GDPR: Achieve more data protection compliance with a DQS audit

自2016年5月起生效，自2018年5月起实施--欧盟《通用数据保护条例》（GDPR）仍让许多公司疑惑：我们是否受到影响？如果是这样：我们如何实现法律的确定性？我们又能为数据保护合规做些什么？

内容

必须实施哪些措施？
数据保护与信息安全
合规的好处
安全的一面--通过DQS的数据保护审核

自2018年5月起，处理个人数据的公司--其中有相当多的公司--必须准备好抓住一个支付高额罚款的机会。对数据泄露的惩罚可能是巨大的。如果他们不完全遵守新的GDPR的要求，情况总是如此。此外，新版《德国联邦数据保护法》（BDSG）对GDPR进行了补充和证实。然而，在这里，不确定性到处存在：

到底什么是 "个人数据"？
根据GDPR，我们是一个 "负责任的实体 "吗？
谁是 "数据主体"？
个人数据的 "自动处理 "到底是什么意思？
我们必须任命一名数据保护官员吗？

必须实施哪些措施

需要解决的数据保护合规问题的清单很长。

诚然，条例中使用的术语的定义可以在FAQ列表中找到。然而，这并不一定能保证对个别公司的具体意义的明确性。最迟在员工执行和遵守必要（因为需要）的措施和职责时，必须对这些问题有正确的答案，例如：

什么是 "技术-组织措施"？
它们在什么时候是必要的？
什么是 "相称性"？
GDPR所要求的许多 "控制"，如 "访问或披露控制"，又是怎么回事？
如何确保数据保护的合规性？

数据保护与信息安全

在任何情况下，受影响的公司的正确步骤是建立一个有效的数据保护管理系统--根据其个人需求定制，如果有必要的话，已经有了认可的认证。

这里经常被混淆的是：数据保护和信息安全是两双鞋，即使有重叠之处（例如，各种控制措施）。例如，拥有符合ISO 27001的全面的信息安全管理系统（ISMS）的公司，在一定程度上涵盖了数据保护的主题。

但即使在这里，仍然有一个三角洲，无论是否有ISMS，都可以通过差距分析来发现和弥补。

"这两个主题之间的根本区别：信息安全保护公司的数据不被第三方滥用；数据保护旨在保护个人数据"。

2019年8月，随着ISO 27701新标准的发布，制定了信息安全管理中的数据保护要求。因此，ISO 27701规定了基于ISO 27001、ISO 27002（信息安全措施指南）和ISO 29100（数据保护框架）的数据保护管理系统。ISO 27701是对ISO 27001的一个补充。单独根据新标准进行认证是不可能的。