Warum ein Privacy-by-Design-Ansatz für Datenkataloge funktioniert
Actian Germany GmbH
April 11, 2022
Seit Beginn des 21. Jahrhunderts erleben wir eine wahre digitale Revolution. Die Welt wird ständig digitalisiert, und die menschlichen Aktivitäten sind zunehmend auf Daten und Netzdienste ausgerichtet. Die Fertigungs-, Freizeit-, Verwaltungs-, Dienstleistungs-, Medizin- und viele andere Branchen sind heute um komplexe und vernetzte Informationssysteme herum organisiert. Infolgedessen werden immer mehr Daten von den Geräten und Technologien unseres täglichen Lebens (Web, Smartphone, IoT) erfasst und von System zu System weitergeleitet. Für jedes Unternehmen, das Produkte oder Dienstleistungen anbietet, ist es von zentraler Bedeutung geworden, alles zu tun, um die Daten seiner Kunden zu schützen. Der beste Ansatz dafür ist "Privacy by Design".
In diesem Artikel erklären wir, was Privacy by Design ist, wie wir diesen Ansatz bei der Gestaltung unseres Datenkatalog angewendet haben und wie ein Datenkatalog Unternehmen bei der Umsetzung von Privacy by Design helfen kann.
Datenschutz: Ein zentrales Thema für Unternehmen
Unter all den oben genannten Daten gibt es einige, die eine direkte oder indirekte Identifizierung von natürlichen Personen ermöglichen. Diese Daten sind nach der Definition der CNIL als personenbezogene Daten bekannt. Sie sind in der modernen Welt aufgrund ihres Eigenwerts von größter Bedeutung.
Täglich werden riesige Mengen personenbezogener Daten zwischen Privatpersonen, Unternehmen und Regierungen ausgetauscht. Es besteht ein echtes Risiko, dass sie missbraucht werden, wie zum Beispiel der Cambridge Analytica-Skandal im Jahr 2015 gezeigt hat. Cyberkriminelle können daraus auch beträchtliche Gewinne erzielen, indem sie Konten hacken, Daten an andere Cyberkriminelle weiterverkaufen, Identitätsdiebstahl begehen oder Unternehmen durch Phishing oder President Scams angreifen. So wurde zum Beispiel kürzlich ein Immobilienentwickler in Frankreich um mehrere zehn Millionen Euro beraubt.
Der Schutz von Daten war noch nie so wichtig wie heute.
Die Staaten sind sich dieser Problematik schnell bewusst geworden, um den Einzelnen vor Missbrauch im Zusammenhang mit der Nutzung seiner Daten zu schützen. In Europa beispielsweise ist die Datenschutz-Grundverordnung (GDPR ) seit 2016 in Kraft und hat sich in der täglichen Arbeit der Unternehmen bereits fest etabliert. Im Rest der Welt entwickeln sich die Vorschriften ständig weiter und sind für fast jedes Land ein Thema. Kürzlich hat Kalifornien ein Gesetz zum Schutz der Verbraucherdaten verabschiedet, ein amerikanisches Äquivalent zur GDPR. Auch China hat gerade ein Gesetz zu diesem Thema erlassen.
Datenschutz durch Design: Die Definition eines Schlüsselkonzepts für den Datenschutz
Viele Rechtsvorschriften stützen sich auf das Konzept des "Privacy by Design", das von Ann Cavoukian Ende der 1990er Jahre entwickelt wurde, als sie Informations- und Datenschutzbeauftragte der Provinz Ontario in Kanada war. Der Kern dieses Konzepts besteht darin, die Frage des Schutzes personenbezogener Daten bereits bei der Entwicklung eines Computersystems zu berücksichtigen.
In diesem Sinne führt Privacy by Design sieben grundlegende Prinzipien auf:
Proaktivität: Jedes Unternehmen muss im Vorfeld die notwendigen Vorkehrungen für den Datenschutz treffen und darf sich nicht auf eine reaktive Politik verlassen;
Schutz personenbezogener Daten als Standardeinstellung: Jedes System muss als Standardeinstellung das höchstmögliche Schutzniveau für die sensiblen Daten seiner Nutzer vorsehen;
Datenschutz durch Design: Der Schutz der Privatsphäre sollte ein systematisch untersuchter und berücksichtigter Aspekt bei der Konzeption und Implementierung neuer Funktionen sein;
Volle Funktionalität: Es sollten keine Kompromisse bei den Sicherheitsprotokollen oder beim Nutzer gemacht werden;
End-to-End-Sicherheit: Das System muss die Sicherheit der Daten während ihres gesamten Lebenszyklus gewährleisten, von der Erfassung bis zur Vernichtung (auch wenn die Daten outgesourct);
Sichtbarkeit und Transparenz: Das System und das Unternehmen müssen die Verfahren zum Schutz personenbezogener Daten und die ergriffenen Maßnahmen auf klare, kohärente und transparente Weise dokumentieren und mitteilen;
Respekt vor der Privatsphäre Nutzer : Bei jeder Entscheidung über Design und Implementierung müssen die Interessen der Nutzerim Mittelpunkt stehen.
Die Anwendung von "Privacy by Design
Wir haben unser Produkt auf den Grundlagen von Privacy by Design aufgebaut.
Die Behandlung der persönlichen Daten der Nutzer
Zunächst einmal haben wir den Datenschutz im Herzen unserer Architektur verankert. Die Daten unserer Kunden sind in verschiedene Tenants aufgeteilt, die jeweils mit einem eigenen Schlüssel verschlüsselt sind. Die Nutzer wird über ein spezielles System eines Drittanbieters verwaltet. Wir fördern die Identitätsföderation unter unseren Kunden, was es ihnen ermöglicht, die Kontrolle über die Daten zu behalten, die für die Identifizierung und Authentifizierung Nutzer benötigt werden.
Wir haben auch das Konzept des "Privacy by Design" in die Gestaltung unserer Anwendung einbezogen. Zum Beispiel sammeln wir nur das absolute Minimum an Informationen, alle Systemausgaben sind anonymisiert (Protokolle, Anwendungsfehler, APIs).
Verarbeitung von Kundengeschäftsdaten
Unsere Hauptaufgabe ist die Dokumentation der Daten, die unsere Lösung im Wesentlichen aus Metadaten besteht. Die Actian Data Intelligence Platform extrahiert von Haus aus keine Daten aus den Systemen unserer Kunden. Das Risiko liegt in der Tat weniger bei den Metadaten als bei den Daten.
Dennoch bieten wir innerhalb der Plattform mehrere Funktionen an, die es uns ermöglichen, Informationen über die in den Kundensystemen vorhandenen Daten zu liefern (Statistiken, Stichproben usw.). Aufgrund unserer Architektur werden die Berechnungen immer auf der Infrastruktur des Kunden durchgeführt, so nah wie möglich an den Daten und ihrer Sicherheit. Und in Übereinstimmung mit Grundsatz Nr. 2 von Privacy by Design haben wir den Schutz personenbezogener Daten als Standardeinstellung festgelegt. Somit sind alle diese Funktionen standardmäßig deaktiviert und können nur vom Kunden aktiviert werden.
Wie unser Datenkatalog Unternehmen bei der Umsetzung von Privacy by Design hilft
Unser Datenkatalog kann Ihr Unternehmen bei der Umsetzung von Privacy by Design unterstützen, insbesondere bei den Aspekten Kontrolle und Überprüfung. Ausgehend von den oben beschriebenen 7 Prinzipien kann der Datenkatalog an zwei von ihnen effektiv mitwirken: dem Prinzip der Sichtbarkeit und Transparenz und dem Prinzip der End-to-End-Sicherheit. Der Datenkatalog ermöglicht auch die Automatisierung der Identifizierung von sensiblen Daten.
Sichtbarkeit und Transparenz über den Datenkatalog
Das Ziel eines Datenkatalog ist es, die Datenbestände eines Unternehmens zu zentralisieren, zu dokumentieren und mit möglichst vielen Personen zu teilen. Durch diese Zentralisierung weiß jeder Mitarbeiter, welche Daten vom CRM erfasst werden, und die Marketing- und Customer-Success-Teams können diese Informationen in den Akquisitions- und Churn-Tracking-Berichten verarbeiten.
Sobald dieses Inventar erstellt ist, kann der Katalog verwendet werden, um bestimmte zusätzliche Informationen zu dokumentieren, die für das ordnungsgemäße Funktionieren des Unternehmens erforderlich sind. Dies gilt insbesondere für den sensiblen oder nicht sensiblen Charakter der dokumentierten Informationen, die Regeln für die Verwaltung, die Verarbeitung oder die anzuwendenden Zugangsverfahren.
Im Rahmen eines "Privacy by Design"-Ansatzes kann der Datenkatalog verwendet werden, um einen Geschäftsbegriff hinzuzufügen, der sensiblen Daten entspricht (eine Sozialversicherungsnummer, eine Telefonnummer usw.). Dieser Geschäftsbegriff kann dann leicht mit den Tabellen oder physischen Feldern, die die Daten enthalten, in Verbindung gebracht werden und ermöglicht so ihre einfache Identifizierung. Diese Initiative trägt zum Grundsatz der Sichtbarkeit und Transparenz des "Privacy by Design" bei.
End-to-End-Sicherheit über den Datenkatalog
Der Datenkatalog bietet auch Data Lineage Funktionen. Die automatische Datenlinie stellt sicher, dass die Prozesse, die auf die als sensibel identifizierten Daten angewendet werden, mit den Definitionen der data governance des Unternehmens übereinstimmen. Mit dem Datenkatalog ist es dann einfach, die Governance-Regeln, die auf sensible Daten anzuwenden sind, auszufüllen.
Darüber hinaus können wir mit Hilfe der Lineage den gesamten Lebenszyklus der Daten verfolgen, von ihrer Erstellung bis zu ihrer endgültigen Verwendung, einschließlich ihrer Umwandlungen. So lässt sich leicht überprüfen, ob alle Phasen dieses Lebenszyklus den Regeln entsprechen, und eventuelle Fehler können korrigiert werden.
Der Datenkatalog trägt somit über die Datenabfolge zum Prinzip der durchgängigen Sicherheit des Privacy by Design bei.
Wir sind jedoch nach wie vor der Überzeugung, dass ein Datenkatalog keine Compliance-Lösung ist, sondern vielmehr ein Instrument zur Gewöhnung der Teams an sensible Daten und deren Nutzungsbesonderheiten.
Identifizierungsensibler Daten über den Datenkatalog
In einem sich schnell verändernden Datenumfeld muss der Datenkatalog die Realität so weit wie möglich widerspiegeln, um das Vertrauen seiner Nutzer zu erhalten. Andernfalls wird die gesamte Annahme des Datenkatalog in Frage gestellt.
Wir sind fest davon überzeugt, dass der Datenkatalog so weit wie möglich automatisiert werden muss, um skalierbar und effizient zu sein. Dies beginnt bei der Inventarisierung der vorhandenen Daten. In diesem Sinne ist unsere Inventarisierung automatisiert und ist dafür zuständig, alle Änderungen am Originalsystem (Quelle) der Daten direkt in den Katalog weiterzugeben. So verfügt der Kunde jederzeit über eine vollständige Liste der in seinen Systemen vorhandenen Daten.
Und um unseren Kunden zu helfen, zu erkennen, welche der inventarisierten Daten aufgrund ihres Status als sensible Daten eine besondere Behandlung verdienen, hört die Automatisierung nicht bei der Inventarisierung auf. Wir bieten jetzt ein System an, das die Kennzeichnung neuer Daten, die mit einem Profil für sensible Daten inventarisiert wurden, vorschlägt. Dadurch wird es einfacher, diese Daten in den Vordergrund zu rücken und die Informationen schneller und einfacher im Unternehmen zu verbreiten.
Schlussfolgerung
In den letzten Jahren sind persönliche Daten für die meisten Verbraucher zu einem echten Anliegen geworden. Immer mehr Länder haben Vorschriften erlassen, um ihren Bürgern ein Höchstmaß an Schutz zu garantieren. Einer der wichtigsten Grundsätze für all diese Vorschriften ist der "Privacy by Design".
Wir haben das Nachdenken über personenbezogene Daten von Anfang an in den Mittelpunkt unseres Produkts gestellt. Sowohl bei unserer technischen Entwicklung und der Verarbeitung der Daten unserer Nutzer als auch bei der Reflexion über die Daten, die unsere Kunden über unseren Katalog verarbeiten.
Wir sind davon überzeugt, dass ein Datenkatalog eine wichtige Hilfe bei der Umsetzung und Überwachung von Privacy-by-Design-Richtlinien sein kann. Wir setzen auch stark auf Automatisierung und KI, um in den kommenden Monaten viele weitere Verbesserungen zu erreichen: automatischer Aufbau der technischen Datenabfolge, verbesserte Erkennung sensibler Daten in den Katalogobjekten, um sie besser zu dokumentieren, Qualitätskontrolle von Prozessen, die auf sensible Daten angewendet werden, usw. Die Möglichkeiten sind zahlreich.
Wenn Sie mehr über die Vorteile des Katalogs für die Verwaltung Ihrer sensiblen und persönlichen Daten erfahren möchten, zögern Sie nicht, einen Termin mit einem unserer Experten zu vereinbaren.
Abonnieren Sie den Actian Blog
Abonnieren Sie den Blog von Actian, um direkt Dateneinblicke zu erhalten.
- Bleiben Sie auf dem Laufenden - Holen Sie sich die neuesten Informationen zu Data Analytics direkt in Ihren Posteingang.
- Verpassen Sie keinen Beitrag: Sie erhalten automatische E-Mail-Updates, die Sie informieren, wenn neue Beiträge veröffentlicht werden.
- Ganz wie sie wollen: Ändern Sie Ihre Lieferpräferenzen nach Ihren Bedürfnissen.