Dataskydd skyddar din datas integritet, tillgänglighet och integritet genom att använda olika dataskyddsstrategier och -processer.
Sekretess är avgörande för att skapa relationer mellan människor och organisationer, men det handlar egentligen om att skydda grundläggande rättigheter. En bra strategi kan hjälpa till att förhindra dataförlust, stöld eller korruption och minimera skador om ett intrång eller en katastrof inträffar. En organisation som hanterar, lagrar eller samlar in känslig data måste utveckla en dataskyddsstrategi.
Dataskydd bör övervägas i designfasen av alla system, tjänster, produkter eller processer och under hela dess livstid.
Personlig information kan delas in i olika kategorier, som alla kan ge upphov till integritetsproblem. Dessa är:
I grunden hjälper principerna för dataskydd organisationer att skydda data och göra dem lätt tillgängliga under alla omständigheter för individen. Dataskydd avser både datasäkerhetskopiering och affärskontinuitet/katastrofåterställning (BCDR), såsom:
Personuppgifter kallas all information som kan relatera till en identifierbar eller identifierad levande individ. En person kan identifieras genom att sätta ihop olika bitar av information som, när de samlas in tillsammans, utgör personuppgifter.
Några exempel på personuppgifter inkluderar; förnamn och efternamn, adresser, en identifierbar e-postadress (detta kan vara förnamn.efternamn@företag.com), platsdata och IP (internet protokoll) adress.
Organisationer förlitar sig vanligtvis på personuppgifter för dagliga aktiviteter.
ICO säger att:
"I sig självt kanske inte namnet John Smith alltid är personuppgifter eftersom det finns många individer med det namnet. Men om namnet kombineras med annan information (såsom en adress, en arbetsplats eller ett telefonnummer) räcker detta vanligtvis för att tydligt identifiera en person.”
ICO poängterar också att namn inte nödvändigtvis är den enda information som krävs för att identifiera en individ:
"Helt enkelt för att du inte känner till namnet på en individ betyder det inte att du inte kan identifiera [dem]. Många av oss känner inte till namnen på alla våra grannar, men vi kan fortfarande identifiera dem.”
Datasekretess avser hur känsliga och viktiga uppgifter ska samlas in eller hanteras. Personlig hälsoinformation (PHI) och Personligt identifierbar information (PII) är två exempel på registrerade som omfattas av dataskyddslagar. Denna kategori inkluderar finansiell information, journaler, person- eller ID-nummer, namn, födelsedatum och kontaktinformation.
Känslig data bör endast vara tillgänglig för auktoriserade parter, så datasekretess hjälper till att säkerställa att brottslingar inte kan använda data av uppsåt och säkerställer att organisationer uppfyller regulatoriska krav.
Majoriteten av onlineanvändare vill kontrollera eller förhindra vissa typer av personlig datainsamling, precis som någon kanske vill utesluta människor från en privat konversation.
Företag måste göra datasekretess till en högsta prioritet. Bristande efterlevnad av dataskyddsbestämmelser kan leda till betydande förluster. Tänk på stämningar, betydande ekonomiska påföljder och varumärkesskador.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Allt du gör med data betraktas som behandling; samla in, lagra, registrera, analysera, kombinera, avslöja eller radera det bland annat.
Varje operation på data kallas databehandling. Eftersom rådata inte är redo för analys, business intelligence, rapportering eller maskininlärning måste den aggregeras, ändras, berikas, filtreras och rengöras.
Organisationer måste bearbeta data för att kunna skapa bättre affärsstrategier och förbättra deras konkurrensfördelar.
"Varför" och "hur" personuppgifter behandlas bestäms av registeransvarig. I slutändan är personuppgiftsansvariga de viktigaste beslutsfattarna när det gäller att fastställa orsaken och syftet med datainsamlingen och metoden och medlen för all databehandling.
Personuppgiftsansvariga kan vara:
En databehandlare är en person, myndighet, myndighet eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
A databehandlare agerar på uppdrag av den registeransvarige och under dennes befogenhet. Genom att göra det tjänar de den registeransvariges intressen snarare än sina egna.
I vissa situationer kan en enhet vara en personuppgiftsansvarig, en databehandlare eller båda.
Maskiner som behandlar data, såsom miniräknare eller datorer, anses vara databehandlare. Även molntjänsteleverantörer kategoriseras nu som databehandlare. En tredje parts databehandlare äger eller kontrollerar inte de uppgifter de behandlar. Uppgifterna kan inte ändras för att ändra syftet för vilka de används. Om du behandlar personuppgifter kommer du att vara databehandlare.
En individ som är föremål för vissa personuppgifter kallas en eller flera registrerade.
Det finns inget enda lösning som fungerar för alla företag. Dataskyddsförordningar anger inte många strikta regler; istället tar de ett riskbaserat tillvägagångssätt och följer några nyckelprinciper. Den är mångsidig och kan användas i en mängd olika organisationer och situationer; därför hämmar det inte innovativa tillvägagångssätt.
Denna flexibilitet innebär dock att du måste överväga – och vara ansvarig för – hur du använder personlig information. Det finns ofta flera sätt att uppfylla dina skyldigheter, beroende på exakt varför och hur du använder uppgifterna.
Du kan avgöra vilka svar som är bäst för din organisation, men du måste kunna motivera dem. Ansvarsprincipen för dataskyddslagstiftningen är en kritisk aspekt.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Organisationer, företag och regeringen måste följa Dataskyddslagen 2018 vid hantering av personuppgifter. Data Protection Act 2018 ersatte och uppdaterade Data Protection Act 1998 och trädde i kraft den 25 maj 2018.
DPA är Storbritanniens införande av den allmänna dataskyddsförordningen (mer om GDPR längre fram i artikeln nedan) i brittisk lag. För att enkelt uttrycka det:
Strikta regler som kallas 'dataskydd principer' styr hur personlig information används. De som är involverade i att samla in och använda data måste följa följande strikta regler:
Ju känsligare informationen är, desto mer rättsskydd finns det. Denna information kommer att vara; ras, etnicitet, politisk övertygelse, religiös övertygelse, medlemskap i fackförening, genetik, biometri för identifiering, hälsotillstånd och sexuell läggning.
Smakämnen Allmänna dataskyddsförordningen (GDPR) är världens strängaste integritets- och datasäkerhetsförordning. Även om det har utvecklats och godkänts av Europeiska Unionen (EU) måste organisationer över hela världen följa efter om de samlar in eller använder data om EU-invånare.
GDPR trädde i kraft den 25 maj 2018. De som inte följer de integritets- och säkerhetsstandarder som fastställts av GDPR kan få betydande böter.
GDPR ersätter EU:s dataskyddsdirektiv från 1995. Enligt det nya direktivet måste företag vara mer transparenta och ge de registrerade ett större integritetsskydd. När ett allvarligt dataintrång har inträffat ska företaget meddela alla berörda parter och tillsynsmyndigheten inom 72 timmar.
Även om GDPR är inskrivet i brittisk lag som DPA sedan brytningen från EU, är UK-GDPR och EU-GDPR separata och distinkta förordningar. Även om reglerna för närvarande är identiska, sedan Brexit, står Storbritannien fritt att ändra UK-GDPR-förordningen som parlamentet anser nödvändigt.
En personuppgiftsansvarig eller processor baserad utanför Storbritannien måste följa UK GDPR om deras behandling avser individer i Storbritannien.
ISO 27701 är en förlängning av ISO 27001 (mer om det nedan), den senaste uppdateringen av internationella integritets- och informationshanteringsstandarder.
Syftet med både GDPR och ISO 27701 är att upprätta etiska dataintegritetsstandarder för att skydda konsumenter. De samarbetar och kompletterar varandra för att uppnå samma mål.
Här är en sammanfattning av vad de har gemensamt:
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Vi kan inte komma på något företag vars tjänst kan hålla ett ljus till ISMS.online.
Olika dataskyddslagar och data från hela världen finns i tabellen nedan.
| Lagar | Jurisdiktionsområde |
|---|---|
| Allmän lag om skydd av personuppgifter (även känd som LGPD och Lei Geral de Proteção de Dados Pessoais) | Brasilien |
| California Consumer Privacy Act (CCPA) | kalifornien |
| Integritetslag | Kanada |
| Integritetslagen 1988 | Australien |
| Lagförslaget om skydd av personuppgifter 2019 | Indien |
| Kinas cybersäkerhetslag (CCSL) | Kina |
| Lagen om skydd av personuppgifter (PIPL) | Kina |
| Dataskyddslagen, 2012 | Ghana |
| Personuppgiftslagen 2012 | Singapore |
| Republic Act nr. 10173: Data Privacy Act från 2012 | filippinerna |
| Den ryska federala lagen om personuppgifter (nr 152-FZ) | Ryssland |
| Personuppgiftslagstiftning (PDPL) | bahrain |
Artikel 32 i GDPR anger vad som krävs när det gäller att säkerställa säkerhet för personuppgifter bearbetning.
Förordningen kräver att du vidtar "lämpliga tekniska och organisatoriska åtgärder för att hantera de risker du står inför. Den beskriver också några av de typiska åtgärderna i detta avseende, inklusive:
ISO 27001 täcker även dessa aspekter. Du måste prestera omfattande riskbedömningar för att identifiera de faror ditt företag står inför. Det är precis vad du behöver räkna ut som "lämpliga" säkerhetsåtgärder enligt GDPR.
Den fastställer standarder för när och hur datakryptering ska fungera, samt för att säkerställa konfidentialitet och tillgänglighet för dina data. Den definierar också vad som krävs i form av "business continuity management," täcker därmed GDPR-kravet att implementera dataåterställning och tillgänglighetsåtgärder.
Om du uppfylla och upprätthålla efterlevnad av ISO 27001, har du effektivt täckt dina GDPR-databearbetningssäkerhetskrav, tack vare stresstester till personalutbildning.
Oavsett om du precis har börjat titta på datasekretess eller en expert som vill kombinera flera regler och standarder, är våra funktioner enkla att använda. Du kommer direkt dit du vill.
Vår PIMS lösning förenklar datakartläggning. Det är enkelt att spela in och granska allt och att lägga till din organisations uppgifter i vårt förkonfigurerade dynamiska verktyg för registrering av bearbetningsaktivitet.
En effektiv PIMS kräver hantering av risker. För att hjälpa till med varje fas av riskbedömning och hantering, har vi skapat en inbyggd riskbank och andra praktiska verktyg.
Oavsett om du arbetar med standarder eller regler för datasekretess måste du visa din förmåga att hantera förfrågningar om datasubjekträttigheter (DRR). Vårt säkra DRR-utrymme håller allt på ett ställe, vilket hjälper dig att rapportera och få insikt automatiskt.
Ta reda på mer av boka en praktisk demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
