Juli 2, 2018
Der 2012 vorgeschlagene und nun in Kraft getretene Allgemeine Datenschutzverordnung (GDPR/DSGVO) ist der neueste Meilenstein der Datenschutzgesetzgebung. Die DSGVO soll personenbezogene Daten von Einzelpersonen in der Europäischen Union (EU) besser schützen, indem sie Unternehmen stärker für die Erhebung, Verwendung, Weitergabe und Speicherung von Daten verantwortlich macht. Bußgelder bei Verstößen können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen.
Richten Sie sich für den Erfolg ein
Als Unternehmen, das sich auf die Entwicklung von Lösungen für Qualitätsmanagement und Compliance spezialisiert hat, AssurX ging an den umfangreichen Umfang der DSGVO-Compliance-Bereitschaft mit der nötigen Fachkompetenz heran, um sämtliche Prozessprobleme, bei denen der Datenschutz eine Rolle spielt, zu identifizieren, zu dokumentieren und zu beheben.
Da AssurX zudem alle Richtlinien zur Erfassung und Weitergabe von Daten automatisiert verfolgt, war die praktische Umsetzung von Datenschutzkontrollen weitgehend gegeben. Die Rolle des Datenschutzbeauftragten (DPO) wurde vom Compliance-Direktor des Unternehmens übernommen. Nach der Verabschiedung einer HIPAA AssurX war durch Compliance-Audits und -Bescheinigungen bestens mit der Vorgehensweise bei Datenschutzbewertungen im Rahmen der DSGVO vertraut, um die potenziellen Auswirkungen einer Verletzung oder eines Missbrauchs privater Informationen zu ermitteln.
Datenschutz über die IT hinaus
Die DSGVO verlangt spezifische Compliance-Anforderungen für Verantwortliche und Auftragsverarbeiter. Sie gilt zwar für IT-Sicherheitspraktiken, erstreckt sich aber auch auf alle anderen Bereiche, die personenbezogene Daten erheben und/oder verarbeiten, darunter Marketing, Finanzen und Lieferanten.
Darüber hinaus erfordert die DSGVO eine sorgfältige Prüfung der Gültigkeit von Einwilligungen bzw. der Einwilligung nach erfolgter Aufklärung. Bürger in der EU haben mehr Kontrolle über die Verwendung ihrer Daten. Beispielsweise kann eine Person beantragen, „vergessen“ zu werden, was bedeutet, dass ihre Daten nie wieder für irgendeinen Zweck verwendet werden dürfen. Daher müssen Kontrollen eingeführt werden, die es jeder Person in der EU ermöglichen, zu bestimmen, welche Daten erhoben und verarbeitet werden dürfen.
Infolgedessen wurden alle bestehenden Datenverarbeitungsvereinbarungen (DPAs) mit Lieferanten, Kunden und Auftragnehmern überprüft und aktualisiert. Die DSGVO-Bereitschaft führte zu einem doppelten Ziel: der Einführung von Maßnahmen zur Einhaltung der DSGVO und der Stärkung der beidseitigen Verpflichtung zur Einhaltung.
Stärkung der Rechenschaftspflicht
Gemäß der DSGVO haften Datenverarbeiter für Datenschutzverletzungen. Auftragnehmer und Lieferanten, die digital mit personenbezogenen Daten und Verarbeitungsaktivitäten verbunden sind, müssen ebenfalls alle Pflichten des Datenverarbeiters erfüllen. Dies schafft ein Ökosystem der Verantwortlichkeit, in dem Transparenz im Mittelpunkt steht. Jede Person oder Organisation, die mit AssurX einen Vertrag abschließt, hat sich schriftlich verpflichtet, Datenschutzpraktiken gemäß den hohen Standards von AssurX umzusetzen und sich auf Anfrage Audits zu unterziehen.
Die DSGVO-Bereitschaft wurde zum Lackmustest für AssurXs bestehendes Datenschutz- und Lieferantenmanagement-Framework. Die ganzheitliche Prüfung der Erfassung, Sicherheit, Verarbeitung und Speicherung von Informationen stärkte die Kontrolle aller Daten, die unter die DSGVO und den Datenschutz im Allgemeinen fallen würden.
„Ein wichtiger Schritt im Zuge der DSGVO-Vorbereitung war die gründliche Prüfung der Verträge mit unseren Lieferanten und die Bewertung möglicher Risiken“, erklärte Tamar June, Präsidentin und CEO von AssurX. „Dadurch konnten wir die Anforderungen für aktuelle und zukünftige Verträge überprüfen und anpassen und so die Compliance sicherstellen. Dadurch konnten wir zusätzliche Stärken sowie Verbesserungsmöglichkeiten für unser Geschäft und unseren Kundenservice identifizieren.“
Best Practices zur Einhaltung der DSGVO
- Schulen Sie alle Mitarbeiter: Bieten Sie allen Mitarbeitern Schulungen zur DSGVO-Compliance an, soweit diese ihre Rolle betreffen. Nutzen Sie die Gelegenheit, unternehmensweite Sicherheitsmaßnahmen (z. B. Sicherheit mobiler Geräte) zu stärken. Ermöglichen Sie Ihren Mitarbeitern, Bedenken zu melden.
- Kunden informieren: Informieren Sie Ihre EU-Kunden darüber, dass Sie sich zur DSGVO bekennen und auf Anfragen reagieren.
- Sie haben einen einzigen Ansprechpartner: Ihr Datenschutzbeauftragter (DSB) sollte der zentrale Ansprechpartner für alle Anfragen zur DSGVO-Konformität sein. Wenn Sie zu lange warten oder ein mögliches Compliance-Problem nicht ansprechen, kann dies zu einer Meldung führen.
- Stellen Sie sicher, dass eine Änderungskontrolle vorhanden ist: Bevor Sie Prozessänderungen in Ihrem Marketing und anderen Prozessen, einschließlich der Softwareentwicklung, vornehmen, sollten Sie unbedingt prüfen, ob sich diese auf die Anforderungen der DSGVO auswirken.
- Überprüfen Sie Ihre Bewertungen regelmäßig: Überprüfen Sie planmäßig Ihre DSGVO-Konformitätsbewertungen, um etwaige Lücken oder Schwachstellen zu ermitteln.
- Überprüfen Sie Ihre Prozesse regelmäßig: Planen Sie im Voraus Audits ein, um sicherzustellen, dass keine nicht dokumentierten oder nicht genehmigten Änderungen vorgenommen wurden (z. B. nicht genehmigte Marketingsoftware oder veraltete DPAs).
Fazit
AssurX stellt die Privatsphäre seiner Kunden seit über 20 Jahren an erste Stelle und setzt dabei auf unternehmensweite physische, Netzwerk- und Informationssicherheitsprotokolle für seine gehosteten eQMS- und Compliance-Management-Lösungen in den AssurX Cloud QMSKunden in stark regulierten Branchen, darunter pharmazeutisch, medizinisches Gerät, Energie & Versorgung , High-Tech- sollten auf die Privacy-by-Design-Architektur von AssurX vertrauen können, die schon lange vor der DSGVO in der Praxis eingesetzt wurde.
DSGVO-Konformität ist mehr als nur die Gewährleistung einer guten Netzwerksicherheit. Die DSGVO-Konformität erfordert eine eingehende Prüfung aller Systeme, die personenbezogene Daten verarbeiten, um die Datenschutzpraktiken und die Einhaltung der DSGVO-Vorgaben zu verbessern.
