Γιατί οι ΥΠΔ Πρέπει να Αξιολογούν Εργαλεία Ανωνυμοποίησης
Ο GDPR απαιτεί Εκτίμηση Αντικτύπου για την Προστασία Δεδομένων (ΔΕΠΑ) για εργασίες υψηλού κινδύνου. Η επεξεργασία PII σε μεγάλη κλίμακα είναι υψηλού κινδύνου. Ένα εργαλείο ανωνυμοποίησης είναι εκτελεστής δεδομένων. Εμπίπτει στους κανόνες εκτελεστή. Πρέπει να το αξιολογήσετε πριν από τη λειτουργία.
Απαιτούνται δύο πράγματα. Οι εκτελεστές πρέπει να παρέχουν «επαρκείς εγγυήσεις» για την ασφάλεια. Όλη η επεξεργασία πρέπει να διέπεται από γραπτή σύμβαση. Ως ΥΠΔ, καταγράψτε τους ελέγχους ασφαλείας του εργαλείου, τους υπό-εκτελεστές του, πού φιλοξενεί τα αρχεία σας, πώς χειρίζεται παραβιάσεις και τη Σύμβαση Επεξεργασίας Δεδομένων (DPA).
Η πιστοποίηση ISO 27001 μειώνει τον φόρτο εργασίας. Η BSI διαπίστωσε ότι οι πιστοποιημένες εταιρείες μειώνουν τον χρόνο στα ερωτηματολόγια ασφαλείας κατά 73%. Η Gartner διαπίστωσε ότι το ISO 27001 απαιτείται στο 78% των προσφορών Fortune 500. Ένα πιστοποιημένο εργαλείο σάς επιτρέπει να επικαλεστείτε την πιστοποίηση. Δεν χρειάζεται να ελέγξετε κάθε έλεγχο χειροκίνητα. Τα μη πιστοποιημένα εργαλεία απαιτούν περισσότερη χειροκίνητη αναθεώρηση.
Δείτε την επισκόπηση συμμόρφωσής μας και τη σελίδα ασφαλείας για να μάθετε πώς ανταποκρινόμαστε σε αυτούς τους κανόνες.
Επτά Σημεία Προς Έλεγχο
Χρησιμοποιήστε αυτή τη λίστα για οποιοδήποτε εργαλείο ανωνυμοποίησης ή προμηθευτή.
1. Σύμβαση επεξεργασίας δεδομένων. Υπάρχει DPA συμβατή με GDPR; Πρέπει να καλύπτει: επεξεργασία μόνο κατ' εντολή σας, υποχρέωση επιμέλειας, βήματα ασφαλείας, έλεγχο υπό-εκτελεστών, βοήθεια με αιτήσεις δικαιωμάτων, απόρριψη ή επιστροφή αρχείων και δικαιώματα ελέγχου.
2. Αρχεία ασφαλείας. Τα βήματα ασφαλείας είναι γραπτά; Οι πιστοποιημένοι ISO 27001 προμηθευτές μπορούν να παραπέμψουν στην πιστοποίησή τους και στη Δήλωση Εφαρμοσιμότητας. Αυτό ικανοποιεί την απαίτηση.
3. Λίστα υπό-εκτελεστών. Χρησιμοποιεί το εργαλείο υπό-εκτελεστές; Είναι ονομαστικά αναφερόμενοι; Χρειάζεστε προηγούμενη ειδοποίηση για οποιαδήποτε αλλαγή. Τα cloud hosts, τα CDN και τα εργαλεία OCR μετρούν. Οι ελλιπείς λίστες είναι συνηθισμένο κενό.
4. Πού φιλοξενούνται τα αρχεία. Τα δεδομένα σας φιλοξενούνται στην ΕΕ; Η φιλοξενία στην ΕΕ είναι η πιο απλή επιλογή για εταιρείες εντός ΕΕ. Τα εργαλεία μηδενικής γνώσης είναι επίσης κατάλληλα — κανένα αρχείο δεν εγκαταλείπει τη συσκευή σας καθόλου. Οι προμηθευτές με έδρα στις ΗΠΑ χρειάζονται Τυπικές Συμβατικές Ρήτρες (SCCs).
5. Ειδοποίηση παραβίασης. Πόσο γρήγορα θα σας ενημερώσει ο προμηθευτής για παραβίαση; Ο νόμος απαιτεί ειδοποίηση της ρυθμιστικής αρχής εντός 72 ωρών. Ο προμηθευτής σας πρέπει να σας προειδοποιεί πρώτα. Ελέγξτε ότι η DPA το επιβεβαιώνει.
6. ΔΕΠΑ προμηθευτή. Ο προμηθευτής έχει κάνει τη δική του ΔΕΠΑ; Μπορείτε να τη διαβάσετε; Καμία ΔΕΠΑ σημαίνει κενό στα δικά σας αρχεία. Αυτό είναι συχνό ζήτημα.
7. Διαγραφή και φορητότητα. Μπορεί ο προμηθευτής να χειριστεί αιτήσεις διαγραφής και φορητότητας; Τα εργαλεία μηδενικής γνώσης δεν αποθηκεύουν αρχεία, οπότε η διαγραφή μπορεί να μην ισχύει. Η ΔΕΠΑ πρέπει να το αναφέρει.
Ένας καλός προμηθευτής σάς παρέχει τέσσερα στοιχεία: πιστοποίηση ISO 27001, απόδειξη φιλοξενίας στην ΕΕ, τη ΔΕΠΑ τους και μια υπογεγραμμένη DPA. Αυτά τα τέσσερα στοιχεία καλύπτουν κάθε κενό στη δική σας ΔΕΠΑ. Η ρυθμιστική αρχή σας θα είναι ικανοποιημένη.
Διαβάστε τις Συχνές Ερωτήσεις ΥΠΔ για συνηθισμένες ερωτήσεις σχετικά με ελέγχους προμηθευτών.