Eitt verkfæri, þrír rammar
Friðhelgiteymi vinnur með skrár evrópskra viðskiptavina undir GDPR á mánudag. Heilbrigðisskrár undir HIPAA á þriðjudag. Gögn neytenda í Kaliforníu undir CCPA á miðvikudag.
Hver lög hefur mismunandi reglur. Hvert skjal þarf aðra uppsetningu.
Að skipta á milli þriggja reglna á hverjum degi skapar villur. Röng uppsetning á rangar skrá veldur samræmisbresti eða gagnamissi.
Nafngreindar samræmissniðmát laga þetta. Ein vistuð uppsetning á lög. Engin handvirk endurskilgreining.
GDPR — Hvað er í umfjöllun
GDPR nær yfir öll persónuupplýsingar. Það á við um hvaða einstakling sem er í ESB sem hægt er að auðkenna. Það er engin föst listi yfir hvað telst. Allar upplýsingar sem tengjast einstaklingi eru í gildissviðinu.
Sérstakir flokkar — heilsugögn, trúarbrögð, pólitískar skoðanir — fá aukavörn samkvæmt 9. gr.
Algengar einingategundir fyrir skjalavinnu: nöfn, heimilisföng, þjóðarauðkenni, netföng, símanúmer, IP-tölur, kreditkort.
Rétt val fer eftir samhengi. GDPR er með enga fasta lista.
HIPAA — Hvað er í umfjöllun
HIPAA Safe Harbor skilgreinir nákvæmlega 18 auðkennategundir. Allar 18 verða að vera fjarlægðar úr heilbrigðisskrám.
Tvær reglur koma teymum á óvart:
- Dagsetningar minnka í ár eingöngu. Mánuður og dagur eru fjarlægð. Árið helst.
- Landfræðileg svæði minni en ríki verða að vera fjarlægð.
Þessar reglur gilda einungis um skyld aðilar og viðskiptafélaga þeirra.
CCPA — Hvað er í umfjöllun
CCPA nær yfir persónuupplýsingar tengdar íbúum Kaliforníu. Gildissvið er vítt. Það nær yfir bein auðkenni, internetvirkni, kaupasögu, landfræðileg gögn, líffræðileg gögn og prófílálykktanir.
Fyrir skjalavinnu skaltu einblína á bein auðkenni: nöfn, kennitölur, ökuréttarskírteini, vegabréfsnúmer, netföng, reikningsnúmer, IP-tölur, tækjaauðkenni.
Kaupsaga og vafrakladdar birtast sjaldan sem venjulegur texti í skjali.
Hvers vegna handvirk skipting mistekst
Handvirk skipting skapar villur. GDPR-skjal keyrt með HIPAA-uppsetningu grípur dagsetningarreglur sem GDPR þarf ekki. HIPAA-skjal keyrt með GDPR-uppsetningu vanrækir landfræðilegar reglur sem Safe Harbor krefst.
Rannsóknir sýna að handvirkar rammaskilptingar framleiða villur um 15% af tímanum. Sérhver villa er samræmisbrest eða gagnamisstöð.
Starfsmenn verða að hafa þrjár reglur í huga og beita þeirri réttu í hvert skipti. Þetta er ekki ferli. Þetta er gisk sem er gert daglega.
Þrjár nafngreindar uppsetningar
"GDPR staðall — Evrópskir viðskiptavinir"
Greinir: nöfn, heimilisföng, þjóðarauðkenni, netföng, símanúmer, IP-tölur, kreditkort.
Aðferð: Þurrka.
Útilokaðu dagsetningar nema ef fæðingardagur er í gildissviðinu. Hafðu IP-tölur með fyrir vinnu með netgögn.
"HIPAA Safe Harbor — Heilbrigðisþjónusta"
Greinir: nöfn einstaklinga, dagsetningar, svæði undir ríkisstigi, símanúmer, faxnúmer, netföng, kennitölur, sjúklingsnúmer, heilsutryggingarauðkenni, reikningsnúmer, vottorðsnúmer, ökutækjaauðkenni, tækjaauðkenni, vefslóðir, IP-tölur, líffræðileg auðkenni. Þetta nær yfir allar 18 Safe Harbor-tegundir.
Aðferð: Þurrka. Fyrir dagsetningar: haltu árinu. Fjarlægðu mánuð og dag.
Bættu við sérsniðnu mynstri fyrir sjúklingsnúmerssnið stofnunar þinnar.
"CCPA — Neytandi í Kaliforníu"
Greinir: nöfn, heimilisföng, símanúmer, netföng, kennitölur, ökuréttarskírteini, vegabréfsnúmer, kreditkort, IP-tölur, vefslóðir, reikningsnúmer, tækjaauðkenni.
Aðferð: Skipta um (best fyrir greiningar) eða Þurrka.
Hver vistuð uppsetning læsir samræmisákvörðuninni. Stjórnandinn velur forskilgreininguna sem hentar lagalegu samhengi skjalsins. Engin einingalisti til að byggja. Engin aðferð til að velja.
Villuhlutfall fyrir og eftir
Fyrir nafngreindar forskilgreiningar: Starfsmenn endurskilgreina handvirkt fyrir hvert lög. Villuhlutfall er nálægt 15%. Árleg endurskoðun finnur rammabeittarniðurstöður á hverju ári.
Eftir nafngreindar forskilgreiningar: Starfsmenn velja vistaðar forskilgreiningar. Uppsetningin er föst. Villuhlutfall lækkar niður fyrir 2%. Eftirstandandi villur koma frá því að velja ranga forskilgreiningu. QA-yfirferð grípur þær. Endurskoðanir fara í gegn án niðurstaðna.
Lykillinn í skiptingu: samræmisákvörðunin flytur frá daglegri framkvæmd yfir í gerð forskilgreininga. Sérfræðingur ákveður einu sinni. Sérhver stjórnandi beitir því án þess að hugsa.
Að keyra fjolramalegt teymi
Úthlutaðu eigandaskap. Einn yfirmaður á hvert lög. GDPR-yfirmaðurinn á GDPR-forskilgreininguna. HIPAA-yfirmaðurinn á HIPAA-uppsetningu. Sérhver yfirmaður fer yfir forskilgreiningu sína á fjórðungslegum grundvelli.
Leiðarlínan eftir uppruna. Gögn evrópskra viðskiptavina nota GDPR-forskilgreininguna. Gögn bandarískrar heilbrigðisþjónustu nota HIPAA-forskilgreininguna. Gögn neytenda í Kaliforníu nota CCPA-forskilgreininguna.
Skráðu hverja keyrslu. Vinnsluskrár skrá hvaða forskilgreining var notuð á hverjum hópi. Þegar endurskoðandi spyr hvernig skjal var meðhöndlað er svarið forskilgreiningarnafn, dagsetning og stillingunarskrá.
Ýttu uppfærslum. Þegar EDPB gefur út nýjar leiðbeiningar uppfærir GDPR-yfirmaðurinn samnýtta uppsetninguna. Allar framtíðarkeyrslur taka breytinguna upp. Engum þarf að vera sagt frá.
Sjá nafnlægingarforskilgreiningar og GDPR-endurskoðunarsamræmi til að fá dýpri innsýn í stjórnun forskilgreininga og endurskoðunargögn. Sjá HIPAA Safe Harbor nafnlæging fyrir heilbrigðisrannsóknir til að fá nákvæmar upplýsingar um HIPAA Safe Harbor einingaumfjöllun.
Niðurstaða
Þrjár lög. Þrjár vistaðar forskilgreiningar. Eitt verkfæri.
Flækjan lifir á forskilgreiningarskilgreiningarstiginu. Ekki í daglegri vinnslu. Stjórnendur þurfa ekki að þekkja HIPAA-dagsetningarreglur. Þeir þurfa að vita hvaða forskilgreining hentar skjalinu sem þeir standa frammi fyrir.
Nafngreindar uppsetningar draga úr hugsunarálagi. Þær minnka villur. Þær gera samræmi sannanlegur.