從今年五月起將實施令人感受到最嚴格的個人資料保護規則(GDPR),這一舉動要求全球的企業組織重新思考如何存取、使用以及維護個人資料。然而您是否除了從軟體、韌體上安全來思考外,對於我們天天相處的通訊設備、電腦設備,從這些管道讓資料不經意的洩漏於他人,是否我們也該重新思考從螢幕的防護來保護螢幕所傳出了訊息上的過程,也是不容忽略的。您的公司是否已經盡一切所能來保護客戶資料呢?
這裡沒有簡單的清單來確保GDPR的合規性。相反的,該法規指導資料保護總監、隱私總監與其他公司高層採取“合理的”安全措施來保護歐盟民眾的個人資料。
這裡有幾個問題可以協助評估您和您的員工是否在正確的方向:
V 您的組織是否執行過任何資料保護影響評估(DPIA)?
V 您是否注意到您的公司和供應鏈(商),包括員工、客戶和潛在客戶可以存取、處理或維護歐盟民眾的個人資料?
V 您是否有審核您公司的資料保護程序,其中明載如何刪除/編輯,所有並非絕對與業務相關的個人資料?
V 您是否已加密儲存在存取控制設備中的個人資料文件,並放置電腦螢幕於遠離一般民眾可靠近的窗戶、門和區域?
V 您是否已經進行GDPR準備工作培訓,以確保所有員工知道什麼是“個人資料”,以及如何回答有關個人資料的查詢?
V 員工是否了解如何盡全力地保護他們電腦設備,以及如果他們的設備遭到入侵,該告知誰?
V 您是否有BYOD(自帶設備)政策來管理員工行為和必要的安全控制措施,以便他們從個人設備存取企業資源?
V 由於shoulder surfing (肩窺)(或視覺入侵)可能構成GDPR的資料洩露,作為安全政策的一部分,您是否要求員工在旅行或是在公共場所工作時所使用的電腦設備加裝隱私屏幕?
V 您是否制定了包含合同義務的供應商管理計劃,並為存取個人資料的第三方建立管理監督活動?
V 您是否向客戶傳達了最新的安全政策,以傳達對於在歐盟的個人資料,貴公司將如何保護、共享、處置和提供存取權限?
有關GDPR準備情況的更多資訊,請閱讀3M關於“GDPR實體保障”的白皮書。