Categoria: Top » Business » Corporate

Conduzindo um exame interno eficaz da privacidade

Tags: privacidade, segurança da informação, exame da privacidade, gerência de risco, proteção dos dados

Antes que uma organização possa verdadeiramente se dedicar aos princípios da proteção da privacidade, necessita fazer exame do estoque de suas terras arrendadas pessoais da informação e dos procedimentos que tem atualmente no lugar. E a fim mover-se para a frente nesta estrada para a conformidade da privacidade, uma organização necessita fazer três perguntas básicas: Que tipo de informação pessoal nós prendemos, onde somos ele armazenamos e como é controlado?

Incorpore o exame da privacidade. Um exame permite que uma organização faça exame do inventário de seu banco de dados pessoal da informação, identifique as necessidades de informação das funções diferentes dentro da organização e compreenda práticas atuais da informação, incluindo como e porque a informação pessoal é coletada, usada e divulgada. Em estabelecer e em conduzir um exame da privacidade, uma organização deve certificar-se manter um truism básico na mente: os empregados fazem geralmente o que você inspeciona, não o que você espera!

Um exame interno da privacidade fornece um self-assessment crítico. É essencial forçar para staff os membros que foram pedidos para participar no exame que não devem não ter nenhum medo de "falhar um teste" ou chamados à tarefa para algumas de suas práticas atuais. No contrário, que organização necessita focalizar sobre neste estágio está desenvolvendo um inventário detalhado e exato, um que não requer nenhum julgamento e nenhuma resposta direita ou errada. O objetivo preliminar do exame deve ser reforçado: Para coletar a informação nas práticas atuais que podem informar o processo do planeamento e de tomada de decisão a respeito da aplicação futura das mais melhores práticas da privacidade dentro da organização.

Uma vez que as práticas em linha e off-line atuais através da organização são compreendidas, uma avaliação de risco detalhada pode ser empreendida. As práticas de negócio podem ser avaliadas para identificar as aberturas na conformidade com mais melhores marcas de nível da prática. Baseado no nível do risco, as etapas da ação e os timelines para iniciativas da conformidade podem ser dados prioridade.

Para ser a maioria de eficazes, os exames da privacidade devem ser conduzidos por alguém familiar com as edições da privacidade mas não pesadamente ser envolvidos no dia controlando às operações do dia, tais como o escritório da privacidade ou um grupo do exame interno.

Fazendo exame Do Inventário

O exame começa fazendo exame de um inventário dos registros pessoais da informação atualmente na existência e das políticas e das práticas de gerência da informação da organização. Em algumas situações, a organização pode coletar a informação pessoal de uma escala larga das fontes, tais como clientes, dos sócios, dos contratantes, dos empregados, dos vendedores, e mesmo do público em grande. Cada departamento na organização necessita scrutinized por este processo do inventário a fim determinar como e porque a informação pessoal é coletada e usada; se os consentimentos estiveram obtidos e que formulário fizeram exame; como essa informação é protegida; quanto tempo é retida; e a quem são liberados e porque.

Para um inventário eficaz, toda a documentação usada coletar e divulgar a informação pessoal no curso de operações de negócio cotidianas deve ser revista. Esta etapa importante consiste examinar todos os formulários, contratos, acordos de confidentiality, atribuições third-party, códigos da privacidade da prática, escritos procedimentos, fax e moldes etc. do E-mail. Avaliando cada um com cuidado, se pode determinar se os originais são completos e detalhados nos termos da proteção da privacidade ou se necessitam re-drafted ou revamped.

É importante quando conduzir o exame para examinar registros pessoais da informação prendeu no hardcopy, em dobradores do sistema e em outros meios eletrônicos, as.well.as todas as coleções ou divulgações em linha. As organizações necessitam pensar com todos os métodos com que a informação pessoal é coletada. Alguns exemplos incluem:

- formulários de ordem ou formulários de aplicação
- competições
- E-mais
- exames
- garantias
- serviços de entrega
- Web site
- atividade e gravações do centro da chamada
- programas da lealdade ou do referral

Da pergunta crítica que necessita ser respondida durante o exame está: Que são as necessidades de informação dos departamentos diferentes dentro da organização? As entrevistas da equipe de funcionários, os exames do empregado e as discussões do grupo podem ajudar responder a esta pergunta. Falando aos empregados, um pode começar um sentido realmente bom não somente das práticas formais, mas as normas informais, aceitadas adotadas pelo departamento.

Perguntas Potenciais Do Exame:

- como sua organização (ou a unidade ou o departamento) coletam a informação pessoal?
- por que sua organização coleta a informação pessoal?
- são os indivíduos feitos cientes que a organização está coletando sua informação pessoal?
- se assim, os indivíduos são informados do purpose(s) para coletar sua informação pessoal?
- o consentimento é obtido dos indivíduos antes de coletar ou de usar sua informação pessoal? Se assim, que métodos são usados obter esse consentimento?
- como a organização usa a informação pessoal?
- a quem a organização divulga a informação pessoal?
- os indivíduos são informados dos usos e das divulgações pretendidos de sua informação pessoal? Se assim, que métodos são usados informá-los?
- é a informação pessoal prendida pela organização exata, completa e moderna?
- como a organização armazena a informação pessoal? Onde é armazenada?
- quem têm o acesso à informação pessoal prendida pela organização e quem verdadeiramente as necessidades têm esse acesso?
- a organização tem medidas no lugar proteger a informação que pessoal prende de acesso desautorizado, o uso da coleção, a divulgação ou as modificações?
- quanto tempo a organização retem a informação pessoal?
- como a organização destrói ou dispõe da informação pessoal?

Com exame as etapas terminam, um relatório são criadas então, sumariando os resultados e fornecendo recomendações para a organização seguir baseado nas áreas que necessitam um foco mais grande. Eficazmente, o relatório ajuda ao legado da organização uma planta completa e detalhada da privacidade do ataque, um que respondem eficazmente às necessidades particulares da organização, e que ajudas ele movimento para a frente no sentido de conseguir um programa forte da gerência da privacidade.

Seed Newsvine


Conduzindo um exame interno eficaz da privacidade by Fazila Nurani is licensed under a Creative Commons Atribuição-Uso Não-Comercial-Vedada a Criação de Obras Derivadas 2.5 Brasil License.