Vienas įrankis, trys sistemos
Privatumo komanda pirmadieniais pagal BDAR apdoroja ES klientų failus. Antradieniais - sveikatos priežiūros įrašus pagal HIPAA. Trečiadieniais - Kalifornijos vartotojų duomenis pagal CCPA.
Kiekvienas įstatymas turi skirtingas taisykles. Kiekvienam dokumentui reikia skirtingos konfigūracijos.
Kasdienis perjungimas tarp trijų taisyklių rinkinių sukelia klaidas. Netinkama konfigūracija netinkamam failui sukelia atitikties pažeidimą arba duomenų praradimą.
Pavadintos atitikties konfigūracijos tai ištaiso. Viena išsaugota konfigūracija kiekvienam įstatymui. Jokios rankinės konfigūracijos.
BDAR - ką apima
BDAR apima visus asmens duomenis. Jis taikomas bet kuriam ES asmeniui, kurį galima identifikuoti. Nėra fiksuoto sąrašo to, kas atitinka. Bet kokia informacija, susijusi su asmeniu, yra apimtyje.
Specialios kategorijos - sveikatos duomenys, religiniai įsitikinimai, politiniai požiūriai - gauna papildomą apsaugą pagal 9 straipsnį.
Įprasti objektų tipai dokumentų darbui: vardai, adresai, nacionaliniai identifikatoriai, el. pašto adresai, telefono numeriai, IP adresai, kredito kortelės.
Teisingas sprendimas priklauso nuo konteksto. BDAR neturi fiksuoto sąrašo.
HIPAA - ką apima
HIPAA saugaus prieglobsčio taisyklė tiksliai apibrėžia 18 identifikatorių tipų. Visi 18 turi būti pašalinti iš sveikatos įrašų.
Dvi taisyklės nustebina komandas:
- Datos sumažinamos iki tik metų. Mėnuo ir diena pašalinami. Metai lieka.
- Geografiniai plotai, mažesni nei valstija, turi būti pašalinti.
Šios taisyklės taikomos tik apdraustiems subjektams ir jų verslo partneriams.
CCPA - ką apima
CCPA apima asmeninę informaciją, susijusią su Kalifornijos gyventojais. Apimtis yra plati. Ji apima tiesiogines identifikacines žymes, interneto veiklą, pirkimų istoriją, geolokacijos duomenis, biometrinius duomenis ir profilio išvadas.
Dokumentų darbui sutelkite dėmesį į tiesiogines identifikacines žymes: vardus, socialinio draudimo numerius, vairuotojo pažymėjimus, paso numerius, el. pašto adresus, sąskaitų numerius, IP adresus, įrenginio identifikatorius.
Pirkimų istorija ir naršymo žurnalai retai pasirodo kaip paprasto teksto dokumente.
Kodėl rankinis perjungimas nepavyksta
Rankinis perjungimas sukelia klaidas. BDAR failas, paleistas su HIPAA konfigūracija, paima datų taisykles, kurių BDAR nereikia. HIPAA failas, paleistas su BDAR konfigūracija, praleidžia geografines taisykles, kurių reikalauja saugaus prieglobsčio taisyklė.
Tyrimai rodo, kad rankinis sistemų perjungimas sukelia klaidas maždaug 15% atvejų. Kiekviena klaida yra atitikties pažeidimas arba duomenų praradimo įvykis.
Darbuotojai turi galvoje laikyti tris taisyklių rinkinius ir kiekvieną kartą taikyti tinkamą. Tai nėra procesas. Tai yra kasdieninis spėjimas.
Trys pavadintos konfigūracijos
"BDAR standartas - ES klientai"
Aptinka: vardus, adresus, nacionalinius identifikatorius, el. pašto adresus, telefono numerius, IP adresus, kredito korteles.
Metodas: Redaguoti.
Nepridėkite datų, nebent gimimo data yra apimtyje. Įtraukite IP adresus internetinių duomenų darbui.
"HIPAA saugus prieglobstis - sveikatos priežiūra"
Aptinka: asmenų vardus, datas, subsavaitinio lygio vietas, telefoną, faksą, el. paštą, socialinio draudimo numerius, medicinos įrašų numerius, sveikatos plano identifikatorius, sąskaitų numerius, sertifikatų numerius, transporto priemonių identifikatorius, įrenginio identifikatorius, URL, IP adresus, biometrinius identifikatorius. Tai apima visus 18 saugaus prieglobsčio tipų.
Metodas: Redaguoti. Datoms: išlaikykite metus. Pašalinkite mėnesį ir dieną.
Pridėkite specialų šabloną savo įstaigos medicinos įrašo numerio formatui.
"CCPA - Kalifornijos vartotojas"
Aptinka: vardus, adresus, telefono numerius, el. pašto adresus, socialinio draudimo numerius, vairuotojo pažymėjimus, paso numerius, kredito korteles, IP adresus, URL, sąskaitų numerius, įrenginio identifikatorius.
Metodas: Pakeisti (geriausiai analizei) arba Redaguoti.
Kiekviena išsaugota konfigūracija fiksuoja atitikties sprendimą. Operatorius pasirenka profilį, atitinkantį dokumento teisinį kontekstą. Nėra objektų sąrašo kurti. Nėra metodo rinktis.
Klaidų dažniai prieš ir po
Prieš pavadintas konfigūracijas: Darbuotojai rankiniu būdu konfigūruoja kiekvienam įstatymui. Klaidų dažnis yra apie 15%. Metiniai auditai kasmet atranda sistemų taikymo radinių.
Po pavadintų konfigūracijų: Darbuotojai pasirenka išsaugotą konfigūraciją. Konfigūracija yra fiksuota. Klaidų dažnis krinta žemiau 2%. Likusios klaidos kyla dėl netinkamos konfigūracijos pasirinkimo. Kokybės kontrolės peržiūra jas aptinka. Auditai praeina be radinių.
Pagrindinė permaida: atitikties sprendimas pereina nuo kasdieninio vykdymo prie konfigūracijos kūrimo. Specialistas nusprendžia vieną kartą. Kiekvienas operatorius taiko tai nesusimąstydamas.
Kelių sistemų komandos valdymas
Paskirkite atsakomybę. Vienas vadovas kiekvienam įstatymui. BDAR vadovas valdo BDAR konfigūraciją. HIPAA pareigūnas valdo HIPAA konfigūraciją. Kiekvienas vadovas peržiūri savo konfigūraciją kas ketvirtį.
Nukreipkite pagal šaltinį. ES klientų duomenys naudoja BDAR profilį. JAV sveikatos priežiūros duomenys naudoja HIPAA profilį. Kalifornijos vartotojų duomenys naudoja CCPA profilį.
Registruokite kiekvieną paleidimą. Apdorojimo žurnalai įrašo, kuris profilis buvo naudotas kiekvienam paketui. Kai auditorius klausia, kaip failas buvo tvarkytas, atsakymas yra profilio pavadinimas, data ir konfigūracijos žurnalas.
Skleiskite atnaujinimus. Kai EDPB paskelbia naujas gaires, BDAR vadovas atnaujina bendrą konfigūraciją. Visi būsimi paleidimai paima pakeitimą. Nereikia nieko informuoti.
Išsamesniam profilio valdymo ir audito įrodymų aptarimui žr. anonimizavimo išankstinės konfigūracijos ir BDAR audito nuoseklumas. Dėl HIPAA saugaus prieglobsčio objektų aprėpties detaliai žr. HIPAA saugaus prieglobsčio depersonalizavimas sveikatos priežiūros tyrimams.
Išvada
Trys įstatymai. Trys išsaugotos konfigūracijos. Vienas įrankis.
Sudėtingumas yra konfigūracijos apibrėžimo lygyje. Ne kasdieniniame apdorojime. Operatoriams nereikia žinoti HIPAA datų taisyklių. Jie turi žinoti, kuri konfigūracija tinka dokumentui priešais juos.
Pavadintos konfigūracijos sumažina kognityvinę apkrovą. Jos mažina klaidas. Jos daro atitiktį įrodoma.