Одит
Независим GDPR одит
Одитът по GDPR ви дава увереност за вашите усилия за спазване на защитата на данните.
Одитите за защита на данните ви позволяват да демонстрирате усилията си за съответствие с уверение от трета страна. Ние също така идентифицираме пропуски в съответствието и рискове за организацията.
След първоначалното пускане в действие на програмата по съответствие с GDPR фирмите се сблъскват с очевидното предизвикателство, свързано с превръщането на резултатите в ежедневна практика, както и набор от процеси, които стават част от стандартния одитен модел на организационния процес. За да могат тези процеси да постигнат своята цел, те също трябва да бъдат обект на непрекъснато наблюдение и подобрение, да имат измерими показатели и да се поддават на моделиране на зрялост.
Защо да завършите GDPR одит за вашия бизнес?
За да обработвате лични данни във вашата организация, трябва да имате законово основание за това.
От стартирането на GDPR през 2018 г. всяка организация трябва да разбере всички допирни точки за това, къде се обработват лични данни, и да гарантира, че е в съответствие с това.
Чрез извършване на одит за съответствие с GDPR ние можем да ви помогнем да идентифицирате всички пропуски в съответствието и да работим с вас за затварянето на тези пропуски.
Степен на гъвкавост
Като се има предвид, че е малко вероятно GDPR да остане статичен, моделът на процеса следва допълнително да даде възможност на практикуващите служители по защита на личните данни и предприятията да адаптират и подобрят своите разпоредби за защитата и поверителността на личните данни в съответствие с новите изисквания или с резултатите от вътрешни и външни прегледи. Тази степен на гъвкавост предполага, че защитата и поверителността на личните данни се интегрират със съществуващите системи за управление, като се използва стандартизиран и признат подход към зрялост и непрекъснато усъвършенстване.
Анализ на ефективността
Анализът на ефективността на поверителността от жизнения цикъл на личните данни трябва да се разглежда с най – висок приоритет. След като GDPR бъде приложен, процесът на надзорен преглед и възможността за запитвания от субектите на данни автоматично създават необходимост от периодични прегледи, включване в одиторски програми и други добри практики в рамките на "трите линии на защита" (т.е. първа вътрешен контрол и одит, втора линия на информационна сигурност и съответствие, трета линия управление на риска и финансов контрол) в предприятието.
Вътрешен контрол и одитна функция.
Защитата и поверителността на личните данни (Data Protection and Privacy (DPP)) винаги са били част от цялостната система за вътрешен контрол, но GDPR изисква преглед и актуализиране на тези контроли. Фирмите и отговорните служители по одитната част трябва да включат контролите за защита на личните данни в планирането на своите програми и да ги документират в съответствие с цялостното оценяване.
На практика е доказано, че фирмите, които имат проактивно отношение към външен одит и независим преглед, са по-ефективни и изискват по-малко ресурси, ако и когато се извършва надзорен преглед.
Осигуряване на безпристрастен надзор
Безпристрастният надзор следва да се ръководи от процес, който определя ролите и отговорностите, обхвата, честотата и целите на надзорните дейности. Процесът следва да обхваща както функциите на DPO, така и други организационни единици (обикновено одиторската функция), които участват в осигуряването на надзор върху обработката на лични данни. Дейностите във връзка с безпристрастния надзор включват, но не се ограничават до:- - Организационни роли, изпълняващи и гарантирайки безпристрастен надзор.
- - Роли и отговорности (Responsible, Accountable, Consulted and Informed (RACI)), включително доказана безпристрастност.
- - Цели и обхват на дейностите по надзора.
- - Честота на дейностите по надзора, базирани на риска.
- - Процедури и насоки за планиране, внедряване и отчитане.
Процесите, процедурите и другите елементи на управлението, свързани с безпристрастния надзор, следва допълнително да гарантират принципа на прозрачност, както и отделянето на управлението и мениджмънта на данни.
Независим преглед
Разпоредбите за защитата на поверителността и личните данни следва да бъде обект на независим преглед в рамките на предприятието. На първо място, тази задача за преразглеждане се носи от DPO като формален представител, изискван от регламента.
Опитът с предишни действия за защита на личните данни показа, че това не може да предостави пълен и точен поглед върху договореностите между всички участващи в процеса, тъй като функциите на DPO често са претоварени и понякога се оспорват от сложните зависимости при обработката на лични данни. Това налага фирмите да въведат набор от контроли, който включва независими, обикновено външни прегледи на самата функция на DPO, системата за вътрешен контрол с фокус върху личните данни
GDPR Одит
Извършване на одит тип GAP анализ спрямо регламента по GDPR и изготвяне на доклад.
Одита по GDPR ще се извърши от доказани професионалисти в областта на информационните технологии и системната сигурност. Подхода ще съответства на най – добрите практики за одитиране на организации с различен бизнес. Одитната програма е описана по-долу:
a. Придобиване, идентифициране, класифициране и местоположение на лични данни.
Ще бъдат идентифицирани системите в организацията, които съдържат или могат да съдържат на свои носители лични данни. Определяне на използвани бази от данни. Дефиниране и класифициране на лични данни или съвкупност от данни, които могат да бъдат окачествени като лични. Ще се изготви списък с несъответствията за:
- Управление на жизнения цикъл на данните.
- Управление и ръководене на идентификация на лични данни.
- Поддържане на класификация на данните.
- Поддържане на регистъра на личните данни.
- Управление на специални категории данни.
- Управление на изтриването (право да бъдете забравени).
b. Проверка на управлението на риска свързан с личните данни.
Ще бъдат проверени рисковете свързани с личните данни, оценка на рисковите фактори, въздействието, третирането и валидиране на риска при работа с данни.
c. Управление на сигурността на личните данни
Ще бъде проверени цялостната сигурност и управлението на процесите и политиките свързани с личните данни. Преглед на групите потребители, ролите за достъп до системите и приложенията идентифициране на тези, които работят с лични данни. Ще бъдат прегледани начините за раздаване на права на служителите в следните случаи:
- Постъпване на работа (Joiner process)
- Напускане на работа (Leaver process)
- Преместване в структурата на организацията (Mover process)
Повишена защита на системите чрез разделяне на нивата на достъп и ограничаването им до минимума необходими за изпълнение на служебните задължения. Препоръки за защита и оптимизация на ролите и правата за достъп до информацията в организацията. Ще се изготви списък с несъответствията за:
- Управление на анонимизирането и псевдонимизацията.
- Управление на криптографията.
- Управление на нивата на защита.
- Управление на устойчивостта.
- Управление на достъпа.
- Управление на тестването и оценка.
d. Управление на веригата за доставка на лични данни.
Ще бъдат проверени процесите, договорите и входно – изходните връзки с вашите доставчиците. Ще се изготви списък с несъответствията за
- Управление на администратори и процесори.
- Управление на подпроцесирането.
- Поддържане на споразумения за обработка.
- Управление на въздействието на веригата за доставки.
- Поддържане контролите на веригата за доставки.
e. Управление на инциденти и нарушения на личните данни.
Оценка на възможните пропуски в сигурността при обработка на данните. Оптимизиране на работния процес, позволяващо превантивно да се идентифицират и решават потенциалните проблеми. Минимизиране риска, чрез повишаване сигурността на цялата комуникационна инфраструктура и намаляване на възможността за сривове и пробиви. Изготвяне на предложение за комплексно техническо решение, което в максимална степен да удовлетвори реализацията на защитената работа в организацията. Предложението ще отговаря на съвременните добри световни практики. Ще бъдат проверените процесите при негативни сценарий свързани с пробив и изтичане на лични данни от вашата организация. Ще се изготви списък с несъответствията за:
- Управление на известието.
- Управление на съобщенията към субектите на данни.
- Извършване на управление на кризи и инциденти.
- Управление на доказателства и искове.
Препоръки за повишаване ефективността при кризисни мерки (възстановяване от сривове, изтичане в публичното пространство на лични данни, информационни загуби и други бедствия). Оценка на щетите и загубите. Ограничаване на периметъра. Докладване на проблема до отговорните институции.
f. Създаване и поддържане на квалификация и осведоменост за регламента.
Ще бъдат проверени процесите по осведоменост и обучения на служителите пряко засегнати от новият регламент. Ще се оценят техните умения и образования, както и необходимостта от допълнителни квалификации.
g. Ролята и функцията на DPO в предприятието.
Ще се провери и оцени необходимостта от назначаване на DPO (Data privacy officer) или служител по защита на личните данни в предприятието. Ще се изготви списък с несъответствията за:
- Поддържа функцията на DPO.
- Управление на бюджета и ресурсите.
- Управление на организационни интерфейси.
- Управление на отчитането.
- Управление на външни услуги.
h. Поддръжка на вътрешните контроли
Ще се проверят и оценят съществуващите вътрешни контроли за обработка на личните данни. Допълнително ще се оцени настоящото въздействие на вътрешният одит (контрол) върху личните данни. Ще се изготви списък с несъответствията за:
- Поддържане на контроли за придобиване на данни.
- Поддържане на контроли за обработка.
- Поддържане на контроли за съхранение.
- Поддържане на контроли за изтриване.
- Поддържане на контроли за мониторинг.
- Провеждане на независим преглед.
- Всички необходими процедури, документи, вътрешни правила и политики.
i. Поддържане на управлението на личните данни
Определяне на системите и каналите, по които се обменят лични данни. Определяне на процеси и процедури за одобрение, потоци на движение на данните. Изготвяне на препоръки за защита на обмена на данни между системите и приложенията. Оптимизиране на йерархията за контрол и одобрение. Ще се оцени текущата рамка за управление на личните данни и ще се изготвят препоръки за:
- Създаване на рамка за управление и защита на личните данни.
- Поддържане на регистъра за обработка.
- Поддържане на обвързващите корпоративни правила (BCRs).
- Поддържане на правила за съгласие.
- Поддържане на правилата за заявки за данни от субектите.
- Поддържане на правила за управление на жалбите.
- Осигуряване на безпристрастен надзор.
Все още имате въпроси, на които искате да получите отговор?
Свържете с един от нашите експерти по GDPR и насрочете срещата си днес!