Един инструмент, три рамки
Екип по поверителност обработва файлове на EU клиенти по GDPR в понеделник. Здравни записи по HIPAA във вторник. Данни за потребители от Калифорния по CCPA в сряда.
Всеки закон има различни правила. Всеки документ изисква различна настройка.
Превключването между три набора от правила всеки ден създава грешки. Грешната настройка на грешния файл причинява провал в съответствието или загуба на данни.
Наименуваните профили за съответствие решават това. Една запазена настройка за всеки закон. Без ръчно преконфигуриране.
GDPR - Какво покрива
GDPR покрива всички лични данни. Прилага се за всеки EU гражданин, който може да бъде идентифициран. Няма фиксиран списък за това, какво се брои. Всяка информация, свързана с лице, е в обхвата.
Специалните категории - здравни данни, религиозни вярвания, политически възгледи - получават допълнителна защита по член 9.
Общи типове обекти за работа с документи: имена, адреси, национални идентификатори, имейли, телефонни номера, IP адреси, кредитни карти.
Правилният избор зависи от контекста. GDPR няма фиксиран списък.
HIPAA - Какво покрива
HIPAA Safe Harbor дефинира точно 18 типа идентификатори. Всичките 18 трябва да бъдат премахнати от здравни записи.
Две правила изненадват екипите:
- Датите се намаляват само до годината. Месецът и денят се премахват. Годината остава.
- Географски области, по-малки от щат, трябва да бъдат премахнати.
Тези правила се прилагат само за покрити заведения и техните бизнес партньори.
CCPA - Какво покрива
CCPA покрива лична информация, свързана с жители на Калифорния. Обхватът е широк. Включва преки идентификатори, интернет активност, история на покупките, данни за геолокация, биометрични данни и изведени профили.
За работа с документи, съсредоточете се върху преките идентификатори: имена, ЕГН, шофьорски книжки, номера на паспорти, имейли, номера на сметки, IP адреси, идентификатори на устройства.
Историята на покупките и регистрационните файлове за сърфиране рядко се появяват като обикновен текст в документ.
Защо ръчното превключване се проваля
Ръчното превключване създава грешки. GDPR файл, изпълнен с HIPAA настройка, улавя правила за дати, от които GDPR не се нуждае. HIPAA файл, изпълнен с GDPR настройка, пропуска географските правила, изисквани от Safe Harbor.
Проучванията показват, че ръчните превключвания на рамки произвеждат грешки около 15% от времето. Всяка грешка е пропуск в съответствието или събитие за загуба на данни.
Служителите трябва да имат предвид три набора от правила и да прилагат правилния всеки път. Това не е процес. Това е ежедневно предположение.
Три именувани настройки
"GDPR стандарт - EU клиенти"
Засича: имена, адреси, национални идентификатори, имейли, телефонни номера, IP адреси, кредитни карти.
Метод: Заличаване.
Изключете датите освен ако датите на раждане са в обхвата. Включете IP адреси за работа с онлайн данни.
"HIPAA Safe Harbor - Здравеопазване"
Засича: имена на лица, дати, под-щатски местоположения, телефон, факс, имейл, ЕГН, номера на медицински записи, здравни ID планове, номера на сметки, номера на сертификати, ID на превозни средства, ID на устройства, URL, IP адреси, биометрични ID. Покрива всичките 18 типа Safe Harbor.
Метод: Заличаване. За дати: запазете годината. Премахнете месеца и деня.
Добавете персонализиран шаблон за формата на медицинския регистрационен номер на вашето заведение.
"CCPA - Потребители от Калифорния"
Засича: имена, адреси, телефонни номера, имейли, ЕГН, шофьорски книжки, номера на паспорти, кредитни карти, IP адреси, URL, номера на сметки, ID на устройства.
Метод: Заместване (най-добро за анализ) или Заличаване.
Всяка запазена настройка фиксира решението за съответствие. Операторът избира профила, подходящ за правния контекст на документа. Няма списък с обекти за изграждане. Няма метод за избор.
Нива на грешки преди и след
Преди именувани профили: Служителите конфигурират ръчно за всеки закон. Нивото на грешки е близо до 15%. Годишните одити намират находки за прилагане на рамки всяка година.
След именувани профили: Служителите избират запазен профил. Настройката е фиксирана. Нивото на грешки пада под 2%. Останалите грешки идват от избор на грешен профил. Прегледът за качество ги улавя. Одитите минават без находки.
Ключовата промяна: решението за съответствие се премества от ежедневното изпълнение към създаването на профила. Специалист решава веднъж. Всеки оператор го прилага без да мисли.
Управление на екип с множество рамки
Присвойте собственост. По един ръководител за всеки закон. Ръководителят по GDPR притежава профила по GDPR. Служителят по HIPAA притежава настройката за HIPAA. Всеки ръководител преглежда своя профил на тримесечие.
Насочвайте по извор. Данните за EU клиенти използват профила по GDPR. Данните за US здравеопазване използват профила по HIPAA. Данните за потребители от Калифорния използват профила по CCPA.
Регистрирайте всяко изпълнение. Дневниците за обработка записват кой профил е използван за всяка партида. Когато одиторът попита как е обработен файл, отговорът е naziv на профила, дата и дневник на конфигурацията.
Натискайте актуализации. Когато EDPB издаде нови насоки, ръководителят по GDPR актуализира споделената настройка. Всички бъдещи изпълнения улавят промяната. Никой не трябва да бъде уведомяван.
За по-задълбочен поглед към управлението на профилите и одитните доказателства, вижте настройки за анонимизиране и последователност на GDPR одита. За покритие на обектите за HIPAA Safe Harbor в детайли, вижте HIPAA Safe Harbor деидентификация за здравни изследвания.
Заключение
Три закона. Три запазени профила. Един инструмент.
Сложността се намира на нивото на дефинирането на профила. Не в ежедневната обработка. Операторите не трябва да знаят правилата за HIPAA дати. Трябва да знаят кой профил отговаря на документа пред тях.
Наименуваните настройки намаляват когнитивното натоварване. Намаляват грешките. Правят съответствието доказуемо.