广告

组织需要与GDPR合规进行

公司应该已经开始了他们现在的合规计划,许多人都发现它是一个巨大的后勤任务。

直到2018年5月,一般数据保护规则并未生效,但它已经对许多处理欧盟公民的个人数据以及直接这些公民的许多组织产生了深远的影响。

组织应该已经开始了他们的合规倡议,许多人发现它是一个巨大的后勤任务。挑战涉及内部意识和培训,审查政策和程序,定义和更改数据流量和系统/数据审核。这些合规任务中的每一个都在占据了企业数据的巨大增加的背景下,可能涉及评估遇到数亿的大规模多司法数据库或文件。

在我工作的地区,我看到组织通过将信息和安全审核作为补救措施的起点来回应。此类补救措施可能涉及数据允许整合,从乐观变化到悲观的安全模型,新信息分类和保留策略,数据清理(“最小化”)和新的安全措施,特别是对于第9条所定义的敏感数据类型。

广告

GDPR还介绍了组织通过设计和违约采用隐私的义务(第25条)。因此,我已经看到组织希望永久管理数据存储库中的个人信息(卷,增长,年龄,冗余,权限)以及监控可疑用户行为或数据泄露。

这些任务的规模很大,尤其是庞大的存储库和非结构化文件中的个人数据。数据爬行工具和分析可以提供帮助。组织正在采用爬网和索引多个数据源的解决方案。使用光学字符识别(OCR)有助于使DAMAL DATA可发现。

一旦以适当的形式,数据挖掘技术,如命名实体识别(ner),自然语言处理(NLP)和机器学习分类都可以帮助找到相关背景中的个人数据 - 目的是找到某人的健康数据而不是刚刚对健康术语的提及。然后,解决方案可以帮助将清理任务分配给合适的人员,并清除任何冗余数据或安全的任何敏感数据。

在安全方面,某些解决方案可以利用机器学习来确定“普通与异常”的用户行为,并有助于标记潜在的数据漏洞。

在处理器/所有者关系的另一边是公民,他们通过欧盟政府的媒体和意识活动来了解他们的加强权利。

有些人无疑会考虑如何行使这些权利,例如数据主题访问请求(DSAR)和被遗忘的权利。因此,组织应该完全准备在潜在数万个文件和电子邮件的30天内回复DSAR,并且他们无法向提出请求的人收取。

我经常听说Dsars成本化组织5000英镑,每个人都需要一个小组,以跨越大量的数据拖网 - 通常用细牙齿梳理。这是因为个人信息非常广泛地定义,并且与同一文件中的第三方的敏感商业信息或个人信息混合。此外,有披露的法律豁免,例如诉讼或法律特权。

组织应该致力于为每个DSAR定义工作流程流程。拥有系统的行程,用于搜索或采用可以在所有这些中搜索的企业搜索解决方案,并利用前面提到的相同的数据挖掘技术。确保可搜索暗数据,并具有加快审核的合适工具,包括用于个人数据识别的PlayBook以及用于缩减的正确工具。此外,必须以安全的方式将数据传输到请求者,因此组织正在查看安全的在线门户网站,因为电子邮件不合适。

不幸的是,没有单尺寸适合所有GDPR组织解决方案,因为每个组织都与他们如何与个人数据交互不同。但首先定义数据流程并思考风险。一旦确定了补救措施,就会考虑技术如何协助该过程。

分享

更多来自信息管理