欧盟(EU)正在建立一个框架,以保护其公民的个人数据。一般数据保护法规(GDPR)旨在帮助加强和统一欧盟所有个人的数据保护。该法规于2016年4月通过,将于2018年5月25日开始执行。该指令是居住在欧盟的个人的积极步骤,使他们更多地控制了他们的个人数据,包括敏感的个人数据和唯一的标识符,遗传和遗传和生物识别数据和化名数据。
GDPR有望改变所有公司开展业务的方式,因为它不仅适用于欧盟的公司,而且还可以适用于与欧盟合作或处理欧盟居民和个人数据的欧盟外的那些公司。。
查看这一新法规的一种方法是将其视为采用新的流程和技术的机会,以在当今信息丰富的商业环境中有效地处理个人数据的山脉。不幸的是,即使他们觉得自己已经准备好,许多组织仍不符合GDPR。在2017年7月的一项研究中,Nutanix合作伙伴Veritas发现接受调查的人中有三分之一表示“他们的企业已经符合该立法的关键要求”,但进一步的检查表明,只有2%的人似乎处于合规性。
GDPR包括在规定的时间范围内识别和报告数据泄露的严格要求。这将使欧盟居民不仅确保数据控制器,而且数据处理器是合规性的,可以行使其“被遗忘的权利”。这些要求与不合规的严重罚款(占全球收入的2000万欧元或4%的4%)相结合的事实,许多组织和企业处于边缘状态。
以下是企业现在可以为GDPR合规准备的一些推荐步骤:
- 教育并参与所有人。从财务到人力资源到业务部门的所有业务团队都必须受过教育,并参与制定和实施GDPR合规计划。这通常应该从执行层面的正确赞助开始,并清楚地沟通它不仅会改变流程和供应商,而且还会影响不合规的业务。许多Nutanix系统集成商合作伙伴都具有良好的咨询实践,旨在帮助公司进行教育,并使员工参与GDPR合规性练习。
- 审核数据源和使用。访问并了解整个公司的所有数据源,包括营销,CRM,ERP系统,人力资源和招聘数据库等。目的是了解可以在公司内存储或使用的个人数据。鉴于当今企业中的大量个人数据涵盖了潜在客户,客户,员工,供应商等,审计和分类流程的自动化是关键。另外,不仅在公司内部,而且还使用数据处理器(例如,外部服务提供商根据个人数据提供服务),了解数据的使用位置。Nutanix合作伙伴提供了广泛的工具,可以帮助审核各种数据源。
- 制定明确的计划。Internalize the GDPR requirements and come up with a clear plan for compliance for the different parts of the directive across all data sources—including security and access controls, de-identification and ‘pseudonymization’ of personal data, and more—to achieve privacy and data protection by default. Work with auditors and integration partners to identify blind spots in troublesome areas, such as identifying breaches or reporting early, and develop plans to address them or put processes in place to handle “right to be forgotten”’ requests. A number of Nutanix system integrator partners and auditors have well-developed practices intended to help businesses audit and plan for compliance.
- 文件和管理。在审核,计划和实施整个组织以满足GDPR的措施之后,建立了记录资源,端到端用法,安全/访问控制和相应规则的最佳实践。建立治理流程来定义角色和类别,并教育/培训员工。最后,执行和记录与灾难恢复以合规性相似的定期检查和训练。这不仅应涉及内部流程,还应涉及外部数据处理器和供应商。无论如何,不要假设合规性的常识;要求合规性证明,因为企业(即数据控制器)可以对供应商的问题负责。
- 拥抱变化。与其将GDPR视为“业务成本”,不如说明指令改造内部IT和业务应用程序和流程的设置方式。研究方法来利用假名,大数据和云本地应用程序,更强的集成加密,增强的下一代入侵检测,过程/数据可视化以及增强同意过程的方法,作为GDPR计划的一部分。确保寻找不仅符合GDPR的云服务和数据处理供应商,还可以为您的业务带来明显的优势。另外,请考虑是否需要组织变更,包括不仅数据保护官员的人员配备,还包括首席信息和安全官(CISO)来涵盖整体安全和合规性。此外,强烈考虑将GDPR的执行权分配给定期报告,以向客户,潜在客户,董事会成员和员工展示遵守情况。
随着GDPR指令在不到一年的时间内执行,现在是企业采取行动的时间。有了合适的合作伙伴,在欧盟开展业务的所有行业的企业都可以推动行动,不仅可以满足合规性,而且还可以降低风险,提高生产率,并推动与客户和员工的更多交往。
链接以获取其他信息:
免责声明
该博客包含指向不属于Nutanix.com一部分的外部网站的链接。Nutanix不控制这些站点,并对任何外部站点的内容或准确性不承担所有责任。我们决定链接到外部站点的决定不应被视为对该网站上任何内容的认可。
©2017 Nutanix,Inc。保留所有权利。Nutanix,企业云平台和Nutanix徽标是美国和其他国家的Nutanix,Inc。的注册商标或商标。本文提到的所有其他品牌名称仅用于识别目的,可能是其各自持有人的商标。