In diesem Artikel behandeln wir, wie das Modul Datenschutz in GlobalSuite® konfiguriert und gestartet wird, einschließlich der Definition von Dienstleistungen und Prozessen, der Registrierung von Datenverarbeitungen, der PIA-Analyse, der Verwaltung von Kontrollen, Anpassungsplänen und Audits, um die Einhaltung der Datenschutz-Grundverordnung sicherzustellen.
DSGVO-Konfiguration
GlobalSuite® verfügt über eine Standardkonfiguration, sodass dieser Schritt nicht erforderlich ist. Nur für Organisationen, die ihre Konfiguration anpassen möchten, und durch Benutzer mit entsprechenden Berechtigungen, kann die folgende Funktionalität genutzt werden, die über den Abschnitt Einstellungen zugänglich ist:
Abschnitt Einstellungen
Der Abschnitt Einstellungen bietet dem Benutzer die Möglichkeit, alle Aspekte seines Datenschutz-Managementsystems zu konfigurieren, einschließlich der Parametrierung von Zugriffsberechtigungen auf das Tool, der Methodik zur Analyse von Risiken bei der Verarbeitung personenbezogener Daten sowie des anzuwendenden Katalogs.
Dienstleistungskatalog (Unternehmen)
GlobalSuite® identifiziert Dienstleistungen oder Produkte der Organisation, auf die die durch die DSGVO festgelegten Maßnahmen angewendet werden, und legt anschließend die Abhängigkeiten mit den verschiedenen Bereichen oder Abteilungen der Organisation fest.
Um diese Dienstleistungs- oder Produktkataloge zu definieren, muss man auf Start > Dienstleistungskatalog zugreifen und Neu drücken, um einen Eintrag zu erstellen und anschließend die Informationen zum Unternehmen und zu jeder Dienstleistung oder jedem Produkt zu konfigurieren.
Implementierung der DSGVO (Datenschutz-Grundverordnung)
Start - Geschäftsprozesse (Organisatorische Bereiche)
GlobalSuite® ermöglicht es der Organisation, die Dienstleistungen oder Produkte zu definieren, aus denen das Unternehmen besteht, das im Abschnitt „ Dienstleistungen “ registriert wurde. Basierend darauf kann die Organisation in Prozesse, Bereiche, Abteilungen, Divisionen oder Geschäftsleitungen unterteilt werden, indem die Option „ Prozesse “ verwendet wird.
Um die Bereiche zu definieren, greifen wir auf die Registerkarte „Prozessliste“ zu und drücken die Schaltfläche „ Neu“.
Sobald die Bereiche-Prozesse und das Unternehmen definiert sind, kann in der Option „ Prozessbaum“ die Struktur der Organisation festgelegt werden, indem die erstellten Dienstleistungen mit den organisatorischen Bereichen verknüpft werden. Es ist lediglich erforderlich, die Bereiche aus der rechten Tabelle in die Hierarchie der linken Tabelle zu ziehen, um die Abhängigkeiten zwischen den verschiedenen Bereichen der Organisation zu erstellen.
Start - Rollen und Verantwortlichkeiten
Es wird notwendig sein, neue Rollen zu erstellen. Dazu ermöglicht GlobalSuite® die Konfiguration neuer Profiltypen im Menü Start> Rollenverwaltung, indem die Schaltfläche Rollen konfigurieren gedrückt wird und anschließend im neuen Tab die von der Organisation benötigten Profile mit der Schaltfläche definiert werden. Danach kann jedem Rolle ein Mitarbeiter als Verantwortlicher zugewiesen oder zugeordnet werden.
Die DSGVO erfordert die Definition bestimmter Profile oder Verantwortlichkeiten, wie z. B. des DSB (Datenschutzbeauftragten) usw., die Teil der Verarbeitung und des Schutzes der in der Organisation verwalteten Daten sein werden.
Diese Definition erfolgt im Menü „ Kompetenzen und Funktionen “, wo es möglich ist, den Mitarbeitern und Rollen eine Reihe von „Kompetenzen“ und „Funktionen und Verpflichtungen“ zuzuweisen, wie in der Abbildung gezeigt.
Start - Gap-Analyse
GlobalSuite® ermöglicht die Bewertung des Erfüllungsstands in Bezug auf einige von der spanischen Datenschutzbehörde vorgeschlagene Vorschriften. Dazu müssen wir das Menü Gap-Analyse verwenden, den im Selector „Gap-Kataloge“ bereitgestellten Katalog auswählen und die Schaltfläche betätigen.
Innerhalb des Katalogs können wir den Status jedes einzelnen DSGVO-Anforderungspunkts in der Spalte „Aktueller Status“ bestimmen. Ebenso können wir Dokumentationen, Kontrollen und Nichtkonformitäten direkt zuordnen, die zuvor im selben Tool GlobalSuite® eingeführt wurden.
Sobald die Gap-Analyse abgeschlossen ist, können wir daraus Diagramme extrahieren, die einen Bericht über den Anfangszustand der Einhaltung ermöglichen. Einige Beispiele sind die folgenden:
Start - Anpassungsplan
Für die zuvor durchgeführten Gap-Analysen ist es möglich, Anpassungspläne zu erstellen, die Maßnahmen zur Einhaltung festlegen, um unser Zielerfüllungsniveau zu erreichen. Dazu müssen wir das Menü Anpassungsplan verwenden und die erforderliche Gap-Analyse auswählen.
Für Anforderungen, die in der Organisation nicht implementiert wurden, ermöglicht GlobalSuite® die Festlegung von Maßnahmen, um deren Einhaltung zu erreichen, und die Nachverfolgung dieser Maßnahmen über das Menü „ Nachverfolgung“.
Datenverarbeitung
Datenverarbeitungen - Auftragsverarbeiter
In der Option „ Auftragsverarbeiter “ können wir diejenigen registrieren, die für die Verarbeitung personenbezogener Daten verantwortlich sind.
Dazu genügt es, auf die Schaltfläche „Neu“ zu klicken und alle mit unserer Organisation verbundenen Personen zu registrieren.
Da die DSGVO die Nachverfolgung/Bewertung der Auftragsverarbeiter verlangt, ermöglicht GlobalSuite® die Registrierung dieser Analyse in der Option „ Auftragsverarbeiter“.
Um einen Auftragsverarbeiter zu bewerten, muss dieser in der Tabelle ausgewählt und die Schaltfläche „ Bewerten“ gedrückt werden. Sobald die Option aufgerufen wird, können in der Option „ Bewertungstabelle“ die mit dem erforderlichen Auftragsverarbeiter verbundenen Einträge erstellt werden, wie in der folgenden Abbildung gezeigt.
In dieser Option „Auftragsverarbeitung“ können wir die Verarbeitungen registrieren, für deren Verwaltung unser Unternehmen verantwortlich ist.
Dazu genügt es, auf die Schaltfläche „ Neu“ zu klicken und alle mit unserer Organisation verbundenen Personen zu registrieren.
Datenverarbeitung - Verzeichnis der Verarbeitungstätigkeiten
Sobald die organisatorischen Bereiche definiert sind, müssen für jeden von ihnen die durchgeführten Datenverarbeitungen und die technischen Ressourcen, die sie unterstützen, inventarisiert werden. Um eine neue Verarbeitung hinzuzufügen, muss auf die Schaltfläche in der Tabelle der Option „ Verarbeitungen “ geklickt werden.
Jede Verarbeitung muss anhand einer Reihe von Dimensionen bewertet werden, um festzustellen, ob eine PIA (Privacy Impact Assessment) durchgeführt werden muss oder nicht. Die Bewertungsdimensionen sind vollständig im Abschnitt Einstellungen> Methodik Elemente konfigurierbar.
PIA-Analyse
PIA-Analyse - Inventar
Nachdem die Verarbeitungen definiert wurden, werden sie jeweils einem bestimmten Prozess-Element zugeordnet. Mit Hilfe des Inventars werden die Verarbeitungen entsprechend der bestehenden Hierarchie innerhalb der Organisation in den Elementbaum eingefügt. Außerdem können Anwendungen, Server oder Infrastrukturen angegeben werden, die diese Verarbeitungen unterstützen.
PIA-Analyse – Risikoanalyse
Für Verarbeitungen, die eine PIA erfordern, ermöglicht GlobalSuite® die Analyse der Bedrohungen, die jede Verarbeitung betreffen, und die Bestimmung des Risikos der Unternehmensaussetzung gegenüber jeder Bedrohung innerhalb der Option Risikoanalyse .
PIA-Analyse – Risikoanalyse (Bedrohungen)
Um die Liste der Bedrohungen zu konfigurieren, die mit jeder Verarbeitung personenbezogener Daten verbunden sind, müssen wir zum Menü Einstellungen >“ Analyse-Kataloge “ gehen. In der oberen rechten Tabelle können wir die bestehende Bedrohungsliste ändern (falls das Unternehmen sie an seine Anforderungen anpassen möchte) und sie der Verarbeitung personenbezogener Daten zuordnen.
PIA-Analyse – Risikobewertung
Im Menü „ Risikobewertung “ können wir eine Zusammenfassung der Ergebnisse der Risikoanalyse sehen. Mit verschiedenen Diagrammen, die die Ergebnisse visuell darstellen und den Download dieser Diagramme ermöglichen, um sie in verschiedene Dokumente einzufügen.
PIA-Analyse – Risikobewertung ( Risikokarte)
GlobalSuite® bietet uns die Möglichkeit, unsere Risikoanalyse unter anderem durch die Darstellung einer „Heatmap“ anzuzeigen. Alle diese Daten können über die Option „Download“ exportiert werden.
PIA-Analyse – Kontrollmanagement
Sobald die Bedrohungen bewertet wurden, können die verschiedenen erkannten und implementierten Kontrollen registriert werden, die diese Bedrohungen mindern.
Die Methodik zur Berechnung der Effektivität oder Reife jedes Kontrols kann im Abschnitt Einstellungen> Kontrollmethodologien von GlobalSuite® definiert werden.
PIA-Analyse – Risikomanagement
Sobald die Bedrohungen bewertet wurden, ist es notwendig, die verschiedenen Kontrollen festzulegen, die die erkannten Risiken mindern, die über unserem akzeptablen Risikoniveau liegen, was den Behandlungsplan bildet.
Für unseren Behandlungsplan können wir neue Kontrollen vorschlagen, indem wir die Schaltfläche „ Neu“ verwenden, die bereits implementierten Kontrollen über die Option „ Implementierte Kontrollen einfügen“ einfügen oder neue vorgeschlagene Kontrollen gemäß der Konfiguration des definierten Risikokatalogs einfügen, indem wir die Registerkarte „ Vorgeschlagene Kontrollen“ auswählen.
Sobald die Bedrohung (obere Fenster) und die Kontrolle (untere Fenster) ausgewählt sind, werden wir sie über die Option „ Verknüpfen“ zuordnen. Sobald eine neue Kontrolle einer Bedrohung zugeordnet wird, wird sie automatisch in den Behandlungsplan aufgenommen.
Es ist möglich, verschiedene Aktionen für jede Kontrolle zu definieren. Sobald diese abgeschlossen sind, kann die Kontrolle implementiert werden, wie im linken Diagramm gezeigt.
In der Option „ Nachverfolgung des Behandlungsplans“ können wir die definierten Fristen für den Abschluss jedes einzelnen von ihnen sehen, zusammen mit ihrem Fortschritt, der sich aus der Vollständigkeit der damit verbundenen Aktionen ergibt. Wenn der Fortschritt der Kontrolle 100 % beträgt, zeigt dies an, dass die Kontrolle als implementiert gilt. Damit die Kontrolle in GlobalSuite® als implementiert gilt, müssen wir „ Implementierte Kontrollen implementieren“ drücken (Kontrollen mit einem Fortschritt von 100 % werden implementiert).
PIA-Analyse – Compliance
Ähnlich wie die GAP-Analyse-Option kann die Compliance verwendet werden, um die Einhaltung der DSGVO auf normativer Ebene zu behandeln und zu aktualisieren, sowie verschiedene Versionen im Laufe der Lebensdauer unseres MS aktiv zu halten.
Pläne
Pläne – Schulung und Ausbildung
GlobalSuite® ermöglicht der Organisation die Verwaltung ihrer Schulungs- und Ausbildungspläne . In diesen können wir die verschiedenen Teilnehmer einbeziehen, ob sie letztendlich durchgeführt wurden, die zugehörige Dokumentation als Repository und die Durchführungsdaten.
Pläne – Audit
GlobalSuite® bietet als eine der Anforderungen zur Analyse des Schutzes personenbezogener Daten in der Organisation die Möglichkeit, diese Bewertungen in der Option “ Audit ” zu registrieren.
Im Tab “ Planung” können wir die Daten zur durchzuführenden Auditierung eingeben.
Im Tab “ Kontrollen” innerhalb der Option Audit können für jeden der DSGVO-Anforderungen die festgestellten Ergebnisse registriert und diese konkret für jeden einzelnen notiert werden.
Schließlich ermöglicht der Tab “ Bericht” die Dokumentation der Auditergebnisse, indem die festgestellten Nichtkonformitäten und Beobachtungen sowie die Verantwortlichen, Verbesserungspunkte usw. registriert werden.
Es ist hervorzuheben, dass aus der Berichtsoption heraus die “ Nichtkonformitäten” als ein Eintrag innerhalb des Tools in der Option “ Verwaltung”> Nichtkonformitäten verwaltet werden können.
Scorecard
Scorecard – Metriken
GlobalSuite® ermöglicht die Festlegung von Metriken, die verschiedene Daten im Tool erfassen. Die Daten jeder Metrik werden je nach Datum und Wert dargestellt. In der nächsten Phase werden durch die Kombination der Metriken die Indikatoren festgelegt.
Scorecard – Indikatoren
Durch die Kombination der zuvor festgelegten Metriken werden die Indikatoren erstellt. Dazu müssen wir die Beziehung zwischen ihnen durch eine Formel festlegen. Um die in den Metriken eingegebenen Daten nutzen zu können, müssen die Indikatoren die gleiche Erfassungsfrequenz haben. Diese Indikatoren können in der Berichtserstellung ( Abschnitte> Berichte ) verwendet werden.
