Blog

Você alcançou a conformidade com o GDPR - e agora?

Escrito por em julho 23, 2018

asset_blog_youve_achieved_GDPR_compliance_now_what

Para as organizações afetadas pelo Regulamento Geral de Proteção de Dados (GDPR), os meses e semanas anteriores a 25 de maio foram rápidos e furiosos. Conforme o prazo se aproximava, o foco era simples: fazer o que for necessário para alcançar a conformidade.

Agora que o prazo acabou, de várias maneiras, a pressão acabou. Mas, de outras maneiras, é apenas o começo. À medida que você se acomoda na conformidade do dia a dia, pode descobrir que as táticas que o levaram à linha de chegada não são as melhores soluções para suas necessidades contínuas.

“As empresas estão recorrendo a controles temporários e processos manuais para garantir a conformidade até que implementem soluções de TI mais permanentes ... Muito trabalho ainda precisa ser feito após o prazo de maio para que as empresas superem desafios como esses e desenvolvam soluções sustentáveis ​​no longo prazo. ”

—McKinsey & Company

Para garantir que você possa manter a conformidade com o GDPR por um longo período, pode ser necessário se aprofundar em quatro áreas principais: estrutura de conformidade, gerenciamento de incidentes, gerenciamento de solicitações e visibilidade executiva.

Estrutura de conformidade

Na corrida para cumprir o prazo de conformidade, você pode ter reunido soluções manuais e alternativas, como planilhas. Mas continuar a usar métodos de gestão e governança ineficientes e ad hoc irá colocá-lo em risco indevido.

As empresas podem ser multadas em até 4% de sua receita global anual ou € 20 milhões, o que for maior, se não cumprirem os padrões do GDPR.

Dadas as multas potencialmente devastadoras associadas à não conformidade, as planilhas simplesmente não são uma solução sustentável. Você precisa de uma maneira simples de mapear os artigos do GDPR - como aqueles que detalham consentimento (7), acesso a dados (15, 16, 17, 20), proteção (25) e segurança (32) - aos controles da empresa para garantir que você tenha suas bases coberto.

Gerenciamento de Incidentes

Na pressa de obedecer, você pode estar usando soluções temporárias - como dobrar o uso de seu software de help desk - para gerenciar eventos e incidentes GDPR. Mas, caso ocorra um incidente real, a identificação instantânea, o bloqueio do acesso aos dados do incidente e a comunicação rápida são fundamentais.

“As empresas também devem garantir que os processos projetados durante os preparativos do GDPR funcionem na prática e forneçam os resultados esperados.” —McKinsey & Company

De acordo com o Artigo 33, você deve fornecer notificação dentro de 72 horas de uma violação de dados pessoais à autoridade supervisora. Além disso, você deve comunicar violações de alto risco ao titular dos dados sem atrasos indevidos, conforme detalhado no Artigo 34. Para se proteger contra multas adicionais (até 2% da receita global anual) pelo não cumprimento desses requisitos, você precisa de um e processo confiável para garantir que todos os eventos e incidentes sejam gerenciados, comunicados e auditáveis.

Gerenciamento de Solicitações

Embora tenha muitas camadas, o GDPR basicamente trata do controle de dados pessoais. Fornecer aos seus titulares de dados acesso aos dados que você armazena sobre eles e dar-lhes controle sobre como esses dados são usados ​​(Artigos 15-20) são os alicerces do regulamento.

“… As empresas precisarão garantir que tenham pessoal suficiente, treinamento adequado, um processo apropriado e um sistema de tíquetes equipado para lidar com as solicitações relacionadas.” —McKinsey & Company

Por ser também a peça mais voltada para o consumidor no quebra-cabeça da conformidade, sua capacidade de habilitar e gerenciar o acesso aos dados pessoais é crítica. Embora a orientação sobre como fazer isso possa ser confusa, as regras de engajamento são diretas. Quem fornecer a melhor experiência ao cliente por meio de um portal de autoatendimento simples será o vencedor. E aqueles que não correm o risco de perder clientes para concorrentes mais capazes.

Visibilidade Executiva

Os requisitos do GDPR sobre avaliações de impacto de proteção de dados (DPIAs) - como aqueles detalhados nos Artigos 35, 37, 38 e 39 - não podem ser sustentados por atalhos. Se você depende de sistemas diferentes e / ou manuais para aspectos do GDPR, também será desafiado pelas auditorias de dados regulares, análises e exercícios de gerenciamento de dados necessários para manter a conformidade.

Você precisa fornecer gerenciamento executivo e seu oficial de proteção de dados (DPO), se aplicável, uma visão unificada de governança e gerenciamento de conformidade. Além da conformidade, sua visibilidade dos números e tipos de solicitações e incidentes que você está gerenciando é fundamental para realizar avaliações contínuas de risco e análise de lacunas, para que você possa agilizar e refinar sua postura de conformidade.
Conclusão

Como profissional de TI, você conhece o desafio da privacidade e proteção de dados. Mas o GDPR adiciona uma nova camada aos seus requisitos de governança de segurança e gerenciamento de risco. Mais do que nunca, você precisa que sua central de serviços e procedimentos de segurança estejam fortemente acoplados.

A Cherwell Information Security Management Solution (ISMS) integra um conjunto de recursos de gerenciamento de segurança corporativa que atendem às demandas dos líderes de segurança e de central de serviços. Quando você confia no Cherwell ISMS para sua governança e gerenciamento de dados, você pode:

  • Simplifique o mapeamento de artigos GDPR para seus controles de segurança.
  • Simplifique sua conformidade de segurança, aliviando o fardo de sua próxima auditoria.
  • Acelere o tratamento de eventos e incidentes de segurança para ajudar na sua conformidade.
  • Amplie os recursos do portal de autoatendimento para fornecer acesso ao titular dos dados.
  • Automatize as avaliações de risco para melhor antecipar e mitigar os riscos.

Você alcançou a conformidade com o GDPR. Agora, é hora de torná-lo sustentável. 

Conheça a solução de gerenciamento de segurança da informação da Cherwell.

Aprenda agora

 

As citações da McKinsey & Company foram fornecidas por: Daniel Mikkelsen, Henning Soller Malin, Strandell-Jansson, Marie Wahlers, "Conformidade GDPR após maio de 2018: Um desafio contínuo", McKinsey & Company, abril de 2018.

Saiba mais sobre nossas atualizações nos artigos de conhecimento da Cherwell