广告

组织需要遵守GDPR

公司现在应该已经启动了合规性计划,许多公司发现这是一项巨大的后勤任务。

《通用数据保护条例》直到2018年5月才生效,但已对许多处理欧盟公民以及直接这些公民的个人数据的组织产生了深远的影响。

组织现在应该已经启动了合规性计划,许多组织发现这是一项巨大的后勤任务。挑战包括内部意识和培训,审查政策和程序,定义和更改数据流以及系统/数据审核。这些合规性任务中的每一项都是在企业数据大量增加的背景下进行的,并且可能涉及评估成千上万个庞大的多辖区数据库或文档。

在我从事的领域中,我看到组织通过进行信息和安全审核作为补救措施的起点来做出回应。这种补救措施可能涉及数据孤岛合并,从乐观的安全模型变为悲观的安全模型,新的信息分类和保留策略,数据清理(“最小化”)和新的安全措施,尤其是针对第9条中定义的敏感数据类型。

广告

GDPR还规定了组织必须通过设计和默认来采用隐私的义务(第25条)。结果,我已经看到组织希望永久管理数据存储库中的个人信息(数量,增长,年龄,冗余,权限),以及监视可疑的用户行为或数据泄露。

这些任务的规模很大,尤其是围绕大型存储库和非结构化文档中的个人数据。数据爬网工具和分析可以提供帮助。组织正在采用对多个数据源进行爬网和编制索引的解决方案。使用光学字符识别(OCR)有助于发现暗数据。

一旦采用适当的形式,诸如命名实体识别(NER),自然语言处理(NLP)和机器学习分类之类的数据挖掘技术就可以帮助在相关上下文中查找个人数据–目的是查找某人的健康数据,而不只是查找对健康术语的引用。然后,解决方案可以帮助将清理任务分配给合适的人员,并清除任何冗余数据或保护任何敏感数据。

在安全方面,某些解决方案可以利用机器学习来确定“正常与异常”用户行为,并帮助标记潜在的数据泄露。

处理者/所有者关系的另一面是公民,欧盟政府通过新闻和宣传活动使他们意识到自己的权利得到提高。

无疑,有些人会考虑如何行使这些权利,例如数据主体访问请求(DSAR)和被遗忘的权利。因此,组织应该做好充分准备,可以在30天内对可能产生成千上万份文档和电子邮件的DSAR做出响应,并且他们不能向提出请求的人收取费用。

我经常听说DSAR会给组织造成5000到50,000英镑的损失,因为它需要一个小型团队来拖曳大量数据,而且通常使用细齿梳。这是因为个人信息定义非常广泛,并且在同一文档中与敏感的商业信息或第三方的个人信息混合在一起。此外,还有法律上的披露豁免,例如诉讼或法律特权。

组织应投入大量精力来定义每个DSAR的工作流程。有一个用于搜索或采用企业搜索解决方案的系统路线,该解决方案可以跨所有系统进行搜索并利用前面提到的相同数据挖掘技术。确保暗数据是可搜索的,并具有用于加快审查速度的正确工具,包括用于识别个人数据的剧本和用于编辑的正确工具。同样,必须以安全的方式将数据传输到请求者,以便组织使用安全的在线门户,因为电子邮件不合适。

不幸的是,对于组织而言,并没有一种万能的GDPR解决方案,因为每种方法与个人数据的交互方式都不相同。但是从定义数据流开始,然后考虑一下风险。确定补救措施后,请考虑技术如何在此过程中提供帮助。

分享

信息管理的更多内容