欧盟“一般数据保护条例”(GDPR)将从2018年5月25日起生效,这被企业看作是一个主要的数据安全挑战。
然而,其影响将会更加深刻。数据隐私不仅意味着保护数据,而且还确保客户在需要时可以访问其数据,确保所存储的数据准确无误,并确保数据被正确存储,并且拥有者如果请求的话,数据将被删除或转移。
一直专注于安全性以排除所有数据管理问题的组织仍然可能面临不符合GDPR规定的风险。
为了确保合规性,组织在数据隐私方面必须遵循五个关键的原则:
1.适当地存储数据
欧盟“一般数据保护条例”(GDPR)第5条规定,数据必须“以允许识别数据主体的形式保存,不再是个人数据处理目的所必需的”。
从本质上讲,数据在最初使用之后不能存储。组织面临的挑战是确保在这段时间过去之后,不仅所有相关数据都被删除,而且还必须立即完成。
组织可能因为不了解保留任何的数据项目可能会违反GDPR.
2.让客户访问自己的数据
欧盟“一般数据保护条例”(GDPR)第15条规定了消费者的获取权:他们可以“获得关于个人资料是否被处理的确认,并且在这种情况下也可以访问个人资料,以及例如数据的处理方式,访问权限以及个人拥有的权限等信息。
组织需要确定,当提出合法请求时,他们可以对所有相关数据和其他信息进行全面的访问。
3.修改不准确的数据
欧盟“一般数据保护条例”(GDPR)第16条规定,消费者“有权获得及时准确的个人资料,或可以对其不正确的个人资料进行纠正”,其包括完善个人资料不完整的权利,包括提供补充声明。
对于组织来说,这意味着需要开放他们存储的个人数据,以便消费者进行修改,而不会有进行任何修改从而使数据本身无法使用的风险。
4.数据擦除
除了纠正不准确的个人资料外,GDPR还引入了“被遗忘的权利”。
GDPR第17条规定,消费者有权在不是无故延误的情况下获得有关个人资料的删除权。虽然这只是在特定的理由下允许的,但当提出擦除请求时,组织需要迅速采取行动。
还有一种情况,个人可能希望将其数据擦除一个服务或进程,而不是另一个服务或进程。在这种情况下,组织需要确定它们是否清除相关数据,同时将其他服务或过程保持不变。
5.传输数据
在日益数字化的经济中,消费者希望通过多种服务重新使用他们的数据。
GDPR第20条承认:消费者有权通过结构化,常用和机器可读的方式接收有关自己的个人资料,并有权将这些数据传输到另一个组织而不受阻碍。
这是符合GDPR的一个规定,对组织而言,无论遵守情况如何,都将对组织带来巨大的利益:越来越多地想要使用多种服务的消费者,或者反复切换的消费者,将会对那些让他们无缝服务的组织有着更加有利的看法。
最终的挑战
五个关键原则强调一个单一的风险。如果客户的数据破裂和不一致,组织的统一控制就会减少。没有这种控制,要满足GDPR要求更难。
为了创造吸引和惠及消费者的服务,使用这些数据也将变得更加困难。意味着组织也将失去竞争优势。
目标应该是为每个客户创建一个单一的“黄金纪录”:一个独特的概述,描述个人的细节信息,他们与组织的历史,以及易于共享的格式的任何其他背景信息。
如果组织确信它的控制中没有潜在的敏感数据,那么它可以专注于使用数据来改进或扩展其提供的服务。
安全问题
确保客户数据的安全性时,黄金记录仍然是宝贵的资产。首先是访问控制。控制对单个黄金记录的访问比控制对多个不同数据存储的访问要简单得多。
简单来说,可以访问,查看,修改,删除和导出数据的人数越少,数据就越安全。
一个真正的黄金纪录也将有一个可验证的审计追踪,意味着所有采取的行动和修改都可以跟踪,可疑活动迅速被认可和调查。
数据控制器可以更好地理解访问的变化或努力,在何时何地由谁负责;允许他们对数据的使用有更深入的了解,并识别可疑行为的迹象。
2018年及以后
最终,GDPR的目的不仅在于确保隐私,还可以使组织更容易在欧洲开展业务。
创造符合GDPR要求的黄金纪录,不仅使组织符合规定,更能够吸引和服务整个欧洲大陆的客户。
它还将创建一个客户的单一视图,该视图可用于支持跨企业的智能数据管理。