Page 26 - TREND REPORT November 2017
P. 26

26 EU-DSGVO | November 2017
TREND REPORT
Viele Unternehmen sind im Kontext der EU-DSGVO auf einem guten Weg. Dennoch sind auf der anderen Seite sehr viele noch in einer Orientie- rungsphase. Verbreitet ist beispielswei- se die Meinung, die Beachtung der in- ternationalen Norm DIN ISO/IEC 27001 oder des BSI-IT-Grundschutzes würde ausreichen. Damit sind gute Vo- raussetzungen gescha en, um perso- nenbezogene Daten sicher zu verarbei- ten, aber es liegt keine automatische Konformität mit der EU-Datenschutz- Grundverordnung vor. Ergänzend dazu müssen Unternehmen sämtliche Strukturen und Prozesse, die sich auf die Verarbeitung personenbezogener Daten beziehen, auf den Prüfstand stellen – das reicht unter anderem von der rechtskonformen Erhebung, Erfas- sung, Speicherung, Veränderung, Be- reitstellung und Löschung oder Ver- nichtung über die Zugri soptionen bis hin zum Umgang mit Datenschutzpan- nen. Bei den personenbezogenen Da- ten geht es beispielsweise um Angaben über sachliche oder persönliche Ver- hältnisse zu einer identi zierten oder identi zierbaren Person (zum Beispiel Kunden, Lieferanten, Geschäftspart- nern oder Mitarbeitern eines Unter- nehmens).
Handlungsbedarfe erkennen und Compliance-Konformität herstellen Unabhängig davon, wo sich eine Or- ganisation auf dem Weg zur Umset- zung der EU-DSGVO gerade be ndet, liefert eine Analyse einen Überblick über die Auswirkungen. Ein mehr- stu ges Verfahren vergleicht zunächst einmal die vorhandenen beziehungs- weise die geplanten Maßnahmen mit den laut EU-DSGVO vorgesehenen Anforderungen. Daraus ergeben sich dann organisatorische und technische Leistungsanforderungen, um vom ak- tuellen oder geplanten Zustand auf den erforderlichen Stand zu kommen. Hierbei kann insbesondere zwischen drei Analyseformen unterschieden wer- den:
• Bestandsaufnahme: Sie verscha t zu- nächst einmal einen Überblick und zeigt auf, inwieweit eine Organisati- on auf die anstehenden Anforderun- gen vorbereitet ist. Dazu gehört bei- spielsweise eine erste Analyse der or- ganisatorischen und technischen Maßnahmen. Weiterführende Gap- Analysen identi zieren Handlungs-
Überprüfung als Chance erkennen
Gastbeitrag: Eva-Maria Scheiter, Executive Consultant GRC bei NTT Security, schreibt über „Services on demand“ im Hinblick auf die DSGVO.
ge und umfassende Analyse ermittelt den Abdeckungsgrad der implemen- tierten Regelungen und Prozesse in Abgleich zu den Anforderungen der EU-DSGVO. In einigen Fällen nut- zen Unternehmen zusätzlich zu den internen Vorkehrungen auch die Services weiterer externer Spezialis- ten. Auch diese sollten im Hinblick auf die E ektivitätskontrolle über- prüft werden.
Derartige Services im Umfeld der EU- DSGVO, wie sie beispielsweise NTT Security anbietet, können für Un- ternehmen und ö entliche Stellen eine wichtige Unterstützung sein. Das gilt auch dann, wenn diese Organisatio- nen intern über Mitarbeiter verfügen, die das EU-DSGVO-Compliance-Pro- gramm eigenständig vorantreiben und nur an der einen oder anderen Stelle externen Rat einholen wollen. In den anderen Fällen ist eine Hilfestellung bei der Ermittlung des Projektumfangs gefragt. Möglich ist auch, dass Organi- sationen externe Unterstützung anfor- dern, um ihre Prozesse zur Reaktion auf Datenschutzpannen überprüfen zu lassen.
Zusätzlich zum Umgang mit per- sonenbezogenen Daten umfasst die EU-DSGVO insbesondere strenge In- formationsp ichten, erweiterte Nut- zerrechte sowie ein „Recht auf Ver- gessenwerden“. Auch diese Vorgaben sind durch die Organisationen umzu- setzen.
Nach dem 25. Mai 2018 müssen Un- ternehmen jederzeit nachweisen kön- nen, dass sie die Vorgaben erfüllen. Die Umsetzung einer angemessenen und nachhaltigen Compliance ist für Un- ternehmen gleichzeitig eine Chance, ihre fachlichen und IT-Prozesse insge- samt zu verbessern und gegebenenfalls bestehende Synergien zu heben. Diese positiven Nebenwirkungen sollte sich kein Unternehmen entgehen lassen.
www.nttsecurity.com/de-de
bedarfe und zeigen durch konkrete Handlungsempfehlungen einen Weg zur Einhaltung der Vorgaben auf. Gegenstand vertiefender Analysen kann die Ermittlung der personen- bezogenen Daten, die Identi kation der Datenquellen und der - üsse in den fachlichen und den IT-Prozessen sein. Auch hier ist es das Ziel, poten- zielle Compliance-Lücken aufzude- cken und notwendige Maßnahmen zu empfehlen.
• Überprüfung eines gerade laufen- den EU-DSGVO-Programms: Eine Reihe von Unternehmen ist schon einen Schritt weiter und be ndet sich mitten in der Umsetzungsphase. Für diese sind Services verfügbar, mit denen Organisationen prüfen können, ob das Vorhaben geeignet ist, um das Ziel der Compliance zu erreichen, oder ob ein externer Un- terstützungsbedarf besteht. Auch in diesem Umfeld kann eine Gap-Ana- lyse auf Handlungsbedarfe hinwei- sen und Best Practices vorschlagen,
um diesen zu begegnen. Im Hinblick auf die technischen Aspekte wün- schen Organisationen oft eine Bera- tung zur Sicherheitsarchitektur so- wie hinsichtlich der Etablierung von Datenschutzmaßnahmen im Zuge der Anwendungs- und Systement- wicklung.
• Bewertung der E ektivität bereits implementierter Maßnahmen: Eine EU-DSGVO-E ektivitätskontrolle ist für Unternehmen interessant, die zum jetzigen Zeitpunkt – und damit deutlich vor der Deadline – ihr Pro- jekt weitgehend abgeschlossen haben oder sich in einem fortgeschrittenen Stadium be nden. Diese unabhängi-
Bildmotiv Copyright: NTT Security
Weitere Informationen und Beiträge zu aktuellen Security-Themen wie „Managed Security Services“ oder „Security by Design“ finden Sie auf dem regelmäßigen Blog von Kai Grunwitz, Senior Vice President EMEA bei NTT Security: https://trendreport.de/tag/ntt-security/

















































































   24   25   26   27   28