Tanggung Jawab DPO untuk Alat Penanoniman
Data Protection Officer (DPO) bertanggung jawab untuk mengesahkan bahawa:
-
Perjanjian Pemprosesan Data (DPA) ada di tempat dengan vendor penanoniman
- Perjanjian mesti menentukan sifat, tujuan, dan tempoh pemprosesan
- Vendor harus berkomitmen untuk mengikuti arahan pengawal data saja
- Syarat untuk subkontraktor harus didokumentasikan
-
Keamanan Data sesuai dengan Artikel 32
- Enkripsi data transit (HTTPS TLS 1.2+)
- Enkripsi data dalam istirahat
- Kawalan akses: siapa yang dapat mengakses fungsi penanoniman
- Pengesahan multi-faktor untuk akun admin
- Pemantauan keamanan dan audit
-
Jejak Audit Lengkap
- Siapa yang menjalankan alat penanoniman
- Kapan (timestamp tepat)
- Data apa yang diproses
- Hasil penanoniman (berapa banyak catatan diproses, berapa banyak kesalahan)
- Siapa yang melihat hasil penanoniman selepas itu
-
Penilaian Dampak Perlindungan Data (DPIA)
- Jika alat penanoniman memproses data skala besar, DPIA diperlukan
- DPIA mesti mengevaluasi risiko bahawa penanoniman mungkin gagal atau tidak lengkap
- DPIA harus mendokumentasikan bagaimana penanoniman mematuhi Peraturan 2014/679 (yang sesuai dengan standar NIST)
-
Laporan Penanoniman yang Dapat Diaudit
- Vendor harus memberikan laporan tertulis yang menunjukkan:
- Berapa banyak catatan yang diproses
- Kategori data yang diproses
- Teknik penanoniman yang digunakan
- Hasil (berapa banyak yang berhasil, berapa banyak yang gagal)
- Bukti tidak dapat ditautkan (pengujian pengujian kembali)
- Vendor harus memberikan laporan tertulis yang menunjukkan:
Kelemahan Umum yang Ditemui Oleh Auditor
- Tidak ada DPA — Alat digunakan tetapi tidak ada perjanjian tertulis dengan vendor
- Catatan Audit Tidak Lengkap — Tidak ada pencatatan siapa yang mengakses alat atau kapan
- Tidak ada Pengujian Pemulihan Tautan — Vendor menyatakan "penanoniman" tetapi tidak pernah menguji apakah data dapat ditautkan kembali
- Kunci Penyimpanan Tidak Aman — Jika menggunakan pseudonymisasi, kunci disimpan di tempat yang sama dengan data
- Tanpa Sertifikasi Keamanan — Vendor tidak memiliki ISO 27001, SOC 2, atau sertifikasi keamanan apa pun
- Tidak Ada DPIA — Organisasi tidak melakukan penilaian dampak untuk proyek penanoniman skala besar
Senarai Semak DPO untuk Vendor Alat Penanoniman
- Perjanjian Pemprosesan Data (DPA) ditandatangani
- DPA menyebutkan Artikel 28 dengan jelas
- Vendor berkomitmen untuk keamanan Artikel 32
- Enkripsi transit (HTTPS TLS 1.2+) tersedia
- Enkripsi data dalam istirahat dijelaskan
- Kontrol akses didokumentasikan
- Autentikasi multi-faktor untuk admin
- Jejak audit tersedia dan dapat diakses
- Laporan penanoniman tertulis dapat dihasilkan
- Pengujian pemulihan tautan telah dilakukan
- DPIA telah dilakukan (jika diperlukan)
- Vendor memiliki sertifikasi keamanan (ISO 27001, SOC 2, dll)
- Subkontraktor vendor telah diidentifikasi dan disepakati
- Perjanjian memungkinkan audit DPA on-site atau jarak jauh
- Perjanjian terputus jika vendor dilanggar / tidak mematuhi