security

EU-DSGVO: Die Chance, IT und Business auf die gleiche Wellenlänge zu bringen

Die Zeit bis zur Umsetzung der EU Datenschutzgrundverordnung, kurz EU-DSGVO, bis zum Mai 2018 drängt. Welche Aufgaben machen nicht nur aufgrund dieser gesetzlichen Auflagen Sinn, sondern schaffen auch über das gesamte Unternehmen Wert? Wir schlagen eine Herangehensweise in 4 Schritten vor, die durch eine höhere Transparenz auch die Zusammenarbeit zwischen IT und Business verbessert.

  1. Datenidentifikation und -klassifikation im Unternehmen
  2. Ausarbeitung eines eigenen, internen Kontrollsystems für datenschutzrelevante Daten
  3. Konzeptionelle Aufarbeitung der Schritte 1 und 2
  4. Nutzung bestehender, technischer und organisatorischer Möglichkeiten

 

Schritt 3: die Konzeptionelle Aufarbeitung
Die Schritte 1 und 2 bringen Licht in die nötigen Anpassungen, die im Zuge des neuen Datenschutzrechts nötig sind. Die Aufarbeitung in ein «firmeninternes Datenschutzgesetz» bringt konzeptionelle Auswirkungen auf IT und Organisation, sowohl in der Umsetzung wie auch im Controlling. Diese zu beschreiben ist die grosse Chance, um IT und Business auf den gleichen Stand zu bringen.

Dabei muss man das Rad nicht neu erfinden. Die Transparenz und Ausrichtung auf bereits im Unternehmen etablierte Vorlagen und Prozesse sind der ideale Ausgangspunk. Unsere Empfehlung ist, dazu vom Internen Kontrollsystem («IKS») auszugehen. Der Schutz von Daten und Prozessen wurde hier schon adressiert, wenn auch vielleicht nur für Finanz Daten. Nun stehen zum einen die Identifikation von Personen bezogenen Daten an und zum anderen die technischen Rahmenbedingungen.

Analog der Finanzströme und Überlegungen, ab welcher Summe welche Kontrollpunkte eingeführt werden, sind Personen bezogene Daten zu klassifizieren. Zuerst konzentrieren wir uns auf alle bekannten Bereiche im Personal- und CRM Bereich. Sprechen Sie sich mit dem Fachbereich ab und erfahren Sie, ob die Daten aus „betrieblich oder gesetzlich notwendiger“ Sicht gesammelt und gespeichert werden müssen – oder eben nicht. Zu diesem Zeitpunkt wird es immer wieder Graubereiche wird geben, denn die konkreten Anforderungen sind noch nicht praxiserprobt.

Das Konzept sollte folgende Bereiche beschreiben:

  • Um welche personenbezogenen Daten und Inhalte handelt es sich?
  • Mit welchen Systemen werden diese erfasst, verarbeitet, aufbewahrt und/oder archiviert?
  • Welche Sicherheits- und Compliance Richtlinien gelten für diese Daten?
  • Wie werden Access und IDM Kontrollen durchgeführt?
  • Wo (geographisch) werden diese erfasst, verarbeitet, aufbewahrt und/oder archiviert?
  • Wer ist für Inhalte und Technik verantwortlich?
  • Wie können Personen über ihre Daten wie, in welcher Form und Zeit Einblick erhalten?
  • Welche Kontrollen kommen zur Anwendung?
  • Wie sind die Prozesse gestaltet?

Diese Informationen lassen sich innerhalb der Organisation mit Sachverständigen dokumentieren, kommen doch diese Punkte bereits im Unternehmen zur Anwendung. Unternehmen, die noch kein IKS Konzept oder Prozess haben, können auch auf unsere in der Praxis erprobten Dokumententemplates zugreifen.

RELATED POSTS