隐私和数据保护 - 隐私框架实施年

隐私和数据保护 - 隐私框架实施年2022 年十大风险与合规趋势NAVEX 文章 隐私和数据保护隐私框架实施年By: DR. PAM HRUBEY克罗校长杰西卡 · 威尔伯恩数据隐私官和高级法律顾问 ， NAVEX对于那些参与支持隐私和数据保护计划的人来说 ， 新的监管要求的持续扩展可能是来年的最大趋势。无论是正在讨论的新法律 ， 未决的法律 ， 还是已经到位的法律 ， 例如美国州或在国家或地区层面 - 隐私专家和他们支持的组织无法逃脱不断的变化。随着这种不断发展的环境，需要调整隐私计划以满足新的要求。此外，负责隐私政策和实施的人有时会努力支持那些不理解或不欣赏的沮丧的商业领袖。隐私计划要求 ， 并将隐私视为对生产力的干扰或障碍。受访者表示隐私、数据保护和安全是优先事项在 2021 年的 NAVEX 风险和合规计划调查中 ， 66% 的受访者表示隐私、数据保护和安全是优先考虑的问题。这意味着隐私与其他更熟悉的话题并列 ， 包括利益冲突; 反贿赂和反腐败; 多样性 ， 公平和包容性 （ DEI ）; 和环境、社会和治理 (ESG) 。不断的监管变化无疑是道德和合规领导者报告隐私仍然是重点关注领域的原因之一。但是下一个合乎逻辑的问题必须是: 隐私和数据保护计划领导者如何应对影响其组织的持续外部监管变化 ？2022 年将是许多隐私计划领导者将专注于实施隐私框架的一年 ， 以使隐私计划免受不断打击组织的变革之风的影响。选择正确的隐私框架隐私框架可帮助组织应对变化。它们提供了一个结构 ， 以使计划的基础以及充分支持隐私计划及其利益相关者所需的关键流程。寻求有效利用隐私框架的计划领导者必须有明确的掌握组织的特定信息要求以及组织在其中运营的相关行业。使用隐私框架并不能消除了解适用于业务的法律和法规的需要 - 但具有框架到位后 ， 更容易评估可能对组织产生实质性影响的变化。注意组织的文化和价值观以及对监管风险的偏好也很重要。2N AV E X | P R O T EC T IN G O YO U R P EO P LE, R EP U TAT I O N N A ND B O T T O M LINE 幸运的是 ， 许多隐私框架可用 ， 包括 ： 公平信息实践原则 普遍接受的隐私原则 (GAPP) 成熟度模型 ISO27701 国家标准与技术研究所 (NIST) 隐私框架 经济合作与发展组织 （ OECD ） 隐私框架此外，在实施隐私框架时，必须完成组织处理的个人和敏感数据的数据映射 （ 或处理活动记录 ） 。隐私领导者必须考虑隐私计划的范围以及它如何与组织的价值观保持一致。了解隐私计划可能面临的具体挑战也很有帮助，包括监管执法的可能性。买入和实施首先，隐私计划必须得到组织执行管理层的坚定支持。隐私领导者应该在有意义的地方利用部门或职能倡导者，并确保让这些隐私倡导者参与高级管理层的相关培训活动和研讨会。通过建立一个指导委员会并代表其他领导人来帮助承担与实施框架相关的负担，可能会有额外的组织提升。选择隐私框架后的第一步是确定您的组织必须遵守的隐私法规如何与您的框架和彼此重叠。在某些情况下 ， 这可能会有所帮助利用不止一个框架。一些组织发现从复制组织的另一部分所做的工作开始是有帮助的- 例如 ， 信息安全团队使用 NIST 网络安全框架或 ISO 27001 。这可以在隐私和安全之间自然重叠的空间中建立更强的一致性。映射控制区域 ， 然后在法规内部和跨法规建立连接可以减少全球隐私和数据保护领域自然存在的复杂性。接下来是为指导委员会成员和隐私管理员创建行动项目。这些人将很有能力帮助将选定框架中的控件映射到组织的个人数据收集过程中。隐私领导者应帮助委员会利用现有的政策，程序和培训。重要的是要始终如一地传达正在发生的事情以及为什么要真正获得买入。为创建的角色、责任和说明。框架应该保持简单明了。隐私计划团队的成员与指导团队成员和隐私倡导者应该保持一致，这样他们就可以成为该计划的可靠布道者，而不会有相互矛盾的危险。他们的参与也为个人和职业发展提供了机会。与任何有效的合规计划一样，定期进行监控以评估所取得的进展，并检查框架是否继续适合目的。可能有必要根据组织有义务满足的特定隐私风险和监管要求来定制所选框架。这是实施过程的一个自然部分 ， 使这些微小的调整使每个人的实施变得平滑。在确定如何定制框架时 ， 请务必让那些可能受到该计划影响或必须遵守该计划的业务合作伙伴参与进来。N AV E X | P R O T EC T IN G O YO U R P EO P LE, R EP U TAT I O N N A ND B O T T O M LINE3 4关于作者一旦框架实施 ， 每次发生监管变化时都可以利用它 - 尽管框架应该still remain dynamic and flexible, as static framework become dested quickly. First, map the new requirements into the controls you have documented in the framework. Where there are gaps in controls (which can happen from timeto time) adjust the controls. Then you ’ re ready to runch and repeat the next time a regulatory change happens.在当今时代 ， 没有技术自动化 ， 真正的数据隐私保护是不切实际的。几乎所有的数据收集、存储和使用已经是技术驱动的。数据控制映射也应该使用软件工具来完成。需要强大而灵活的数据控制软件当考虑到前述的监管变化率时 ， 工具变得更加明显。手动的或仅部分自动化的控制系统无法像精心选择的软件解决方案那样快速响应变化。因此 ， 进行必要的技术投资应优先考虑。2022 年预测数据隐私法规没有显示出放缓的迹象。组织应通过审核现有的隐私框架 ， 投资技术并准备进行必要的更改来为更改做好准备。来年将引起对隐私计划的更多关注 ， 当前和即将出台的立法将需要专用资源和组织的支持来维持合规性。Pamela Hrubey 博士| Crowe 校长Dr.Pamela Hrbey 是 Crowe 咨询小组的负责人，在指导创新公司从发现到商业化的过程中拥有 30 多年的经验。她通过领导和评估数据保护和隐私、道德与合规、透明度相关报告以及反贿赂和反腐败等领域的复杂业务流程开发工作，为世界各地的客户提供帮助。Pamela 在制定全球道德和合规计划方面拥有丰富的经验，包括选择关键人员，培训和发展以及引人入胜的领导力。此外，她还努力与包括美国司法部、联邦贸易委员会、 OIG / HHS 、 SEC 和国际数据保护机构在内的法律顾问和监管机构合作，加强全球道德和合规计划。杰西卡 · 威尔本| NAVEX 的数据隐私官和高级法律顾问Jessica Wilbr 是 NAVEX Global 的 DPO 和高级顾问。在内部领先的数据隐私方面，她为全球隐私法律和法规的各个方面的合规性提供建议。2017 年，杰西卡在 NAVEX Global 伦敦办事处工作，与来自世界各地的个人就全球数据隐私法的影响进行合作。Jessica 从事数据隐私工作超过 4 年，最初专注于 SaaS 和数据传输和处理协议。她现在专注于 NAVEX Global 国际隐私计划和运营的管理，持有 CIPP / E （ 欧洲 ） 和 CIPP / US （ 美国 ） 认证。她是 IAPP 女性领先隐私咨询委员会的成员。N AV E X | P R O T EC T IN G O YO U R P EO P LE, R EP U TAT I O N N A ND B O T T O M LINE NAVEX 是公认的风险和合规管理软件和服务的领导者 ， 使全球成千上万的客户能够充满信心地管理和减轻风险。 NAVEX 的使命是帮助客户促进道德 ， 包容性的工作场所文化 ， 保护其品牌并通过可持续的商业实践保护环境。有关更多信息 ， 请访问 NAVEX. com 和我们的博客。在 Twitter 和 LinkedIn 上关注我们。美国5500 Meadows Road, 500 Oswego 湖套房, 或 97035美利坚合众国 info @ navex. com www. navex. com+1 (866) 297 0224EMEA + APAC4 楼, Vantage London Great West Road Brentford, TW8 9AG 英国 info @ navex. com www. navex. com / uk+44 (0) 20 8939 1650版权 © 2022 NAVEX GLOBAL ， INC 。保留所有权利。