Per que els DPD han d'avaluar les eines d'anonimitzacio
El RGPD exigeix una Avaluacio d'Impacte sobre la Proteccio de Dades (EIPD) per als treballs d'alt risc. El tractament a gran escala de DCP es d'alt risc. Una eina d'anonimitzacio es un encarregat del tractament. Queda subjecta a les normes aplicables als encarregats. Heu d'avaluar-la abans de posar-la en produccio.
Dos requisits son obligatoris. Els encarregats han d'oferir "garanties suficients" en materia de seguretat. Tot tractament ha d'estar regulat per un contracte escrit. Com a DPD, documenteu els controls de seguretat de l'eina, els seus subencarregats, on allotja els vostres fitxers, com gestiona les violacions i l'Acord de Tractament de Dades (ATD).
La certificacio ISO 27001 redueix la feina. BSI va constatar que les empreses certificades redueixen el temps en qüestionaris de seguretat un 73%. Gartner va trobar que l'ISO 27001 s'exigeix en el 78% de les licitacions de les empreses del Fortune 500. Una eina certificada permet citar la certificacio sense revisar cada control manualment. Les eines sense certificar requereixen mes revisio manual.
Consulteu el nostre resum de compliment i la nostra pagina de seguretat per saber com complim aquests requisits.
Set aspectes a comprovar
Utilitzeu aquesta llista per a qualsevol eina o proveïdor d'anonimitzacio.
1. Acord de tractament de dades. Hi ha un ATD compatible amb el RGPD? Ha de cobrir: tractament nomes per les vostres instruccions, deure de diligencia, mesures de seguretat, control dels subencarregats, ajuda amb les sol-licituds de drets, eliminacio o retorn dels fitxers, i drets d'auditoria.
2. Registres de seguretat. Les mesures de seguretat estan documentades? Els proveïdors certificats amb ISO 27001 poden indicar la seva certificacio i la Declaracio d'Aplicabilitat. Aixo satisfa el requisit.
3. Llista de subencarregats. L'eina utilitza subencarregats? Estan identificats? Necessiteu notificacio previa de qualsevol canvi. Els allotjaments al núvol, les CDN i les eines d'OCR compten. La manca d'identificacio es una llacuna habitual.
4. Ubicacio dels fitxers. Les vostres dades s'allotgen a la UE? L'allotjament a la UE es el mes senzill per a les empreses europees. Les eines de coneixement zero tambe son valides: cap fitxer surt del vostre dispositiu. Els proveïdors dels EUA necessiten Clausules Contractuals Tipus (CCT).
5. Notificacio de violacions. Amb quina rapidesa us informara el proveïdor d'una violacio? La llei exigeix notificacio a la vostra autoritat de control en 72 hores. El vostre proveïdor us ha d'avisar primer. Comproveu que l'ATD ho confirma.
6. EIPD del proveïdor. El proveïdor ha realitzat la seva propia EIPD? La podeu consultar? Sense EIPD hi ha una llacuna en la vostra propia documentacio. Es un problema frequent.
7. Supressio i portabilitat. El proveïdor pot gestionar les sol-licituds de supressio i portabilitat? Les eines de coneixement zero no emmagatzemen fitxers, de manera que la supressio pot no aplicar-se. L'EIPD ho ha de precisar.
Un bon proveïdor us facilita quatre elements: certificat ISO 27001, prova d'allotjament a la UE, la seva EIPD i un ATD signat. Aquests quatre elements cobreixen totes les llacunes de la vostra propia EIPD. La vostra autoritat de control quedara satisfeta.
Consulteu les nostres Preguntes Frequents per a DPD per a qüestions habituals sobre la verificacio de proveïdors.