Nedtellingen er godt i gang og mai 2018 truer når den nye generalen Data Protection Forskriften vil erstatte gjeldende personvernlov.
EU GDPR vil bli vedtatt av Storbritannia uavhengig av Brexit, så handling er nødvendig nå. For de virksomhetene som ser ansvarlig på hvordan de vil oppfylle kravene til denne europeiske reguleringen, vil utvilsomt subjekttilgangsforespørsler (SAR-er) være en del av deres vurderinger.
I henhold til den nye EU GDPR må organisasjoner svare på SARs «uten unødig forsinkelse og senest innen én måned». Dette er en kortere tidsramme enn under den eksisterende DPA som sier 40 dager. Kanskje enda mer krevende er det at tilleggsinformasjon også må gis til forespørsler ved siden av deres personopplysninger. Dette inkluderer, der det er mulig, detaljer om "den planlagte perioden som personlig informasjon vil bli lagret eller, hvis det ikke er mulig, kriteriene som brukes for å bestemme denne perioden».
Ytterligere informasjon er også nødvendig for å forklare rekvirentenes rett til å be om retting eller sletting av dataene deres, til å protestere mot behandlingsaktiviteter, sammen med deres rett til å sende inn klager til databeskyttelsesmyndigheter. Organisasjoner må identifisere hvor de har hentet forespørslers personopplysninger fra i tilfeller der de ikke er samlet inn direkte fra den enkelte. Forespørsler vil også ha rett til å få informasjon om sikkerhetstiltakene som brukes der dataene deres overføres utenfor det europeiske økonomiske samarbeidsområdet.
Ifølge Informasjonskommissærens kontor (ICO) Årsmelding for regnskapsåret 2015/16*, 42 % av concerns hevet med dem sentrert på SAR. Dette fremhever vanskelighetene organisasjoner allerede har med å overholde de eksisterende, mindre tyngende regelverkene. Det indikerer at organisasjoner har et stykke igjen for å møte forventningene til kunder, ansatte og regulatorer!
En skreddersydd praktisk økt basert på dine behov og mål
Under ICO-ene Forbereder for Generell databeskyttelsesforskrift (GDPR) – 12 trinn å ta nå**, beskriver den 5. behovet for prosedyrer og en plan for hvordan en organisasjon skal håndtere SAR.
Gitt de nye kravene, er det viktig at personalet er tilstrekkelig opplært til å identifisere hva som utgjør en forespørsel og prosessen for å håndtere den. Å vente dager før prosessen startes og data hentes fra systemer vil være risikabelt gitt at bøtene sannsynligvis vil bli mye stivere under GDPR.
Så GDPR kan utgjøre en betydelig risiko for organisasjoner og en plan å håndtere SAR-er og alle andre aspekter av kravene er nødvendig:
Uten tvil vil regulatorer også være på utkikk etter en sterk holdning for å demonstrere sikkerheten til personopplysninger av kontrollører og prosessorer. Derfor vår programvareløsning, ISMS.online, inkluderer alle verktøy og rammeverk for å administrere GDPR-samsvar og informasjonssikkerhet i tråd med kravene i ISO 27001.
Informasjonskommissærens årsmelding og regnskap 2015/16
Veiledning til den generelle databeskyttelsesforordningen (GDPR)
ISMS.online vil spare deg for tid og penger mot ISO 27001-sertifisering og gjøre det enkelt å vedlikeholde.
Informasjonssikkerhetssjef, Honeysuckle Health
Hold deg på rett side av regulatorer og sov bedre om natten, vel vitende om at du gjør alt for å beskytte dataene til kunder og ansatte og holde informasjonsmidlene dine sikre.
Oppdag hvordan100 % av brukerne våre oppnår ISO 27001-sertifisering første gang