Một Công Cụ, Ba Khung Pháp Lý
Một nhóm quyền riêng tư xử lý tệp khách hàng EU theo GDPR vào thứ Hai. Hồ sơ y tế theo HIPAA vào thứ Ba. Dữ liệu người tiêu dùng California theo CCPA vào thứ Tư.
Mỗi luật có quy tắc khác nhau. Mỗi tài liệu cần thiết lập khác nhau.
Chuyển đổi giữa ba bộ quy tắc mỗi ngày tạo ra sai sót. Thiết lập sai trên tệp sai gây ra lỗi tuân thủ hoặc mất dữ liệu.
Các hồ sơ tuân thủ được đặt tên sửa điều này. Một thiết lập đã lưu cho mỗi luật. Không cần cấu hình lại thủ công.
GDPR — Phạm Vi Bao Phủ
GDPR bao phủ tất cả dữ liệu cá nhân. Nó áp dụng cho bất kỳ cá nhân EU nào có thể được nhận dạng. Không có danh sách cố định về những gì được tính. Bất kỳ thông tin nào liên quan đến một người đều nằm trong phạm vi.
Các danh mục đặc biệt — dữ liệu sức khỏe, niềm tin tôn giáo, quan điểm chính trị — được bảo vệ thêm theo Điều 9.
Các loại thực thể phổ biến cho công việc tài liệu: tên, địa chỉ, mã số quốc gia, email, số điện thoại, địa chỉ IP, thẻ tín dụng.
Lựa chọn đúng phụ thuộc vào ngữ cảnh. GDPR không có danh sách cố định.
HIPAA — Phạm Vi Bao Phủ
HIPAA Safe Harbor xác định chính xác 18 loại định danh. Tất cả 18 phải được xóa khỏi hồ sơ y tế.
Hai quy tắc thường gây bất ngờ cho các nhóm:
- Ngày tháng giảm xuống chỉ còn năm. Tháng và ngày bị xóa. Năm vẫn giữ.
- Khu vực địa lý nhỏ hơn một tiểu bang phải bị xóa.
Các quy tắc này chỉ áp dụng cho các tổ chức được bảo vệ và đối tác kinh doanh của họ.
CCPA — Phạm Vi Bao Phủ
CCPA bao phủ thông tin cá nhân liên kết với cư dân California. Phạm vi rộng. Nó bao gồm mã định danh trực tiếp, hoạt động internet, lịch sử mua hàng, dữ liệu định vị địa lý, dữ liệu sinh trắc học và suy luận hồ sơ.
Đối với công việc tài liệu, tập trung vào mã định danh trực tiếp: tên, số an sinh xã hội, bằng lái xe, số hộ chiếu, email, số tài khoản, địa chỉ IP, mã thiết bị.
Lịch sử mua hàng và nhật ký duyệt web hiếm khi xuất hiện dưới dạng văn bản thuần túy trong tài liệu.
Tại Sao Chuyển Đổi Thủ Công Thất Bại
Chuyển đổi thủ công tạo ra sai sót. Tệp GDPR chạy với thiết lập HIPAA áp dụng các quy tắc ngày tháng mà GDPR không cần. Tệp HIPAA chạy với thiết lập GDPR bỏ sót các quy tắc địa lý mà Safe Harbor yêu cầu.
Nghiên cứu cho thấy chuyển đổi khung thủ công gây ra sai sót khoảng 15% thời gian. Mỗi sai sót là một lỗi tuân thủ hoặc sự kiện mất dữ liệu.
Nhân viên phải ghi nhớ ba bộ quy tắc và áp dụng đúng mỗi lần. Đó không phải là quy trình. Đó là phỏng đoán được thực hiện hàng ngày.
Ba Thiết Lập Được Đặt Tên
"Tiêu Chuẩn GDPR — Khách Hàng EU"
Phát hiện: tên, địa chỉ, mã số quốc gia, email, số điện thoại, địa chỉ IP, thẻ tín dụng.
Phương pháp: Xóa.
Loại trừ ngày tháng trừ khi ngày sinh nằm trong phạm vi. Bao gồm địa chỉ IP cho công việc dữ liệu trực tuyến.
"HIPAA Safe Harbor — Chăm Sóc Sức Khỏe"
Phát hiện: tên người, ngày tháng, vị trí dưới tiểu bang, điện thoại, fax, email, số an sinh xã hội, số hồ sơ bệnh nhân, mã thành viên kế hoạch sức khỏe, số tài khoản, số chứng chỉ, mã phương tiện, mã thiết bị, URL, địa chỉ IP, mã sinh trắc học. Bao phủ tất cả 18 loại Safe Harbor.
Phương pháp: Xóa. Đối với ngày: giữ năm. Xóa tháng và ngày.
Thêm mẫu tùy chỉnh cho định dạng số hồ sơ bệnh nhân của cơ sở bạn.
"CCPA — Người Tiêu Dùng California"
Phát hiện: tên, địa chỉ, số điện thoại, email, số an sinh xã hội, bằng lái xe, số hộ chiếu, thẻ tín dụng, địa chỉ IP, URL, số tài khoản, mã thiết bị.
Phương pháp: Thay thế (tốt nhất cho phân tích) hoặc Xóa.
Mỗi thiết lập đã lưu khóa quyết định tuân thủ. Người vận hành chọn hồ sơ phù hợp với ngữ cảnh pháp lý của tài liệu. Không cần xây dựng danh sách thực thể. Không cần chọn phương pháp.
Tỷ Lệ Lỗi Trước và Sau
Trước khi có hồ sơ được đặt tên: Nhân viên cấu hình lại thủ công cho mỗi luật. Tỷ lệ lỗi gần 15%. Kiểm toán hàng năm tìm thấy phát hiện áp dụng khung mỗi năm.
Sau khi có hồ sơ được đặt tên: Nhân viên chọn hồ sơ đã lưu. Thiết lập cố định. Tỷ lệ lỗi giảm xuống dưới 2%. Các lỗi còn lại đến từ việc chọn nhầm hồ sơ. Xem xét QA phát hiện những lỗi đó. Kiểm toán vượt qua mà không có phát hiện.
Sự thay đổi chính: quyết định tuân thủ chuyển từ thực thi hàng ngày sang tạo hồ sơ. Chuyên gia quyết định một lần. Mọi người vận hành áp dụng mà không cần suy nghĩ.
Điều Hành Nhóm Đa Khung
Phân công quyền sở hữu. Một trưởng nhóm cho mỗi luật. Trưởng nhóm GDPR sở hữu hồ sơ GDPR. Nhân viên tuân thủ HIPAA sở hữu thiết lập HIPAA. Mỗi trưởng nhóm xem xét hồ sơ của họ mỗi quý.
Định tuyến theo nguồn. Dữ liệu khách hàng EU dùng hồ sơ GDPR. Dữ liệu chăm sóc sức khỏe Hoa Kỳ dùng hồ sơ HIPAA. Dữ liệu người tiêu dùng California dùng hồ sơ CCPA.
Ghi lại mỗi lần chạy. Nhật ký xử lý ghi lại hồ sơ nào được sử dụng trên mỗi lô. Khi kiểm toán viên hỏi tệp được xử lý như thế nào, câu trả lời là tên hồ sơ, ngày tháng và nhật ký cấu hình.
Đẩy cập nhật. Khi EDPB ban hành hướng dẫn mới, trưởng nhóm GDPR cập nhật thiết lập dùng chung. Tất cả các lần chạy trong tương lai áp dụng thay đổi. Không ai cần được thông báo.
Để xem sâu hơn về quản trị hồ sơ và bằng chứng kiểm toán, xem preset ẩn danh và tính nhất quán kiểm toán GDPR. Để biết chi tiết phạm vi bao phủ thực thể HIPAA Safe Harbor, xem xóa nhận dạng HIPAA Safe Harbor cho nghiên cứu chăm sóc sức khỏe.
Kết Luận
Ba luật. Ba hồ sơ đã lưu. Một công cụ.
Sự phức tạp nằm ở cấp độ định nghĩa hồ sơ. Không phải trong xử lý hàng ngày. Người vận hành không cần biết các quy tắc ngày tháng của HIPAA. Họ cần biết hồ sơ nào phù hợp với tài liệu trước mặt họ.
Các thiết lập được đặt tên giảm tải nhận thức. Chúng giảm sai sót. Chúng làm cho tuân thủ có thể chứng minh được.