Одитът GDPR, който ще се провалите, ако използвате...

Моментът на одита

Следователят от органа за защита на данните седи срещу служителя по съответствието. DPA преглежда отговора на организацията на жалба на субект на данни - бивш клиент, който смята, че личните му данни не са били правилно обработени.

Въпрос: „Моля, опишете техническия контрол, който вашата организация използва, за да гарантира, че личните данни са подходящо анонимизирани, когато се обработват от служители.“

Служителят по съответствието започва: „Нашите адвокати използват добавката Word. Екипът ни за поддръжка използва разширението на Chrome за AI инструменти. Нашият екип за данни разполага със скрипт на Python. А за еднократни заявки всеки може да използва уеб приложението.“

Продължението на следователя: „Всички тези един и същ инструмент ли са? Една и съща машина за откриване? Едно и също покритие на обект?“

Служителят по съответствието: „Не, това са различни инструменти. Те работят по различен начин.“

Това е моментът, в който одитът става сложен.

Защо фрагментирането на инструмента не отговаря на стандарта член 32

GDPR Член 32 изисква „подходящи технически и организационни мерки“, които прилагат ефективно принципите за защита на данните. Стандартът по член 32 има два компонента:

Приемливост: Мерките трябва да са съобразени с риска. За рутинна обработка на лични данни в множество работни потоци подходящите технически мерки включват постоянно покритие за откриване на PII — не откриване с най-добри усилия, което варира според инструмента.

Доказуемост: Мерките трябва да бъдат доказуеми. Член 5, параграф 2 (принцип на отчетност) изисква администраторът да „може да демонстрира съответствие“. Демонстрирането на съответствие изисква доказателство за последователно прилагане на контрол.

Фрагментираните инструменти се провалят по отношение на демонстрируемостта. Ако инструмент A открива 285 типа обекти с калибрирани резултати за достоверност, а инструмент B открива 50 типа обекти с двоично откриване, а инструмент C открива 200 типа обекти с различни прагове — не можете да демонстрирате последователна, систематична защита на PII. Можете да демонстрирате, че някои инструменти са били използвани в някои контексти.

Техническата оценка на DPA за фрагментирани инструменти: „Техническият контрол на организацията за защита на PII е непоследователен в работните процеси, създавайки пропуски в покритието и предотвратявайки централизиран преглед на одитната пътека.“

Проблемът за откриване на пропуски

По-дълбокият проблем със съответствието с фрагментираните инструменти: обикновено не знаете къде са пропуските в покритието, докато не възникне нарушение.

Ако инструмент Б (използван от екипа за данни) не открие национални идентификационни номера на ЕС, които инструмент А (използван от адвокати) открива, тази празнина може да е невидима по време на нормални операции. Екипът за данни обработва файлове, без да открива национални идентификационни номера на ЕС. Файловете не генерират никакви предупреждения. Няма видима индикация за празнина.

Празнината става видима, когато:

• Национален идентификатор на ЕС се появява във файл, обработен от екипа за данни, който е трябвало да бъде открит
• Този файл е споделен неподходящо
• Субектът на данните открива експозицията и подава жалба GDPR

В този момент разследването на DPA разкрива, че екипът за данни е използвал инструмент с различно покритие в сравнение с други екипи - празнина, която е трябвало да бъде идентифицирана и затворена.

Систематичното покритие означава: едни и същи типове обекти се откриват последователно във всички контексти на обработка, така че пропуските са видими (нулеви откривания на обект тип X във всеки работен поток), а не невидими (откривания в някои работни потоци, но не и в други).

Как изглежда отговорът за чисто съответствие

Отговорникът по съответствието с унифицирана платформа може да отговори по различен начин на въпроса на следователя:

„Ние използваме една платформа за откриване на PII във всички работни потоци на служителите. Адвокатите, агентите по поддръжката и инженерите по данни използват една и съща основна машина за откриване – различни интерфейси (Word добавка, разширение за Chrome, приложение за настолни компютри), но един и същ модел и конфигурация. Цялата обработка се регистрира в централизирана одитна пътека. Нашата стандартна конфигурация открива 285+ типа юридически лица с подходяща за юрисдикцията Мога да изтегля одитната пътека за всеки период от време, който искате да прегледате."

Този отговор е:

• Специфично: Наименува платформата и обяснява разгръщането на няколко платформи
• Постоянен: „Една и съща основна машина за откриване“ адресира опасението за несъответствие в покритието
• Доказуемо: Централизираната одитна пътека означава наличие на доказателства

Последващият отговор на разследващия може да бъде: „Покажете ми одитната пътека за този субект на данни за последните 12 месеца.“ С централизирана одитна пътека това искане може да бъде удовлетворено.

Стандартът за съгласуваност на различни платформи

За организации, които изграждат защитима позиция за съответствие с член 32 за анонимизиране на PII:

Минимални изисквания за последователност:

1. Същият модел на откриване или API (не само подобни инструменти — същият основен модел)
2. Покритие на същия тип обект във всички платформи (ако уеб приложението проверява 285 обекта, приложението за настолни компютри трябва да проверява същите 285 обекта)
3. Една и съща конфигурация на прага на доверие в различните платформи (никой инструмент не е „по-свободен“ или „по-строг“ от други за същия тип обект)
4. Едни и същи токени за заместване/анонимизиране за едни и същи типове обекти в различните платформи
5. Централизирана одитна пътека, обобщаваща цялата обработка във всички платформи

Изисквания към документацията:

• Моментна снимка на конфигурацията: какво е текущото покритие на обекта и конфигурацията на прага?
• История на промените: кога за последен път е променена конфигурацията и какво се е променило?
• Доказателство за покритие: откъде знаете, че всички платформи имат еднакво покритие?

Организациите могат да създадат тази документация за стекове с множество инструменти, но това изисква официално управление на конфигурацията и редовен одит на различни инструменти. Внедряването на една платформа с централизирана конфигурация опростява това до: „Ето конфигурацията. Тя се отнася за всички платформи. Ето одитната пътека.“

Практически преход от фрагментирано към унифицирано

За служители по съответствието, които управляват фрагментирана среда с инструменти:

Стъпка 1: Картирайте текущите инструменти и покритие

• Документирайте всеки използван инструмент, по екип и работен процес
• Документирайте покритието на обекта на всеки инструмент (какви типове PII открива?)
• Идентифицирайте пропуските в покритието (какво открива Инструмент А, което пропуска Инструмент Б?)

Стъпка 2: Определете стандарта за целево покритие

• Въз основа на вашите регулаторни задължения (GDPR типове обекти, HIPAA PHI идентификатори, CCPA категории)
• Определете стандарта, който трябва да се прилага във всички работни процеси

Стъпка 3: Идентифицирайте обединената платформа

• Кой инструмент може да бъде разгърнат във всички случаи на употреба (уеб, десктоп, Word, браузър)?
• Отговаря ли на стандарта за целево покритие?
• Осигурява ли централизирана одитна пътека?

Стъпка 4: Внедряване и мигриране

• Започнете с работни потоци с най-висок риск (тези, при които PII е най-вероятно да бъдат неправилно обработени)
• Преход екип по екип, извеждане от експлоатация на наследени инструменти, докато потребителите преминават към унифицираната платформа
• Документирайте миграцията в записа за съответствие

Източници:

• GDPR Член 32: Сигурност на обработката
• [GDPR член 5, параграф 2: Принцип на отчетност] (https://gdpr-info.eu/art-5-gdpr/)
• EDPB: Насоки 4/2019 относно член 25 Защита на данните при проектирането