Personvern er i videste forstand individers, gruppers eller organisasjoners rett til å kontrollere hvem som kan få tilgang til, observere eller bruke noe de eier, for eksempel deres kropper, eiendom, ideer, data eller informasjon.
Kontroll er etablert gjennom fysiske, sosiale eller informasjonsmessige grenser som bidrar til å forhindre uønsket tilgang, observasjon eller bruk. Eksempelvis:
- en fysisk grense, for eksempel en låst inngangsdør, bidrar til å hindre at andre kommer inn i en bygning uten eksplisitt tillatelse i form av en nøkkel for å låse opp døren eller en person som åpner døren.
- en sosial grense, for eksempel en medlemsklubb, tillater bare medlemmer å få tilgang til og bruke klubbressurser.
- en informasjonsgrense, for eksempel en avtale om taushetsplikt, begrenser hvilken informasjon som kan utleveres til andre.
den eksponentielle veksten i en global informasjonsøkonomi, drevet av ny teknologi og forstyrrende forretningsmodeller, betyr at en stadig økende mengde personopplysninger blir samlet inn, brukt, utvekslet, analysert, beholdt og noen ganger brukt til kommersielle formål. Det betyr også at det er et stadig økende antall utilsiktede eller forsettlige databrudd, feilaktige eller tapte dataposter og data misbruk hendelser.
som et resultat har etterspørselen etter personvern — retten til å kontrollere hvordan personlig informasjon samles inn, hvem den deles med, og hvordan den brukes, beholdes eller slettes — vokst, og det samme har etterspørselen etter datasikkerhet.
Å Balansere individets rett til personvern og en organisasjons ønske om å bruke personopplysninger til egne formål er utfordrende, men ikke umulig. Det krever utvikling av et rammeverk for personvern.
Utvikle Et Rammeverk For Personvern
selv om det ikke finnes en «one-size-fits-all template» for et rammeverk, er det flere universelle prosesser som kan hjelpe deg med å utvikle en som er relevant for virksomheten din:
Oppdage og klassifisere personopplysninger — Bestemme hvilke typer data som samles inn (f. eks. medisinske, økonomiske eller personlig identifiserende data som Personnummer), hvor og hvordan dataene samles inn, hvor data lagres, hvem som har tilgang til dataene og hvor de fysisk befinner seg, datastrømmer innenfor og på tvers av en forretningsenhet og dataoverføringer innenfor og mellom land.
Gjennomføre En Vurdering Av Personvernkonsekvenser (Pia) – Bestemme hvordan og hvor data lagres, sikkerhetskopieres og avhendes, hvilke datasikkerhetstiltak som for øyeblikket er implementert, og hvor systemer kan være sårbare for brudd på personvern. Eksempler på datasikkerhetstiltak inkluderer følgende:
- Change management-Overvåker, logger og rapporter om datastrukturendringer. Viser compliance revisorer som endringer i databasen kan spores til akseptert endre billetter.
- Forebygging Av Datatap-Overvåker og beskytter data i bevegelse i nettverk, i hvile i datalagring eller i bruk på endepunktsenheter. Blokkerer angrep, privilegiemisbruk, uautorisert tilgang, ondsinnede webforespørsler og uvanlig aktivitet for å forhindre datatyveri.
- datamaskering — Anonymiserer data via kryptering/ hashing, generalisering, forstyrrelse, etc. Pseudonymiserer data ved å erstatte sensitive data med realistiske fiktive data som opprettholder operativ og statistisk nøyaktighet.
- Databeskyttelse-Sikrer dataintegritet og konfidensialitet gjennom avstemming av endringskontroll, kontroller på tvers av landegrensene, hvitelisting av spørringer osv.
- Etiske vegger-Opprettholder streng adskillelse mellom forretningsgrupper for å overholde M & a krav, offentlig godkjenning, etc.
- Privilegert brukerovervåking-Overvåker tilgang og aktiviteter for privilegert brukerdatabase. Blokkerer tilgang eller aktivitet, om nødvendig.
- Sikker arkivering av revisjonsspor-Sikrer at revisjonssporet ikke manipuleres, endres eller slettes, og gir rettsmedisinsk synlighet.
- Revisjon Av Sensitiv datatilgang-Overvåker tilgang til og endringer av data som er beskyttet av lov, samsvarsforskrifter og kontraktsmessige avtaler. Utløser alarmer for uautorisert tilgang eller endringer. Oppretter et revisjonsspor for etterforskning.
- brukerrettighetsadministrasjon-Identifiserer overdrevne, upassende og ubrukte rettigheter.
- brukersporing-Kartlegger sluttbrukeren for webapplikasjonen til den delte applikasjonen / databasebrukeren og deretter til de endelige dataene som er tilgjengelig.
- VIP — personvern-Opprettholder streng tilgangskontroll på svært sensitive data, inkludert data lagret i bedriftsapplikasjoner på flere nivåer som SAP og PeopleSoft.
Forstå markedsføringsproblemer-Bestemme grenseoverskridende markedsføringsproblemer (f. eks., om produkter eller tjenester markedsføres direkte til innbyggere i andre land, språket som brukes på et nettsted eller en distribusjon av mobilapplikasjoner) og tredjeparts markedsføringsproblemer(f. eks. deling av informasjon til markedsføringsformål).
Analysere samsvarskrav-Bestemme gjeldende samsvarskrav, basert på resultatene samlet inn for å forstå personopplysningene og gjennomføre EN PIA.
- Lovgivningsforskrifter-Statlige, nasjonale eller statlige lover som regulerer innsamling, bruk, lagring, transport og beskyttelse av personopplysninger. Eksempler er Generell Databeskyttelsesforordning (GDPR — Eu), Lov Om Personlig Informasjonsbeskyttelse og Elektroniske Dokumenter (PIPEDA-Canada), Informasjonsteknologiloven 2000 (Ita-India—, Personvernloven 1993 (New Zealand).
- bransjespesifikke Forskrifter-Lover eller mandater som definerer hvordan en bestemt bransje, type virksomhet eller offentlig etat skal behandle og sikre personopplysninger. Eksempler er Health Information Portability And Accountability Act (HIPAA), Health Information Technology For Economic And Clinical Health (HITECH), Payment Card Industry Data Security Standards (PCI DSS).
- Tredjepartsforpliktelser-Avtaler mellom forretningspartnere som definerer hvordan en entreprenør, leverandør eller annet eksternt byrå skal behandle og sikre personopplysninger som samles inn av foreldreorganisasjonen. For Eksempel må et byrå i India som tilbyr kredittkorttjenester for EN usa-basert leverandør overholde PCI DSS – databeskyttelseskrav.
Utvikling av retningslinjer for personvern og internkontroll — Opprettelse av eksterne personvernerklæringer (f.eks. nettsted, mobilapp og offline retningslinjer for personvern); interne og eksterne retningslinjer for personvern og prosedyrer knyttet til datastyring, brudd på personvern og sikkerhet; og opplæring i personvern.
Finn ut hvordan Imperva-løsninger for datasikkerhet og datamaskering kan hjelpe deg med å utvikle Rammeverket For Personvern for Data.