Pemetaan data atau Audit data, atau laporan audit aliran data
Pada prinsipnya, tidak masalah apa namanya jika, misalnya, Anda adalah pengembang game online dan siap untuk mengetahui bahwa cookie dan alamat IP di bawah hukum Eropa adalah data pribadi yang Anda proses dan yang, kemungkinan besar, ditransfer ke beberapa perusahaan pemasaran di Rusia tanpa perhatian. Mungkin data pelanggan potensial sedang mengumpulkan debu pada hard drive laptop yang rusak, yang seharusnya digunakan untuk suku cadang, tetapi masih tersimpan dengan damai di kotak kardus seorang ibu. Atau sekarang, beberapa spesialis pemula dari tim Anda dengan mudah meninggalkan flash drive dengan data di dalam mobil, setelah berlari ke toko untuk cola setelah pertemuan yang panas.
"
Oke, " katamu. "
Kami mengerti apa yang ingin Anda katakan - risiko kehilangan dan bla bla bla ."
"
Tidak hanya, " aku akan menjawabmu.
Sesuai dengan GDPR, dan, pada prinsipnya, reputasi perusahaan lebih mahal, ini tidak boleh terjadi. Kecuali tentu saja Anda memiliki
20 juta euro ekstra untuk membayar denda.
Pemetaan data atau laporan audit aliran data adalah langkah pertama menuju perlindungan data pribadi sesuai dengan hukum Eropa.
Pemetaan data atau laporan audit aliran data - audit untuk mereka di pasar Eropa atau hanya berpikir tentang memasukkannya. Dan di sini, apa pun yang dikatakan, Anda kemungkinan besar harus memproses data pribadi penduduk Eropa, dan ini berada di bawah Peraturan Perlindungan Data Umum Eropa atau Peraturan Perlindungan Data Umum (GDPR).
Pemetaan data atau laporan audit aliran data adalah proses yang menghibur untuk mendeteksi data lama hilang, entitas aneh yang memiliki akses ke mereka, dan program aneh yang, karena alasan yang belum pernah terjadi sebelumnya, memiliki akses ke mereka dan menikmati pekerjaan Anda dengan sangat senang.
Di bawah ini saya akan memberi tahu Anda cara melakukan pemetaan Data dan menemukan yang hilang (meskipun saya yakin Anda akan mengatakan bahwa Anda tidak kehilangan apa pun dan semuanya terkendali).
Audit
Audit harus dilakukan pada tahap pertama sebelum merilis produk ke pasar Eropa atau, jika produk tersebut sudah ada di pasar, maka dalam perjalanan untuk membawa proses pemrosesan data dalam perusahaan Anda ke standar yang ditetapkan oleh GDPR. Tidak semua orang tahu apa data pribadi itu, tidak semua orang menyadari berapa banyak data akan diproses, tidak semua orang ingat di mana data disimpan, berapa banyak dan siapa yang memiliki akses ke dalamnya, dan yang paling penting, mengapa mereka memiliki akses ke sana. Audit akan menjawab semua pertanyaan. Tujuan GDPR adalah untuk melindungi data pribadi. Dan bagaimana kita bisa melindungi mereka, tidak tahu apa, di mana dan dari siapa kita harus melindungi.
Pikirkan lagi: pembersih menghapus tabel dengan "case", karyawan mengambil flash drive dan secara tidak sengaja menyalin data "lama", lupa untuk menghapusnya dari komputer di rumah, daftar klien potensial "menggantung di awan" pada server yang tidak dikenal.
Apa yang perlu Anda lakukan atau bagaimana melakukan pemetaan Data
- Kami mengumpulkan informasi tentang semua data yang mungkin Anda simpan (telepon, nama belakang, alamat, situs pelanggan, email, merek mobil, dll.). Semakin banyak, semakin baik. Ini akan memungkinkan kita untuk memahami apa yang secara umum kita miliki.
- Kami membagi data menjadi pribadi dan non-pribadi. Ini diperlukan untuk GDPR, karena Regulasi hanya melindungi data pribadi.
- Kami menentukan dalam format apa setiap jenis data disimpan (dalam elektronik, kertas atau campuran). Ini diperlukan untuk memahami tingkat keamanan data.
- Kami mengingat kepada siapa dan data apa yang kami kirimkan (kepada karyawan, kenalan, kontraktor, pihak ketiga untuk penyimpanan, dll.). Ini diperlukan untuk mengetahui apakah kami telah memindahkannya secara legal dan apa yang bisa terjadi jika orang luar kehilangan mereka.
- Kami mengetahui dengan cara apa kami mentransfer data pribadi baik di dalam perusahaan maupun di luarnya (melalui telepon, melalui email, melalui cloud, CRM, dll.). Ini juga memberikan wawasan tentang keandalan metode transmisi tersebut.
- Kami menentukan lokasi lokasi data (pada server di perusahaan di Rusia, pada server di pemasar di Australia, dalam kotak dengan ibu atau dalam folder di rak kantor yang berdebu). Ini diperlukan untuk memahami keandalan perlindungan mereka dan, pada prinsipnya, legalitas berada di tempat tertentu.
- Kami mencari tahu siapa yang secara khusus memiliki akses ke data (nama keluarga yang lebih baik, berdasarkan posisi). Seringkali akses ke data tersedia tidak hanya bagi orang yang, saat bertugas, harus memiliki akses ke data itu, tetapi juga karyawan yang sebelumnya diberhentikan yang menulis rencana balas dendam atas pemecatan yang tidak adil.
- Dari daftar yang dihasilkan kami menyusun rantai transfer data. Siapa, kapan dan untuk alasan apa mentransfer mereka ke karyawan ini atau itu atau pihak ketiga. Ini diperlukan untuk menentukan kelayakan dan legalitas transfer semacam itu.
Di sini bagian utama dari pekerjaan berakhir dan peta pergerakan data pribadi diambil (saya lebih suka visibilitas). Dalam foto tersebut, tahap pertama (sketsa yang sangat primitif) dari peta masa depan.
Selain hal-hal di atas, audit harus memuat uraian lengkap tentang proses penerimaan, pengiriman, pemrosesan, dan penyimpanan data, serta indikasi "kelemahan" dan cara untuk memperbaikinya. Sekarang saya tidak akan menyentuh semua masalah yang, misalnya, kami juga mencari tahu dalam proses mengumpulkan informasi, seperti legalitas menerima data, ketersediaan persetujuan dari subjek data untuk pemrosesan, redundansi atau waktu penyimpanan dan pemrosesan.
Hanya untuk meringkas
GDPR mendorong perusahaan untuk mengambil data pribadi dengan lebih serius, dan peta pergerakan data atau pemetaan Data, atau laporan audit aliran data, seperti yang Anda inginkan, tidak hanya menunjukkan gambaran nyata pergantian data di perusahaan, tetapi juga menemukan data pribadi pada laptop lama yang hilang yang mengumpulkan debu di kotak kardus tua ibuku.
Audit yang berhasil!