Als die Datenschutz-Grundverordnung (DSGVO) 2018 in Kraft trat, versuchten Unternehmen, die mit Bürgern der Europäischen Union (EU) Geschäfte machen, schnellstmöglich sicherzustellen, dass sie die Datenschutzanforderungen erfüllen. Dies sollte jedoch nicht als eine einmalige Aufgabe betrachtet werden.
Unternehmen und Organisationen, die personenbezogene Daten (PII, Personally Identifiable Information) sammeln und speichern, sollten ihre Datenerhebungsprozesse regelmäßig überprüfen, um sicherzustellen, dass sie immer noch im Einklang mit der Datenschutz-Grundverordnung stehen.
Bei der Datenschutz-Grundverordnung geht es nicht nur darum, Menschen die Kontrolle über ihre Daten zu geben, also darüber, welche Daten aufbewahrt werden, wie auf sie zugegriffen werden kann und wie sie aus dem System gelöscht werden können. Auch die Organisationen, die diese Daten sammeln und speichern, profitieren davon, da darin Protokolle für die Klassifizierung, Speicherung, Sicherheit und individuelle Kontrolle der Informationen festgelegt werden.
Dies ist umso wichtiger, als die Zahl der Datenschutzverletzungen ständig zunimmt. Laut Statista wurden im Jahr 2018 allein in den USA 471 Millionen Datensätze und im Jahr 2019 weitere 164,68 Millionen Datensätze offengelegt.
Umso wichtiger ist es, dass Unternehmen alle erforderlichen Maßnahmen ergreifen, um die Sicherheit personenbezogener Daten sicherzustellen, da sie sonst mit erheblichen Geldstrafen rechnen müssen, ganz zu schweigen von der Schädigung ihres Rufs. Das Einhalten der DSGVO-Datenschutzgrundsätze kann Ihnen beim Sichern Ihrer Daten helfen.
Bei regelmäßigen Audits der Datenverarbeitungsverfahren werden sowohl die technischen als auch die menschlichen Aspekte überprüft. Technisches Versagen, physischer Diebstahl von Geräten, vorsätzliche Netzwerkangriffe – Malware, Phishing, Ransomware – oder unsachgemäße Nutzung oder Handlungen von Mitarbeitern, ob böswillig oder unbeabsichtigt, können dazu führen, dass Millionen von sensiblen Daten offengelegt werden.
Durch eine gründliche Bewertung aller Prozesse und Systeme lässt sich feststellen, wie sich eine bestimmte Lösung auf Kundeninhalte, Datenübertragbarkeit, Zugriffsrechte und Datenlöschung auswirken wird. Gleichzeitig wird sichergestellt, dass die derzeit genutzte Plattform ein RTO (Recovery Time Objective) von nahezu null und unveränderliche Snapshots liefern kann, um die DSGVO-Anforderungen zu erfüllen.
Das Information Commissioner’s Office (ICO), die unabhängige Behörde des Vereinigten Königreichs, die für das Wahren von Informationsrechten zuständig ist, empfiehlt unter anderem, folgenden Bereich zu prüfen und gegebenenfalls zu aktualisieren:
Richtlinien für die Aufbewahrung, den Zugang zu und die Löschung von Daten – klar formulierte, öffentlich zugängliche Richtlinien, die erläutern, wie personenbezogene Daten erhoben und verwendet werden, wie die Einhaltung der Grenzen ihrer Verwendung kontrolliert werden kann und wie der Zugang zu den Daten und ihre Löschung beantragt werden können
Datenverwaltung, -klassifizierung und -speicherung – Verfahren zum Verschlüsseln von PII-Daten, zum Einordnen in eine von drei Standardklassifizierungen, zum Identifizieren des Speicherorts der Daten innerhalb des Systems und zum Festlegen von Methoden für den ordnungsgemäßen Abruf sowie für die Bereitstellung lokaler und globaler Redundanzen für den Fall von Standort-, Komponenten- oder Softwareausfällen oder externen Angriffen
Disaster Recovery – Umfassender Plan für die Wiederherstellung nach Datenschutzverletzungen, einschließlich der technischen Möglichkeit, Dateien mit einem einzigen Mausklick im Zustand zu jedem beliebigen Zeitpunkt wiederherzustellen, unabhängig davon, ob sie lokal oder in der Cloud gespeichert sind, sowie für die Benachrichtigung von Behörden und Personen, deren Daten möglicherweise kompromittiert wurden, und zur Reaktion auf individuelle Anfragen zur Änderung oder Löschung von Daten
Sicherheitsmaßnahmen – Sicherheitsprotokolle für digitale und papierbasierte sensible Daten, einschließlich proaktiver Überwachung zur Ermittlung potenzieller Schwachstellen, Datenverletzungen und unbefugter Zugriffsversuche
Training – Mitarbeiterschulung zu allen Aspekten der DSGVO-Schutzprinzipien und der internen Richtlinien zur Datenverwaltung
Durch das Festlegen eines regelmäßigen Prüfungsplans können Unternehmen sicherstellen, dass sie die DSGVO-Vorschriften einhalten und gleichzeitig die sensiblen Daten schützen, die ihnen von Einzelpersonen anvertraut wurden.
Rubrik macht die Einhaltung der DSGVO einfach und effizient, mit einer einzigen Plattform, die Datenmanagement lokal und in der Cloud bietet. Benutzer können Datenschutzrichtlinien und deren Ablauf automatisieren und gleichzeitig volle Transparenz darüber erhalten, wo sich die Daten befinden und wie Richtlinien in der gesamten Infrastruktur eingehalten werden.
Erfahren Sie mehr darüber, wie Rubrik Ihnen dabei helfen kann, DSGVO-Vorschriften und Datenschutzanforderungen einzuhalten.