Berlaku sejak Mei 2016, dan mulai diimplementasikan sejak Mei 2018 - Peraturan Perlindungan Data Umum (GDPR) Uni Eropa masih membuat banyak perusahaan bertanya-tanya: Apakah kita terkena dampaknya? Jika ya: Bagaimana cara kita mendapatkan kepastian hukum? Dan apa yang dapat kita lakukan untuk kepatuhan perlindungan data?
Loading...
Sejak Mei 2018, perusahaan yang menangani data pribadi - dan jumlahnya cukup banyak - harus bersiap-siap membayar denda yang cukup besar. Hukuman untuk pelanggaran data bisa sangat besar. Dan ini selalu terjadi jika mereka tidak sepenuhnya mematuhi persyaratan GDPR yang baru. Selain itu, versi baru Undang-Undang Perlindungan Data Federal Jerman(BDSG) melengkapi dan memperkuat GDPR. Namun, di sini, ketidakpastian terjadi di mana-mana:
- Apa yang dimaksud dengan "data pribadi"?
- Apakah kami adalah "entitas yang bertanggung jawab" menurut GDPR?
- Siapa yang dimaksud dengan "subjek data"?
- Apa sebenarnya yang dimaksud dengan "pemrosesan otomatis" data pribadi?
- Apakah kita harus menunjuk petugas perlindungan data?
Langkah-langkah apa yang harus diterapkan
Daftar pertanyaan kepatuhan perlindungan data yang perlu dijawab sangat panjang.
Memang benar bahwa definisi istilah yang digunakan dalam peraturan tersebut dapat ditemukan dalam daftar FAQ. Namun, hal ini tidak serta merta menjamin kejelasan terkait signifikansi konkret bagi masing-masing perusahaan. Paling lambat ketika implementasi dan kepatuhan terhadap tindakan dan tugas yang diperlukan (karena diwajibkan) oleh karyawan tertunda, harus ada jawaban yang tepat untuk pertanyaan-pertanyaan seperti itu, misalnya:
- Apa yang dimaksud dengan "langkah-langkah teknis-organisasi"?
- Kapan mereka diperlukan?
- Bagaimana dengan "proporsionalitas"?
- Bagaimana dengan berbagai "kontrol" yang diwajibkan oleh GDPR, seperti "kontrol akses atau pengungkapan"?
- Bagaimana cara memastikan kepatuhan terhadap perlindungan data?
Perlindungan data vs keamanan informasi
Bagaimanapun, langkah yang tepat untuk perusahaan yang terkena dampak adalah menyiapkan sistem manajemen perlindungan data yang efektif - yang disesuaikan dengan kebutuhan masing-masing, jika perlu dengan tujuan untuk mendapatkan sertifikasi terakreditasi.
Apa yang sering membingungkan di sini: Perlindungan data dan keamanan informasi adalah dua pasang sepatu, meskipun ada tumpang tindih (misalnya, berbagai tindakan kontrol). Misalnya, perusahaan yang memiliki sistem manajemen keamanan informasi (SMKI) yang lengkap dan komprehensif sesuai dengan ISO 27001 mencakup topik perlindungan data sampai batas tertentu.
Namun bahkan di sini pun, masih ada kesenjangan yang bisa diungkap dan ditutup dengan atau tanpa ISMS dengan menggunakan analisis kesenjangan.
"Perbedaan mendasar antara kedua topik tersebut: Keamanan informasi melindungi data perusahaan dari penyalahgunaan oleh pihak ketiga; perlindungan data bertujuan untuk melindungi data pribadi."
Pada bulan Agustus 2019, dengan ISO 27701 sebuah standar baru diterbitkan yang merumuskan persyaratan untuk perlindungan data dalam manajemen keamanan informasi. ISO 27701 dengan demikian menetapkan sistem manajemen perlindungan data berdasarkan ISO 27001, ISO 27002 (panduan untuk langkah-langkah keamanan informasi) dan ISO 29100 (kerangka kerja untuk perlindungan data). ISO 27701 merupakan pelengkap dari ISO 27001. Sertifikasi menurut standar baru ini saja tidak memungkinkan.
Loading...
Manajemen Privasi Data dengan ISO 27701
Perlindungan data dalam konteks keamanan informasi - topik yang menarik? Pengetahuan lebih lanjut tentang standar ISO 27701 ada di White Paper gratis DQS.
Kepatuhan perlindungan data - manfaat
Anda menerima
- Informasi yang dapat diandalkan tentang area yang perlu ditindaklanjuti
- Pengetahuan tentang potensi tersembunyi
- Keamanan tindakan yang lebih terjamin dan kepastian hukum dalam menangani data setelah menerapkan tindakan yang tepat
Di sisi yang aman - dengan audit perlindungan data oleh DQS
Oleh karena itu, perusahaan yang berjuang untuk kepatuhan dalam perlindungan data harus melakukan dua hal: membiasakan diri mereka sendiri atau petugas kepatuhan mereka dengan topik tersebut secepat mungkin dan memiliki status quo yang ditentukan oleh badan independen seperti DQS dalam bentuk analisis kesenjangan.
Fokus dari audit perlindungan data tersebut adalah penilaian mandiri dengan tinjauan dokumen. Perusahaan kemudian diperiksa di lokasi untuk menentukan apakah mereka mematuhi aspek perlindungan data yang penting. Sebuah laporan menunjukkan apakah ada kebutuhan untuk bertindak dan, jika demikian, tindakan apa yang diperlukan.
Loading...
DQS Gap Analysis Data Protection
Berapa banyak pekerjaan yang perlu Anda lakukan untuk melakukan analisis GAP? Cari tahu secara gratis dan tanpa kewajiban.
Buletin DQS
Tetap terinformasi dan berlangganan buletin kami!
Penulis
Gert Krueger
Ahli dan manajer proyek untuk keamanan informasi, BSI-KritisV dan perlindungan data di DQS. Selain itu, telah lama sebagai auditor untuk manajemen mutu dan lingkungan.
Loading...