GDPR影响复杂,专家警告
据Herwig Thysens,ICT总监和T-Systems比利时T-Trust负责人表示,尽管董事会最需要了解,但董事会最需要理解的是,它不仅仅是关于法律,IT和安全性。
“他们需要了解GDPR不仅仅是一个需要实施的项目,而是需要为业务生活而维持的东西,”他在布鲁塞尔告诉EEMA的ISSE 2017年会议。
虽然没有必要详细介绍GDPR,但蒂森表示,董事会需要了解为什么需要完成,为什么需要进行投资。
“真的是一项投资,因为就像任何良好的投资一样,它提供了回报 - 你得到了钱,因为它有助于建立客户信任,”他说。
根据冬季,董事会只有在被告知组织变革时,董事会才会变得困惑,所以有一个法律和合同的实施方式和一些安全和ICT进程,以及合规性和风险,金融,人力资源,通信和营销涉及,因为有机会赚钱。
与此同时,他表示,董事会不忽视所有需要完成的董事会并没有发展“隧道愿景”,在那里他们认为只有法律和安全方面的GDPR准备就业解决。
“GDPR实施中经常存在差距,组织倾向于专注于法律方面,合同,安全和数据保护人员,但倾向于忘记其他关键要素,”塞森说。
组织更有可能忘记数据库存,数据隐私影响评估和员工意识等事情,即使在GDPR审核的情况下,需要所有这些事情的证明。
“就像任何良好的投资一样,GDPR提供了回报 - 您可以获得资金,因为它有助于建立客户信任”Herwig Thyssens,T-Systems Belgium“数据库存可能很难创建,许多组织都不完全确定存储特定类型的数据以及谁拥有数据,其中一些组织发现很难回答,但它是GDPR合规性的关键。
“如果你不知道你拥有什么,它是谁和谁拥有它,你将无法提供关于数据的必要保证,您将无法使用GDPR的附加值来获得更多业务, “蒂森说。
组织最常见的是解决该组织如何受到影响的问题,设计的国际数据流,数据保留,备份和隐私。
“数据保留被比较库存,但即使组织知道数据在数据的位置,有些人发现它太难以决定保留它,这是GDP审计员将要问的基本问题,”塞森说。
在通过设计要求的隐私方面,他表示,具有高度成熟度的组织应任务业务流程所有者查看他们的流程来评估GDPR的影响以及需要改变的内容。
“在成熟度低的组织中,我的建议是确保董事会参与其中,所以它可以推动这一点,因为它不会自动发生,并且有一个专门的团队分配给项目来协调并驱动它商业职能,“他说。
在GDPR合规性截止日期之前,蒂森表示,组织应该考虑所有这些东西,确定他们的差距并立即解决它们,因为时间不多了。