Tại Sao DPO Cần Thẩm Định Công Cụ Ẩn Danh Hóa
GDPR yêu cầu Đánh giá Tác động Bảo vệ Dữ liệu (DPIA) cho công việc có rủi ro cao. Xử lý PII quy mô lớn là rủi ro cao. Công cụ ẩn danh hóa là người xử lý dữ liệu. Nó thuộc các quy tắc về người xử lý. Bạn cần đánh giá nó trước khi triển khai.
Hai điều được yêu cầu. Người xử lý cần đưa ra "đảm bảo đầy đủ" về bảo mật. Mọi việc xử lý cần được điều chỉnh bởi hợp đồng bằng văn bản. Với tư cách DPO, hãy ghi lại các biện pháp kiểm soát bảo mật của công cụ, các nhà xử lý phụ của nó, nơi lưu trữ tệp của bạn, cách xử lý vi phạm và thỏa thuận xử lý dữ liệu (DPA).
Chứng nhận ISO 27001 giảm bớt công việc. BSI phát hiện ra các công ty được chứng nhận giảm thời gian cho bảng câu hỏi bảo mật 73%. Gartner phát hiện ISO 27001 được yêu cầu trong 78% đấu thầu Fortune 500. Công cụ được chứng nhận cho phép bạn trích dẫn chứng chỉ. Bạn không cần kiểm tra từng biện pháp kiểm soát bằng tay. Các công cụ chưa được chứng nhận đòi hỏi xem xét thủ công nhiều hơn.
Xem tổng quan tuân thủ và trang bảo mật của chúng tôi để tìm hiểu cách chúng tôi đáp ứng các quy tắc này.
Bảy Điều Cần Kiểm Tra
Sử dụng danh sách này cho bất kỳ công cụ hoặc nhà cung cấp ẩn danh hóa nào.
1. Thỏa thuận xử lý dữ liệu. Đã có DPA tuân thủ GDPR chưa? Nó cần bao gồm: chỉ xử lý theo lệnh của bạn, nghĩa vụ chăm sóc, các bước bảo mật, kiểm soát nhà xử lý phụ, hỗ trợ yêu cầu quyền, xử lý hoặc trả lại tệp và quyền kiểm toán.
2. Hồ sơ bảo mật. Các bước bảo mật có được ghi lại bằng văn bản không? Nhà cung cấp được chứng nhận ISO 27001 có thể trỏ đến chứng chỉ và Tuyên bố Áp dụng của họ. Điều đó đáp ứng yêu cầu.
3. Danh sách nhà xử lý phụ. Công cụ có sử dụng nhà xử lý phụ không? Họ có được đặt tên không? Bạn cần được thông báo trước về bất kỳ thay đổi nào. Máy chủ đám mây, CDN và công cụ OCR đều tính. Tên bị thiếu là khoảng trống phổ biến.
4. Nơi lưu trữ tệp. Dữ liệu của bạn có được lưu trữ tại EU không? Lưu trữ EU là dễ nhất cho các công ty đặt tại EU. Các công cụ không tri thức cũng ổn — không có tệp nào rời thiết bị của bạn cả. Nhà cung cấp tại Mỹ cần Điều khoản Hợp đồng Tiêu chuẩn (SCC).
5. Thông báo vi phạm. Nhà cung cấp sẽ thông báo cho bạn về vi phạm trong bao lâu? Luật yêu cầu thông báo cho cơ quan quản lý trong vòng 72 giờ. Nhà cung cấp cần cảnh báo bạn trước. Kiểm tra DPA xác nhận điều này.
6. DPIA của nhà cung cấp. Nhà cung cấp đã thực hiện DPIA của riêng họ chưa? Bạn có thể đọc nó không? Không có DPIA nghĩa là khoảng trống trong hồ sơ của bạn. Đây là vấn đề thường gặp.
7. Xóa và di chuyển. Nhà cung cấp có thể xử lý yêu cầu xóa và di chuyển không? Các công cụ không tri thức không lưu trữ tệp, vì vậy xóa có thể không áp dụng. DPIA cần nêu rõ điều đó.
Một nhà cung cấp tốt cung cấp cho bạn bốn mục: chứng chỉ ISO 27001, bằng chứng lưu trữ EU, DPIA của họ và DPA đã ký. Bốn mục đó lấp đầy mọi khoảng trống trong DPIA của bạn. Cơ quan quản lý của bạn sẽ hài lòng.
Đọc FAQ DPO của chúng tôi để biết các câu hỏi thường gặp về kiểm tra nhà cung cấp.