GDPR: Das CISO-Thema Nummer eins in 2017

Der Privacy and Data Protection Officers Summit 2017 in London ist vorbei und eperi blickt auf eine sehr intensive und erfolgreiche zweitägige Konferenz zurück.

„Die Teilnehmer waren überwiegend Risiko- und Compliance-Verantwortliche, die mit den kommenden GDPR-Vorschriften sehr gut vertraut sind. Wir waren daher sehr erfreut, eingeladen zu werden, an einem solchen Event teilzunehmen“, sagte Pather, Senior Vice President bei eperi. Zusätzlich zu rechtlichen Compliance-Anforderungen seien die in GDPR verankerten Geldbußen für viele Unternehmen ein Ansporn, GDPR vollständig entsprechen zu wollen.

Nach einer Analyse der NCC Group hätten die Geldbußen des Informationskommissariats (ICO) gegenüber britischen Unternehmen im vergangenen Jahr 69 Millionen Pfund anstatt 880.500 Pfund betragen, wenn GDPR (General Data Protection Regulation) angewendet worden wäre. TalkTalk, das beispielsweise 2016 wegen Sicherheitslücken und Hackerzugriff auf Kundendaten zu 400.000 Pfund Strafe verurteilt wurde, müsste nach GDPR-Rechtsprechung 59 Millionen Pfund zahlen. Ein weiteres Beispiel: Die 130.000-Pfund-Strafe für Apotheke2U würde unter GDPR auf 4,4 Millionen Pfund ansteigen – ein erheblicher Teil der Einnahmen und potenziell genug, um das Unternehmen aus dem Geschäft zu drängen.

Viele der Delegierten bestätigen, dass die GDPR-Vorschriften vor allem Workflows verkomplizieren,  bei denen personenbezogene und sensible Daten mit dritten Datenverarbeitern geteilt werden. Viele gaben zudem an, dass die Position des Datenverarbeiters im GDPR schwer nachzuvollziehen ist. Gerade bei der Behandlung von personenbeziehbaren Daten gab es hier noch große Verwirrung.

Dateninhaber müssen letztlich die GDPR-Verantwortung übernehmen, auch wenn sie Drittanbieter-Datenprozessorsysteme und Anwendungen wie SaaS verwenden, sagte Pather. „Das Erfüllen der zahlreichen GDPR-Anforderungen ist eine komplexe Aufgabe für sich, aber Unternehmen wollen auch Komplexität und Bürokratie im Umgang mit Datenverarbeitern minimieren, wie Meldungen von Datenschutzverletzungen. eperi-CDP-Lösungen wie das eperi Gateway ermöglichen es Unternehmen, beides zu tun.“ Als einer der Sprecher des Ereignisses präsentierte Pather einige der wichtigsten GDPR-Konzepte, die gelten, wenn Dateninhaber personenbeziehbare und sensible Daten mit Drittanbieter-Datenprozessoren teilen oder verarbeiten. Er erklärte zudem, warum Pseudonymisierung durch Verschlüsselung oder Tokenisierung von personenbezogenen und sensiblen Daten ein kritischer Bestandteil beim Erfüllen von GDPR-Anforderungen ist.

Cloud-Datenschutz-Lösungen (CDP) wie das eperi Gateway können Unternehmen dabei helfen, GDPR-Anforderungen zu erfüllen, indem sie sensible Daten verschlüsseln, bevor diese das Unternehmen verlassen. Damit können die kryptografischen Schlüsseldaten vollständig innerhalb des Unternehmens verwaltet werden, sodass sensible Daten für jeden unautorisierten Nutzer unlesbar bleiben. Dieses Vorgehen wird von GDPR als Pseudonymisierung bezeichnet und bringt erhebliche Vorteile beim Umgang mit Drittanbieter-Datenverarbeitern mit sich.

Wenn Sie den Privacy and Data Protection Officers Summit 2017 verpasst haben, gibt es noch mehr UK-Chancen, mit eperi-Experten zu sprechen und herauszufinden, wie das eperi-Gateway Ihrem Unternehmen dabei helfen kann, GDPR und Cloud Data Security in naher Zukunft zu erfüllen. Besuchen Sie uns in:

  • 16. – 17. Mai: IT Security Analyst und CISO Forum 2017, London
  • 06. – 08. Juni: Infosecurity Europe 2017, London
  • 18. – 19. September: Gartner Security und Risk Summit, London

Weitere Informationen zum eperi Gateway finden Sie auf unserer GDPR-Seite und in unserer Ressourcenbibliothek.