Un instrument, trei cadre
O echipă de confidențialitate procesează luni fișierele clienților UE în conformitate cu GDPR. Marți, dosarele medicale în conformitate cu HIPAA. Miercuri, datele consumatorilor din California conform CCPA.
Fiecare lege are reguli diferite. Fiecare document necesită o configurare diferită.
Comutarea între trei seturi de reguli în fiecare zi creează erori. Configurarea greșită pe fișierul greșit provoacă un eșec de conformitate sau o pierdere de date.
Profilurile de conformitate denumite remediază acest lucru. O configurare salvată per lege. Fără reconfigurare manuală.
GDPR — Ce acoperă
GDPR acoperă toate datele cu caracter personal. Se aplică oricărui individ din UE care poate fi identificat. Nu există o listă fixă a ceea ce contează. Orice informație care se referă la o persoană intră în sfera de aplicare.
Categoriile speciale — date de sănătate, convingeri religioase, opinii politice — beneficiază de protecție suplimentară conform Articolului 9.
Tipuri de entități comune pentru lucrul cu documente: nume, adrese, ID-uri naționale, emailuri, numere de telefon, adrese IP, carduri de credit.
Decizia corectă depinde de context. GDPR nu are o listă fixă.
HIPAA — Ce acoperă
Safe Harbor HIPAA definește exact 18 tipuri de identificatori. Toți cei 18 trebuie eliminați din dosarele de sănătate.
Două reguli surprind echipele:
- Datele se reduc la an. Luna și ziua sunt eliminate. Anul rămâne.
- Zonele geografice mai mici decât un stat trebuie eliminate.
Aceste reguli se aplică doar entităților acoperite și partenerilor lor de afaceri.
CCPA — Ce acoperă
CCPA acoperă informațiile personale legate de rezidenții din California. Sfera de aplicare este largă. Include identificatori direcți, activitate pe internet, istoricul achizițiilor, date de geolocalizare, date biometrice și inferențe de profil.
Pentru lucrul cu documente, concentrează-te pe identificatorii direcți: nume, CNP-uri, permise de conducere, numere de pașaport, emailuri, numere de cont, adrese IP, ID-uri de dispozitiv.
Istoricul achizițiilor și jurnalele de navigare apar rareori ca text simplu într-un document.
De ce comutarea manuală eșuează
Comutarea manuală creează erori. Un fișier GDPR rulat cu o configurare HIPAA preia reguli pentru date pe care GDPR nu le necesită. Un fișier HIPAA rulat cu o configurare GDPR ratează regulile geografice pe care Safe Harbor le impune.
Studiile arată că comutările manuale între cadre produc erori în aproximativ 15% din cazuri. Fiecare eroare este o ratare de conformitate sau un eveniment de pierdere de date.
Personalul trebuie să aibă în minte trei seturi de reguli și să îl aplice pe cel corect de fiecare dată. Acesta nu este un proces. Este o ghicire zilnică.
Trei configurări denumite
„Standard GDPR — Clienți UE"
Detectează: nume, adrese, ID-uri naționale, emailuri, numere de telefon, adrese IP, carduri de credit.
Metodă: Redact.
Exclude datele dacă data de naștere nu este în sferă. Include adresele IP pentru lucrul cu date online.
„HIPAA Safe Harbor — Sănătate"
Detectează: numele persoanelor, datele, locațiile sub nivel de stat, telefon, fax, email, CNP, numere de înregistrare medicală, ID-uri plan de sănătate, numere de cont, numere de certificat, ID-uri vehicule, ID-uri dispozitive, URL-uri, adrese IP, ID-uri biometrice. Aceasta acoperă toate cele 18 tipuri Safe Harbor.
Metodă: Redact. Pentru date: păstrează anul. Elimină luna și ziua.
Adaugă un tipar personalizat pentru formatul numărului de înregistrare medicală al facilității tale.
„CCPA — Consumator California"
Detectează: nume, adrese, numere de telefon, emailuri, CNP-uri, permise de conducere, numere de pașaport, carduri de credit, adrese IP, URL-uri, numere de cont, ID-uri dispozitive.
Metodă: Înlocuire (optimă pentru analiză) sau Redact.
Fiecare configurare salvată fixează decizia de conformitate. Operatorul alege profilul care corespunde contextului juridic al documentului. Fără listă de entități de construit. Fără metodă de ales.
Ratele de eroare înainte și după
Înainte de profilurile denumite: Personalul reconfigurează manual pentru fiecare lege. Rata de eroare este aproape de 15%. Auditurile anuale găsesc constatări privind aplicarea cadrelor în fiecare an.
După profilurile denumite: Personalul alege un profil salvat. Configurarea este fixă. Rata de eroare scade sub 2%. Erorile rămase provin din alegerea profilului greșit. Revizuirea QA le detectează. Auditurile trec fără constatări.
Schimbarea cheie: decizia de conformitate se mută de la execuția zilnică la crearea profilului. Un specialist decide o dată. Fiecare operator o aplică fără să se gândească.
Conducerea unei echipe multi-cadru
Atribuie responsabilitate. Un lider per lege. Liderul GDPR deține profilul GDPR. Ofițerul HIPAA deține configurarea HIPAA. Fiecare lider își revizuiește profilul trimestrial.
Direcționează după sursă. Datele clienților UE folosesc profilul GDPR. Datele medicale din SUA folosesc profilul HIPAA. Datele consumatorilor din California folosesc profilul CCPA.
Înregistrează fiecare rulare. Jurnalele de procesare înregistrează ce profil a fost utilizat pentru fiecare lot. Când un auditor întreabă cum a fost gestionat un fișier, răspunsul este un nume de profil, o dată și un jurnal de configurare.
Actualizează profilurile. Când EDPB emite noi îndrumări, liderul GDPR actualizează configurarea partajată. Toate rulările viitoare preiau modificarea. Nimeni nu trebuie informat.
Pentru o analiză mai aprofundată a guvernanței profilurilor și a dovezilor de audit, consultați presetările de anonimizare și consecvența auditului GDPR. Pentru detalii despre acoperirea entităților HIPAA Safe Harbor, consultați de-identificarea HIPAA Safe Harbor pentru cercetarea medicală.
Concluzie
Trei legi. Trei profiluri salvate. Un instrument.
Complexitatea se află la nivelul definirii profilului. Nu în procesarea zilnică. Operatorii nu trebuie să cunoască regulile HIPAA privind datele. Trebuie să știe care profil corespunde documentului din fața lor.
Configurările denumite reduc efortul cognitiv. Reduc erorile. Fac conformitatea demonstrabilă.