von Steve Boals

Da sich das Datum bis zum Inkrafttreten der neuen Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 schnell nähert, ist es jetzt an der Zeit, eine solide Strategie zu entwickeln und umzusetzen, wenn es Dokumente und Bilder geht. Organisationen müssen nicht nur Prozesse und Verfahren zum Umgang mit privaten Informationen implementieren, sondern auch den „aktuellen Bestand“ überprüfen, um die Risikobereiche ihres Geschäfts und deren Offenlegung zu verstehen. Im Folgenden finden Sie vier Hauptschritte, die Ihre DSGVO-Strategie enthalten sollte und wie Sie eine dokumentenzentrische Strategie entwickeln können. (Quelle: https://www.microsoft.com/en-us/trustcenter/privacy/gdpr/get-started)

Aufdecken

Dies ist eventuell einer der herausforderndsten Schritte, wenn es um Dokumente und DSGVO geht, da Unternehmen meistens viele verschiedene Dokumentenspeicher nutzen. Denken Sie nur an einen modernen Arbeitsplatz und alle die Orte, an denen Dokumente vorliegen:

  • Netzwerkverzeichnisse
  • Lokale Verzeichnisse
  • Sync-Technologien wie Box, OneDrive, Dropbox, Google Drive
  • Corporate Enterprise Content Management (ECM) und Document Management (DM) Systeme
  • Branchensysteme, die Dokumente enthalten
  • E-Mails und Anhänge

Die Fähigkeit, alle Datensätze mit hohem Risiko in diesen Ablageorten zu durchsuchen und zu identifizieren, ist entscheidend für die Compliance. Bei der Suche nach der richtigen Technologie sollten Sie diese Checkliste mit den erforderlichen Funktionen kennen:

  • Zweistufige Identifikation – Die meisten Technologien auf dem Markt setzen nur eine einfache Mustererkennung ein, um persönliche Informationen in Dokumenten zu identifizieren. Dies kann problematisch sein und Mitarbeiter unnötig mit der Validierung von falschen positiven Ergebnissen beschäftigen, was meist viel Zeit bindet. Mit zweistufigen Identifikationssystemen (wie bei Ephesoft), werden Dokumente zuerst als spezieller Typ klassifiziert: Vertrag, Anwendung, Korrespondenz, etc. Diese Klassifizierung kann an die spezifischen Anforderungen der Organisation angepasst werden und ermöglicht eine sofortige Risikoklassifizierung der Dokumente. Die zweite Stufe der Risikoidentifikation sind Mustervergleich, Fuzzy-DB-Übereinstimmung und Schlüsselwertsuche. Ein zweistufiger Ansatz ist für eine hohe Genauigkeit und Konfidenz unerlässlich.
  • Optische Zeichenerkennung (OCR) – Bilder können einen Dokumententyp mit sehr hohem Risiko darstellen. Um ein Bild auf Risiken angemessen beurteilen zu können, muss ein Textumwandlungsprozess stattfinden. Außerdem benötigt die Anwendung eine Voting- und Konfidenz-Engine. Bilder sind meist von sehr unterschiedlicher Qualität und auch ein Fax oder eine „Kopie von einer Kopie“ können ein Problem darstellen. Mit der Markierung des Gesamtdokuments und der identifizierten privaten Informationen können Bilder nach Gesamtqualität und Qualität der Daten eingestuft werden.
  • Offene Architektur – Proprietäre Systeme können nicht alle Anforderungen erfüllen, die für die Aufdeckung der DSGVO-relevanten Dokumente erforderlich sein werden. Die meisten Organisationen benötigen eine sehr flexible Software, die sich an ihre unternehmensspezifischen Bedürfnisse und Anforderungen anpassen lässt. Die Verwendung modularer und offener Plattformen ist in dieser Hinsicht die beste Lösung.
  • Machine Learning – Der Einsatz eines Systems, das mit jedem Einsatztag intelligenter wird, ist in der heutigen modernen Welt erforderlich. Mit einer Datenerfassungslösung, die auf Machine Learning Technologien basiert, können Sie die Vorteile eines selbstlernenden Systems nutzen und neue risikobehaftete Dokumente im Verlauf schneller erkennen. Der Einsatz von ML-Werkzeugen kann Organisationen dabei helfen, Daten zu erkennen und darauf zuzugreifen, die ein Risiko für die DSGVO darstellen.

Verwalten

Sobald der DSGVO-relevante Dokumentenbestand vollständig erkannt wurde und eine Organisation ihre Risiko- und Expositionsbereiche kennt, kann ein Plan entwickelt werden, wie die entsprechenden Dokumente der Datensubjekte verwaltet werde. Diese Phase innerhalb Ihrer DSGVO-Dokumentenstrategie kann folgende Punkte enthalten:

  • Migration von Hochrisikodokumenten in ein managed Repository – Wenn Hochrisikodokumente außerhalb eines regulierten und verwalteten Speichers vorhanden sind, kann das Werkzeug, das bei der Suche hilft, auch bei der Migration helfen. Genauso wie Dokumente klassifiziert werden, können auch Metadaten extrahiert werden, und das Dokument in ein neues oder schon bestehendes Speichersystem verschoben werden. Hier sehen Sie ein Beispiel für eine Online-Vertragsmigration zu SharePoint: Migration von Verträgen und Daten zu SharePoint.
  • Implementierung eines intelligenten Dokumentenprozesses – Durch die Erstellung eines reproduzierbaren, standardisierten Prozesses zur Dokumentenaufnahme und -verarbeitung können neue Dokumenttypen markiert werden, wenn sie in den digitalen Raum der Organisation gelangen. Dadurch kann eine gezielte Steuerung und Speicherung von Dokumenten mit hohem Risiko sichergestellt werden.

Schutz

Organisationen müssen Sicherheitsprüfungen für alle Dokumente durchführen, die als hohes Risiko gelten. In dieser Phase muss jedoch auch an Schutz neuer Dokumente gedacht werden, die neue private Daten enthalten können. Wie im Abschnitt „Verwalten“ geschildert wurde, identifiziert und leitet eine effektive Technologie neu aufgenommene Dokumente an einen geschützten Ort weiter. Organisationen sollten hierfür Echtzeitkontrollen zur Identifikation und Klassifizierung hoher Risiken implementieren. Hier sind einige Beispiele:

  • Fortlaufende Erkennung– Sie können die Dokumente schützen, die in Ihrem verwalteten Speicher sind, aber was ist mit neu erzeugten persönlichen Daten? Wenn neue Richtlinien und Verfahren implementiert werden, müssen Organisationen ihre Erkennungstechnologie einsetzen, um neue Risiko-Dokumente fortlaufend zu identifizieren und zu überwachen.
  • Eingebettete Klassifizierungstechnologie – Der Einsatz von Erkennungs-Tools, die in Ihren alltäglichen Anwendungen eingebettet sind, kann das Risiko senken und Compliance sicherstellen. Moderne Klassifizierungsplattformen setzen hierbei Web-Services ein, egal ob in der Cloud oder bei lokalen Lösungen. Hier sehen ein Beispiel: DSGVO-Scan und -Erkennung in Echtzeit bei SharePoint.

Berichten

Bei der neuen DSGVO-Norm geht es vor allem um Nachvollziehbarkeit, Transparenz und Gesamtverantwortung. Es ist enorm wichtig, dass man alle Dokumententypen kennt, die so klassifiziert sind, dass sie persönliche Daten enthalten, sowie die Prozesse um sie herum, um die Compliance sicherzustellen. Ein Audit der Richtlinien und Verfahren muss garantiert Aufzeichnungen der Dokumentenerstellung oder -aufnahme enthalten, wie diese verarbeitet wurden und wo sie letztendlich zur Verwaltung gespeichert wurden. Alle Technologien, die in diesem Artikel erwähnt werden, bieten umfassende Berichterstellungs- und Analysemöglichkeiten.

GDPR Dashboard in Ephesoft Insight

Aufgrund der Komplexität der DSGVO reicht eine Standardberichterstellung in den meisten Fällen nicht aus. Die Möglichkeit, tiefergehende Analysen zur Verfolgung und Identifizierung von Schlüsseldaten und Dokumenten durchzuführen ist eine Anforderung an eingesetzte Technologien. Für weitere Informationen zur DSGVO und wie Ephesoft Ihnen bei Ihrer Strategie helfen kann, wenden Sie sich bitte an info.eu@ephesoft.com.