein, um die Anforderungen von M& A, die behördliche Genehmigung usw. zu erfüllen.
- Überwachung privilegierter Benutzer – Überwacht den Datenbankzugriff und die Aktivitäten privilegierter Benutzer. Blockiert bei Bedarf den Zugriff oder die Aktivität.
- Sichere Audit-Trail-Archivierung – Schützt den Audit-Trail vor Manipulation, Änderung oder Löschung und bietet forensische Transparenz.
- Sensitive Data Access Auditing – Überwacht den Zugriff auf und Änderungen von Daten, die durch Gesetze, Compliance-Vorschriften und vertragliche Vereinbarungen geschützt sind. Löst Alarme für unbefugten Zugriff oder Änderungen aus. Erstellt einen Audit-Trail für die Forensik.
- Benutzerrechteverwaltung – Identifiziert übermäßige, unangemessene und nicht verwendete Berechtigungen.
- Benutzerverfolgung – Ordnet den Webanwendungsendbenutzer dem freigegebenen Anwendungs- / Datenbankbenutzer und dann den endgültigen Daten zu, auf die zugegriffen wird.
- VIP Data privacy – Verwaltet eine strenge Zugriffskontrolle auf hochsensible Daten, einschließlich Daten, die in mehrstufigen Unternehmensanwendungen wie SAP und PeopleSoft gespeichert sind.
Marketingfragen verstehen – Ermittlung grenzüberschreitender Marketingfragen (z., ob Produkte oder Dienstleistungen direkt an Einwohner anderer Länder vermarktet werden, die auf einer Website verwendete Sprache oder die Bereitstellung mobiler Anwendungen) und Marketingfragen von Drittanbietern (z. B. Weitergabe von Informationen zu Marketingzwecken).
Analyse der Compliance-Anforderungen – Ermittlung der geltenden Compliance-Anforderungen auf der Grundlage der Ergebnisse, die beim Verständnis der personenbezogenen Daten und bei der Durchführung einer PIA gesammelt wurden.
- Gesetzliche Vorschriften – Gesetze des Staates, des Landes oder der Regierungsbehörde, die die Erhebung, Verwendung, Speicherung, den Transport und den Schutz personenbezogener Daten regeln. Beispiele hierfür sind die Datenschutz-Grundverordnung (DSGVO – Europäische Union), das Gesetz über den Schutz personenbezogener Daten und elektronische Dokumente (PIPEDA — Kanada), das Information Technology Act 2000 (ITA — Indien) und das Privacy Act 1993 (Neuseeland).
- Branchenspezifische Vorschriften – Gesetze oder Mandate, die festlegen, wie eine bestimmte Branche, eine bestimmte Art von Unternehmen oder eine Regierungsbehörde personenbezogene Daten behandelt und schützt. Beispiele hierfür sind der Health Information Portability and Accountability Act (HIPAA), die Health Information Technology for Economic and Clinical Health (HITECH) und die Payment Card Industry Data Security Standards (PCI DSS).
- Verpflichtungen Dritter – Vereinbarungen zwischen Geschäftspartnern, die festlegen, wie ein Auftragnehmer, Verkäufer oder eine andere externe Agentur personenbezogene Daten behandelt und schützt, die von der Muttergesellschaft erfasst werden. Beispielsweise muss eine in Indien ansässige Agentur, die Kreditkartendienste für einen in den USA ansässigen Anbieter anbietet, die PCI DSS-Datenschutzanforderungen einhalten.
Entwicklung von Datenschutzrichtlinien und internen Kontrollen — Erstellung externer Datenschutzerklärungen (z. B. Website-, Mobile-App- und Offline-Datenschutzrichtlinien); interne und externe Datenschutzrichtlinien und -verfahren in Bezug auf Data Governance, Datenschutz- und Sicherheitsverletzungen; und Datenschutzschulungen.
Erfahren Sie, wie Imperva-Lösungen für Datensicherheit und Datenmaskierung Sie bei der Entwicklung Ihres Datenschutz-Frameworks unterstützen können.