Anonüümimise järjepidevuse kõrvaldamine: miks meeskonnad vajavad konfiguratsiooniteabe eelseadeid, mitte häid kavatsusi
Juridilise osakonna 8 juristassistendil on iga üks oma arusaam sellest, mida "PII-anonüümmine" tähendab:
- Juristassistent A: redigeerib nimed, ignoreerib aadresse
- Juristassistent B: asendab nimed pseudonüümidega, redigeerib kõike muud
- Juristassistent C: redigeerib nimed ja e-posti aadressid, unustab telefoninumbrid
- Juristassistent D: järgib 2022. aasta protseduuri dokumendi, mida on kahel korral värskendatud
Sellesuguselt meeskonnalt tekkinud dokumendid näivad järjepidevalt käsitletud olevat. Tegelikult nii ei ole. Audit näitab, et samad PII-kategooriad käsitletakse erinevalt sama nädala, sama juhtumi tüübi ja sama regulatiivse konteksti dokumentides.
See on konfiguratsiooni triiv. See on GDPR vastavusprobleeme, mis ei nõua andmekaitse rikkumise käivitamiseks.
Miks GDPR auditorid keskenduvad järjepidevusele
GDPR vastutuse põhimõte (artikkel 5(2)) nõuab, et kontrollijad oleksid "võimelised näitama" vastavust - mitte ainult seda, et on seda saavutanud. Vastavuse näitamine nõuab süstemaatilise protsessi tõendid.
Kui DPA auditor üle vaatab anonüümimise tavasid, otsib ta järgmist:
- Dokumenteeritud protseduur: Millised olemid peaksite tuvastama ja kuidas neid käsitada?
- Tööriista konfiguratsioon: Kas teie tööriista seadistus vastab dokumenteeritud protseduurile?
- Rakendamise tõendid: Kas dokumente töödeldakse järjepidevalt protseduuri ja konfiguratsiooni järgi?
Kui erinevad o...