歐盟“一(yī)般數據保護條例”(GDPR)将從2018年5月25日起生(shēng)效,這被企業看作是一(yī)個主要的數據安全挑戰。
然而,其影響将會更加深刻。數據隐私不僅意味着保護數據,而且還确保客戶在需要時可以訪問其數據,确保所存儲的數據準确無誤,并确保數據被正确存儲,并且擁有者如果請求的話(huà),數據将被删除或轉移。
一(yī)直專注于安全性以排除所有數據管理問題的組織仍然可能面臨不符合GDPR規定的風險。
爲了确保合規性,組織在數據隐私方面必須遵循五個關鍵的原則:
1.适當地存儲數據
歐盟“一(yī)般數據保護條例”(GDPR)第5條規定,數據必須“以允許識别數據主體(tǐ)的形式保存,不再是個人數據處理目的所必需的”。
從本質上講,數據在最初使用之後不能存儲。組織面臨的挑戰是确保在這段時間過去(qù)之後,不僅所有相關數據都被删除,而且還必須立即完成。
組織可能因爲不了解保留任何的數據項目可能會違反GDPR。
2.讓客戶訪問自己的數據
歐盟“一(yī)般數據保護條例”(GDPR)第15條規定了消費(fèi)者的獲取權:他們可以“獲得關于個人資(zī)料是否被處理的确認,并且在這種情況下(xià)也可以訪問個人資(zī)料,以及例如數據的處理方式,訪問權限以及個人擁有的權限等信息。
組織需要确定,當提出合法請求時,他們可以對所有相關數據和其他信息進行全面的訪問。
3.修改不準确的數據
歐盟“一(yī)般數據保護條例”(GDPR)第16條規定,消費(fèi)者“有權獲得及時準确的個人資(zī)料,或可以對其不正确的個人資(zī)料進行糾正”,其包括完善個人資(zī)料不完整的權利,包括提供補充聲明。
對于組織來說,這意味着需要開(kāi)放(fàng)他們存儲的個人數據,以便消費(fèi)者進行修改,而不會有進行任何修改從而使數據本身無法使用的風險。
4.數據擦除
除了糾正不準确的個人資(zī)料外(wài),GDPR還引入了“被遺忘的權利”。
GDPR第17條規定,消費(fèi)者有權在不是無故延誤的情況下(xià)獲得有關個人資(zī)料的删除權。雖然這隻是在特定的理由下(xià)允許的,但當提出擦除請求時,組織需要迅速采取行動。
還有一(yī)種情況,個人可能希望将其數據擦除一(yī)個服務或進程,而不是另一(yī)個服務或進程。在這種情況下(xià),組織需要确定它們是否清除相關數據,同時将其他服務或過程保持不變。
5.傳輸數據
在日益數字化的經濟中(zhōng),消費(fèi)者希望通過多種服務重新使用他們的數據。
GDPR第20條承認:消費(fèi)者有權通過結構化,常用和機器可讀的方式接收有關自己的個人資(zī)料,并有權将這些數據傳輸到另一(yī)個組織而不受阻礙。
這是符合GDPR的一(yī)個規定,對組織而言,無論遵守情況如何,都将對組織帶來巨大(dà)的利益:越來越多地想要使用多種服務的消費(fèi)者,或者反複切換的消費(fèi)者,将會對那些讓他們無縫服務的組織有着更加有利的看法。
最終的挑戰
五個關鍵原則強調一(yī)個單一(yī)的風險。如果客戶的數據破裂和不一(yī)緻,組織的統一(yī)控制就會減少。沒有這種控制,要滿足GDPR要求更難。
爲了創造吸引和惠及消費(fèi)者的服務,使用這些數據也将變得更加困難。意味着組織也将失去(qù)競争優勢。
目标應該是爲每個客戶創建一(yī)個單一(yī)的“黃金紀錄”:一(yī)個獨特的概述,描述個人的細節信息,他們與組織的曆史,以及易于共享的格式的任何其他背景信息。
如果組織确信它的控制中(zhōng)沒有潛在的敏感數據,那麽它可以專注于使用數據來改進或擴展其提供的服務。
安全問題
确保客戶數據的安全性時,黃金記錄仍然是寶貴的資(zī)産。首先是訪問控制。控制對單個黃金記錄的訪問比控制對多個不同數據存儲的訪問要簡單得多。
簡單來說,可以訪問,查看,修改,删除和導出數據的人數越少,數據就越安全。
一(yī)個真正的黃金紀錄也将有一(yī)個可驗證的審計追蹤,意味着所有采取的行動和修改都可以跟蹤,可疑活動迅速被認可和調查。
數據控制器可以更好地理解訪問的變化或努力,在何時何地由誰負責;允許他們對數據的使用有更深入的了解,并識别可疑行爲的迹象。
2018年及以後
最終,GDPR的目的不僅在于确保隐私,還可以使組織更容易在歐洲開(kāi)展業務。
創造符合GDPR要求的黃金紀錄,不僅使組織符合規定,更能夠吸引和服務整個歐洲大(dà)陸的客戶。
它還将創建一(yī)個客戶的單一(yī)視圖,該視圖可用于支持跨企業的智能數據管理。
上一(yī)篇:吓怕 美國運營商(shāng)偷偷把用戶數據給賣了
下(xià)一(yī)篇:将易于使用的加密軟件作爲IT安全的關鍵所在