Egal, in welcher Branche Sie tätig sind: Sie sammeln und speichern Daten – und zwar jede Menge. Je nachdem, welche Art von Daten Sie sammeln und von wem Sie sie sammeln, gibt es eine Vielzahl von Richtlinien, Normen und Best Practices, die es zu beachten gilt, um sicherzustellen, dass Sie sensible Daten schützen und alle Gesetze und Standards einhalten, die für Ihre Branche und Ihren Standort gelten.
Was ist Daten-Compliance?
Was genau ist also Daten-Compliance? Einfach ausgedrückt handelt es sich dabei um einen Oberbegriff, der die Notwendigkeit der Einhaltung von Gesetzen, Vorschriften, Normen und Richtlinien in Bezug auf die Erfassung, Speicherung, Verwendung und gemeinsame Nutzung von Daten abdeckt. Diese Gesetze betreffen die Datensicherheit, Datenschutzverletzungen und den Datenschutz. Die Nichteinhaltung von Compliance-Standards kann Geldstrafen und Bußgelder nach sich ziehen und dem Ruf Ihres Unternehmens schaden. Lassen Sie uns genauer auf einige grundlegende Best Practices der Datenspeicherung eingehen!
Von den rechtlichen Konsequenzen einmal ganz abgesehen gehört das Sichern aller sensiblen Informationen und personenbezogenen Daten durch Unternehmen zum guten Ton. Wir wollen das Thema Schritt für Schritt durchgehen.
Schritt 1: Führen Sie eine Dateninventur durch, um genau zu wissen, welche Arten von Daten Sie sammeln, wo sie gespeichert sind, wer auf sie zugreifen kann und wie sie verwendet werden.
Schritt 2: Identifizieren Sie die potenziellen Risiken im Zusammenhang mit den Daten in Ihrem Datenbestand sowie die Gesetze und Normen, die für Ihre Daten gelten.
Schritt 3: Implementieren Sie geeignete Sicherheitsmaßnahmen zum Schutz dieser Daten vor unbefugtem Zugriff bzw. unbefugter Verwendung, Weitergabe, Veränderung oder Zerstörung, einschließlich Verschlüsselung, Zugangskontrollen und regelmäßiger Sicherheitsprüfungen.
Schritt 4: Erstellen und implementieren Sie einen Plan zur Reaktion auf Vorfälle und zur Benachrichtigung über Datenschutzverletzungen.
Schritt 5: Schulen Sie Ihre Mitarbeiter in Bezug auf alle Richtlinien zur Daten-Compliance.
Schritt 6: Prüfen Sie regelmäßig Ihre Verfahren für Datensicherheit und Compliance und aktualisieren Sie sie, wenn sich Gesetze und Normen ändern.
Von Vorteil ist es auch, einen Datenschutzbeauftragten (DSB) zu ernennen, der speziell damit betraut ist, Ihre Daten-Compliance-Richtlinien und -Verfahren zu überwachen und über alle Gesetze und Normen, die für Ihre Daten gelten können, auf dem Laufenden zu bleiben.
Er mag zwar einfach scheinen, aber Schritt 2 kann es durchaus in sich haben! Es gibt zahlreiche Gesetze und Normen, die für verschiedene Arten von Daten gelten. In den Vereinigten Staaten gehören dazu:
Der Health Insurance Portability and Accountability Act (HIPAA) – Regelt den Schutz und die Sicherheit von geschützten Gesundheitsinformationen (PHI, Protected Health Information)
Der Children's Online Privacy Protection Act (COPPA) – Regelt die Erfassung von personenbezogenen Daten von Minderjährigen unter 13 Jahren
Der Family Educational Rights and Privacy Act (FERPA) – Regelt die Erfassung und Weitergabe von Daten im Bereich Bildung
Der Fair Credit Reporting Act (FCRA) – Regelt die Erfassung, Verwendung und Weitergabe von Verbraucherkreditinformationen
Der Gramm-Leach-Bliley Act (GLBA) – Regelt die Erfassung, Verwendung und Weitergabe von Finanzinformationen
Der California Consumer Privacy Act (CCPA) – Regelt die Erfassung, Verwendung und Weitergabe personenbezogener Daten von Einwohnern Kaliforniens (selbst wenn Ihr Unternehmen nicht in Kalifornien ansässig ist)
Die General Data Protection Regulation (GDPR) – Regelt den Schutz personenbezogener Daten, die von Bürgern der Europäischen Union (EU) erhoben werden (selbst wenn Ihr Unternehmen nicht in der EU ansässig ist)
Der Federal Information Security Modernization Act (FISMA) – Regelt die Sicherheit von staatlichen Informationen und Systemen
Neben Gesetzen, die den Umgang mit Daten regeln, gibt es auch eine Reihe von Industriestandards, die viele Unternehmen einhalten müssen.
SOC 2 und SOC 3 – Standards für die Berichterstattung über die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität und Vertraulichkeit sowie den Datenschutz bei den Systemen einer Serviceorganisation
ISO 27001 – Internationaler Standard für Informationssicherheitsmanagement zur Verwaltung sensibler Unternehmensinformationen
Das HITRUST CSF (Health Information Trust Alliance, Common Security Framework) – Ein vom US-Gesundheitsministerium anerkanntes zertifizierbares Framework zum Einhalten der HIPAA-Vorschriften für ePHI
NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) – ein freiwilliges Framework, das Leitlinien für den Umgang mit Cybersicherheitsrisiken enthält
PCI-DSS – Standards zur Gewährleistung der Sicherheit von Daten für alle Unternehmen, die Kreditkarteninformationen annehmen, verarbeiten, speichern oder übertragen
Na, sind Sie überwältigt? Das überrascht wenig. Es ist durchaus wahrscheinlich, dass die Daten, die Sie für Ihr Unternehmen erfassen und speichern, unter eine oder mehrere dieser Vorschriften fallen. Was bedeutet das also für Sie?
Am besten nehmen Sie die Hilfe eines Experten in Anspruch, der sich gut mit den geltenden Gesetzen zur Daten-Compliance auskennt und für die für Ihre Daten geltenden Standards zertifiziert ist, und beginnen mit Schritt 1. Rubrik kann Ihnen bei Ihrem Daten-Audit helfen und Ihr Risiko senken, indem wir herausfinden, welche Arten von sensiblen Daten in Ihren Systemen vorhanden sind, wo sie gespeichert sind und wer Zugang zu ihnen hat. Mit seiner umfassenden Erfahrung im Gesundheitswesen, im Finanzdienstleistungssektor und in vielen anderen Branchen kann Rubrik Ihr Unternehmen bei jedem Schritt unterstützen. Rubrik Security Cloud implementiert Zero-Trust Data Security, die Ihre Daten und Ihr Unternehmen schützt und Ihnen hilft, die höchsten Standards der Datenkonformität und Datensicherheit einzuhalten.