Една алатка, три рамки
Тим за приватност обработува датотеки на клиенти од ЕУ под GDPR во понеделник. Здравствени записи под HIPAA во вторник. Потрошувачки податоци од Калифорнија под CCPA во среда.
Секој закон има различни правила. Секој документ бара различно поставување.
Преминувањето меѓу три сетови на правила секој ден создава грешки. Погрешното поставување на погрешна датотека предизвикува пропуст во усогласеноста или губење на податоци.
Именуваните профили за усогласеност го поправаат ова. Едно зачувано поставување по закон. Без рачна реконфигурација.
GDPR — Што покрива
GDPR ги покрива сите лични податоци. Се применува на секој поединец од ЕУ кој може да се идентификува. Не постои фиксна листа на она што се смета. Секоја информација која се однесува на лице е во опсег.
Посебните категории — здравствени податоци, верски убедувања, политички погледи — добиваат дополнителна заштита под Членот 9.
Вообичаени видови ентитети за работа со документи: имиња, адреси, национални ID-а, е-пошти, телефонски броеви, IP адреси, кредитни картички.
Вистинскиот избор зависи од контекстот. GDPR нема фиксна листа.
HIPAA — Што покрива
HIPAA Safe Harbor дефинира точно 18 видови идентификатори. Сите 18 мора да бидат отстранети од здравствените записи.
Две правила ги изненадуваат тимовите:
- Датумите се намалуваат само на годината. Месецот и денот се отстрануваат. Годината останува.
- Географски области помали од држава мора да бидат отстранети.
Овие правила се применуваат само на покриените субјекти и нивните деловни партнери.
CCPA — Што покрива
CCPA ги покрива личните информации поврзани со резидентите на Калифорнија. Опсегот е широк. Вклучува директни идентификатори, активност на интернет, историја на купување, геолокациски податоци, биометриски податоци и профилни заклучувања.
За работа со документи, фокусирајте се на директни идентификатори: имиња, ЕМБГ, возачки дозволи, броеви на пасоши, е-пошти, броеви на сметки, IP адреси, ID-а на уреди.
Историјата на купување и дневниците на пребарување ретко се појавуваат како обичен текст во документ.
Зошто рачното префрлање не успева
Рачното префрлање создава грешки. Датотека по GDPR извршена со поставување по HIPAA ги преземаат правилата за датуми кои GDPR не ги бара. Датотека по HIPAA извршена со поставување по GDPR ги пропушта географските правила кои Safe Harbor ги бара.
Студиите покажуваат дека рачното префрлање на рамки произведува грешки во около 15% од случаите. Секоја грешка е пропуст во усогласеноста или настан со губење на податоци.
Персоналот мора да ги чува три сетови на правила на ум и да го применува вистинскиот секој пат. Тоа не е процес. Тоа е погодување направено секојдневно.
Три именувани поставувања
"GDPR Стандард — Клиенти на ЕУ"
Открива: имиња, адреси, национални ID-а, е-пошти, телефонски броеви, IP адреси, кредитни картички.
Метод: Редактирај.
Исклучете ги датумите освен ако датумот на раѓање не е во опсег. Вклучете ги IP адресите за работа со онлајн податоци.
"HIPAA Safe Harbor — Здравствена заштита"
Открива: имиња на лица, датуми, локации под ниво на држава, телефон, факс, е-пошта, ЕМБГ, броеви на медицински записи, ID-а на здравствени планови, броеви на сметки, броеви на сертификати, ID-а на возила, ID-а на уреди, URL-адреси, IP адреси, биометриски ID-а. Тоа ги покрива сите 18 видови по Safe Harbor.
Метод: Редактирај. За датуми: задржете ја годината. Отстранете ги месецот и денот.
Додајте прилагоден образец за форматот на бројот на медицинскиот запис на вашата установа.
"CCPA — Потрошувач во Калифорнија"
Открива: имиња, адреси, телефонски броеви, е-пошти, ЕМБГ, возачки дозволи, броеви на пасоши, кредитни картички, IP адреси, URL-адреси, броеви на сметки, ID-а на уреди.
Метод: Замени (најдобро за аналитика) или Редактирај.
Секое зачувано поставување ја заклучува одлуката за усогласеност. Операторот го избира профилот кој одговара на правниот контекст на документот. Без листа на ентитети за градење. Без метод за избор.
Стапки на грешка пред и по
Пред именуваните профили: Персоналот го реконфигурира рачно за секој закон. Стапката на грешка е близу 15%. Годишните ревизии секоја година наоѓаат наоди за примена на рамки.
По именуваните профили: Персоналот избира зачуван профил. Поставувањето е фиксно. Стапката на грешки паѓа под 2%. Преостанатите грешки доаѓаат од избирање на погрешен профил. Прегледот за контрола на квалитет ги фаќа оние. Ревизиите поминуваат без наоди.
Клучната промена: одлуката за усогласеност се преселува од секојдневното извршување до создавањето на профили. Специјалист одлучува еднаш. Секој оператор го применува без размислување.
Водење на тим со повеќе рамки
Доделете сопственост. Еден водач по закон. Водачот за GDPR го поседува профилот за GDPR. Офицерот за HIPAA го поседува поставувањето за HIPAA. Секој водач го прегледува својот профил секое тримесечје.
Насочете по извор. Податоците на клиенти на ЕУ го користат профилот за GDPR. Здравствените податоци на САД го користат профилот за HIPAA. Потрошувачките податоци во Калифорнија го користат профилот за CCPA.
Евидентирајте секое стартување. Записите за обработка евидентираат кој профил е употребен на секоја серија. Кога ревизор праша како е обработена датотека, одговорот е ime на профил, датум и дневник за конфигурација.
Притиснете ажурирања. Кога EDPB издава ново упатство, водачот за GDPR го ажурира заедничкото поставување. Сите идни стартувања ја прифаќаат промената. Никој не треба да биде известен.
За подлабок поглед на управувањето со профили и ревизиски докази, видете предлошки за анонимизација и конзистентност на ревизијата по GDPR. За детална покриеност на ентитетите по HIPAA Safe Harbor, видете де-идентификација по HIPAA Safe Harbor за истражување во здравствена заштита.
Заклучок
Три закони. Три зачувани профили. Една алатка.
Комплексноста живее на нивото на дефиниција на профилите. Не во секојдневната обработка. Операторите не треба да ги знаат правилата за датуми по HIPAA. Треба да знаат кој профил одговара на документот пред нив.
Именуваните поставувања го намалуваат когнитивното оптоварување. Ги намалуваат грешките. Ја прават усогласеноста доказна.