Erläuterungen zur Core 7-Datensicherheitsrichtlinie

HINZUGEFÜGT 4
F: Was sind die Qualifikationen für den Datenschutzbeauftragten?

Gemäß Kernanforderung 7.(a)(2)(B) muss die R2-Einrichtung einen „kompetenten Datenschutzbeauftragten“ benennen. Die Qualifikationen für den Datenschutzbeauftragten (DPR) können je nach erforderlichem Sicherheitsniveau und Art der von der Einrichtung durchgeführten Bereinigung variieren. Der DPR muss mindestens mit den vorhandenen Datensicherheitsprogrammen und -kontrollen sowie mit allen geltenden gesetzlichen Anforderungen in Bezug auf die Datensicherheit vertraut sein und muss auch mit den geeigneten Methoden zur Bereinigung und Überprüfung dieser Aktivitäten vertraut sein, sofern zutreffend die spezifischen Arten von verwalteten Geräten.

Berücksichtigen Sie außerdem bei der Bestimmung der Qualifikationen oder Anforderungen für den DPR die regulatorischen Anforderungen, insbesondere diejenigen, die erfordern, dass eine Person mit der Aufsicht über die Datensicherheits- und Compliance-Programme der Organisation betraut wird. Weitere Informationen erhalten Sie unter:   https://iapp.org/resources/article/data-protection-officer-requirements-by-country/

HINZUGEFÜGT 4
F: Könnten unter Kernanforderung 7.(b)(2) Hintergrundüberprüfungen als Teil der „dokumentierten Bewertungen“ verwendet werden?

Ja, sofern nach lokalem Recht zulässig, können Zuverlässigkeitsüberprüfungen als Teil der dokumentierten Bewertungen verwendet werden.

HINZUGEFÜGT 4
F: Welche Arten von Vorfällen müssten gemäß Kernanforderung 7.(b)(5) offengelegt werden?

Die R2-Einrichtung müsste in ihrem Sicherheitsprogramm genau die Arten von Vorfällen definieren, die offengelegt werden müssten, sollte aber mindestens Elemente wie bekannte oder vermutete Datenschutzverletzungen und alle strafrechtlichen Anklagen oder Verurteilungen berücksichtigen, die die Sicherheitsautorisierung beeinträchtigen könnten.

ÜBERARBEITET 4
F: Core 7(a)(2)(E) erfordert eine schriftliche Datensicherheitsrichtlinie, die „Strafen für die Nichteinhaltung der Richtlinie festlegt, einschließlich persönliche Haftung.“ Was versteht man unter „persönlich haftend“ und wie sähe das aus?

Gemäß einigen Datenschutzgesetzen können Personen persönlich für Datenschutzverletzungen verantwortlich gemacht werden. Daher muss die R2-Einrichtung bei der Festlegung der Strafen für die Nichteinhaltung der Datensicherheitsrichtlinie alle gesetzlichen oder sonstigen Strafen im Zusammenhang mit der persönlichen Haftung einbeziehen.

Die Mitarbeiter müssen regelmäßig zu den geltenden Datensicherheitsanforderungen und den damit verbundenen Kontrollen, die von der R2-Einrichtung unterhalten werden, geschult werden. , nachweislich kompetent in den Richtlinien und Verfahren sind, die für ihre Rolle und Stufe der Sicherheitsautorisierung gelten. Darüber hinaus sollten Schulungen die Bedeutung der Datensicherheit und der Meldung bekannter oder vermuteter Datenschutzverletzungen unterstreichen. Arbeitnehmer mit Sicherheitsberechtigungen und Zugang zu Daten, die Geräte enthalten, müssen ebenfalls formellen Vertraulichkeitsvereinbarungen unterliegen. Dies ist weniger eine neue Anforderung, als vielmehr eine zusätzliche Anleitung zu den verschiedenen gesetzlichen Anforderungen, die Einrichtungen berücksichtigen müssen.