Ausgabe März 2018 | 28. März 2018 | SHD . TechnologyAlle Beiträge dieser Kategorie anzeigen | Alle Beiträge anzeigen von
Sandy Mönch
| 766 Besucher

Dokumentieren gemäß EU-DSGVO

mit i-doit und Data Privacy Add-on leicht gemacht



Die EU-DSGVO bringt im Vergleich zur bisherigen Rechtslage etliche neue Dokumentationserfordernisse mit sich. Etwa um der in Artikel 5 Absatz 2 geforderten Rechenschaftspflicht (Accountability) nachkommen zu können. Auch das in Artikel 30 vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten ist letztlich eine Dokumentationsaufgabe. Was liegt näher, als diesen Dokumentationspflichten mit Hilfe eines Tools nachzukommen, das sich auf die IT-Dokumentation spezialisiert hat? SHD stellt Ihnen gern dieses praktische Add-on für die Dokumentationslösung i-doit näher vor.

Das Data Privacy Add-on erweitert i-doit um Objekttypen und Kategorien, die nicht nur die verpflichtenden Inhalte solch eines Verzeichnisses aufnehmen, sondern unterstützt Verantwortliche auch bei der Dokumentation der jeweiligen Rechtsgrundlage auf deren Basis die Verarbeitung der Daten erfolgt. Diese Information ist kein verpflichtender Inhalt des Verzeichnisses der Verarbeitungstätigkeiten. Aber sie muss zunächst verfügbar sein, um dem Grundsatz der »Rechtmäßigkeit« nachkommen zu können – denn für jede Verarbeitung personenbezogener Daten muss eine Rechtsgrundlage existieren. Die Dokumentation der Rechtsgrundlage dient wiederum dazu, die Einhaltung dieses Grundsatzes nachzuweisen, also der »Rechenschaftspflicht« nachkommen zu können.

Was muss dokumentiert werden?

Ein weiterer Grundsatz für die Verarbeitung personenbezogener Daten ist die Sicherheit dieser Daten. Also die Gewährleistung der Sicherheitsziele »Vertraulichkeit«, »Verfügbarkeit« und »Integrität«. Um diese Sicherheitsziele zu erreichen, sind Verantwortliche einer Verarbeitungstätigkeit und Auftragsverarbeiter in gleichem Maße zur Umsetzung risikoadäquater Maßnahmen zum Schutz vor relevanten Bedrohungen verpflichtet. Das Risiko setzt sich zusammen aus:

  • der Häufigkeit einer Bedrohung
  • dem Grad der Verwundbarkeit der Verarbeitungstätigkeit
  • gegenüber einer solchen Bedrohung
  • dem potentiellen Verlust oder Schaden, der im Eintrittsfall entstehen kann

Quelle: don’t panic it-services og

Der potenzielle Schaden, der Betroffenen und/oder Verantwortlichen bei »erfolgreicher« Ausnutzung einer Schwachstelle entsteht, drückt sich als »Schutzbedarf« einer Verarbeitungstätigkeit aus. Auch das ist eine Information, die mit Hilfe des Privacy Add-on dokumentiert und für eine weitere Verwendung genutzt werden kann. Die beiden anderen Größen der Risikoanalyse neben dem Schutzbedarf, sind die Bedrohungen und deren Häufigkeit sowie der Grad der Verwundbarkeit der jeweiligen Verarbeitungstätigkeit, respektive der Software und Infrastruktur, die zur Verarbeitung der Daten verwendet wird.

Wer braucht das Data-Privacy Add-on?

Organisationen, die bereits ein Information Security Management System (ISMS) nach der ISO 27000 Reihe oder dem BSI-Standard 100-1, respektive des modernisierten BSI-Standard 200-1 betreiben, werden den Anforderungen der DSGVO hinsichtlich des Risikomanagements vermutlich bereits gerecht.

All jenen Organisationen, denen der bürokratische Aufwand eines solchen ISMS zu groß ist oder aus anderen Gründen eine einfachere Lösung suchen, bietet das Privacy Add-on die Möglichkeit, gleichartige Verarbeitungstätigkeiten zu einem IT-Verbund zu gruppieren und für diese das Risikomanagement anhand der »Elementaren Gefährdungen« aus dem BSI IT-Grundschutz-Katalog G 0 zu dokumentieren. Das ISMS muss schließlich in einen Prozess überführt werden, der die Reaktion auf Sicherheitsvorfälle, Überwachung und Auditierung der ergriffenen Maßnahmen, Anpassung der Richtlinien etc. sicherstellt. Auch dabei unterstützt das Privacy Add-on im Zusammenspiel mit i-doit Standard Features wie Workflows, Benachrichtigungen und Reports.

DAS zentrale Ziel von i-doit ist es, Informationen nutzbar zu machen: Daten werden nur an einer Stelle aktuell gehalten und sind immer in der richtigen Form verfügbar. Getreu diesem Grundsatz können die Informationen, die mit Hilfe des Privacy Add-on dokumentiert werden, auch für andere Zwecke als der Erfüllung der reinen Dokumentationspflichten genutzt werden. Etwa um den Informationspflichten gemäß Artikel 13 der DSGVO nachzukommen. Denkbar wäre eine direkte Generierung dieser Informationen aus i-doit über die JSON API und Einbindung in die Datenschutzerklärung auf einer Website.

Unser Angebot

Als Ergänzung zum kostenlosen Privacy Add-on bietet SHD gemeinsam mit don’t panic it-services og ein Support- und Dienstleistungspaket zu € 500,00 mit folgenden Inhalten an:

  • Remote Einschulung im Umfang von ca. einer Stunde
  • CSV File als Beispiel für den Import der Verarbeitungstätigkeit »Personalverwaltung«
  • Access basiertes Tool zur Erstellung von CSV Files für den Import von Verarbeitungstätigkeiten
  • Script zur Generierung eines DSGVO konformen Verzeichnis der Verarbeitungstätigkeiten als PDF
  • Support per E-Mail

Zum Hintergrund: Seit Mitte 2017 ist SHD Entwicklungs- und Vertriebspartner von i-doit. Im breiten Lösungsportfolio rund um IT-Dokumentation bieten zahlreiche Partner spezialisierte Add-ons an. Informieren Sie sich gern unter: https://www.i-doit.com/produkte/add-ons/

Unsere ITSM-Experten der SHD beraten Sie gern zu passenden Tools für Ihre Fragestellung!

Quelle: http://www.techconsult.de/it-security/dsgvo-rueckt-thema-informationssicherheit-in-den-fokus

 

Sandy Mönch
Autor:
Sandy Mönch | SHD Marketing
Website:
Bildquelle/Copyright: © SHD — shd-online.de

Bitte bewerten Sie diesen Beitrag

Es wird kein Zusammenhang zwischen Ihrer Bewertung und Ihrer E-Mail-Adresse hergestellt, falls Sie unseren Newsletter erhalten haben.

SHD . NewsAlle Beiträge dieser Kategorie anzeigen

SHD als bester Arbeitgeber

SHD wurde vom Wirtschaftsmagazin Focus-Business und der Bewertungsplattform kununu unter die Lupe genommen. Das Ergebnis: SHD System-Haus-Dresden GmbH ist Top-Arbeitgeber im Mittelstand. Engagierte und zielorientierte Mitarbeiter sind die wichtigste Säule für den Erfolg – durch die ...

623 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

BPM-Team nach Lean Six Sigma zertifiziert

Das BPM-Team von SHD hat seine Methodenkompetenz ausgeweitet und hat nun seit 2017 drei zertifizierte »Lean Six Sigma Green Belts«. Neben einer kompetenteren und besseren Beratungsleistung können auch Prozessfähigkeit und Prozesssteuerung in Hinblick auf Nachhaltigkeit effektiver ...

526 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

Der KRITIS-Countdown läuft …

Knapp zwanzig IT-Sicherheitsbeauftragte mitteldeutscher Krankenhäuser tauschen sich bei den KRITISchen Stammtischen zu Themen wie Meldepflichten, Incident Response und Zusammenarbeit mit der Polizei oder Medizintechnik unter KRITIS-Anforderungen aus. Der nächste Stammtisch findet am ...

535 Besucher
SHD . TechnologyAlle Beiträge dieser Kategorie anzeigen

Maximale Sicherheit und höchste Standards

Heute kommt kein Unternehmen mehr ohne externen Speicher für Backups aus. Viele Unternehmen verfügen jedoch über keinen zweiten Standort und das Speichern auf Band oder Wechselspeicher ist aufwändig. Daher entscheiden sich immer mehr Kunden für Backup as a Service unter Verwendung ...

602 Besucher