Ist GDPR gut oder ist GDPR eine Geldstrafe? Der Sprung von Minimum Viable Preparation (MVP) zu Minimum Defendable Measures (MDM)

Viele Unternehmen haben im Vorfeld des Inkrafttretens der Datenschutzgrundverordnung im Mai 2018 einen Ansatz gewählt, der am besten als MVP (Minimum Viable Preparation) bezeichnet werden kann. Das war verständlich angesichts des allgemeinen Mangels an klaren Anleitungen, der Kosten und der Unterbrechung durch tiefgreifende Vorbereitungen, der Ungewissheit über die Auswirkungen des Brexit und der gemischten Botschaften bezüglich der Durchsetzung.

Ein Jahr lang passierte nicht viel, und in dieser Zeit schien MVP für viele die richtige Entscheidung gewesen zu sein. Die kürzlich vorgeschlagenen Strafen für BA und Marriot (183 Mio. £ bzw. 92 Mio. £) scheinen die Unternehmen jedoch dazu veranlasst zu haben, ihren Ansatz zu überdenken und ihre Compliance-Position zu überdenken.

Die GDPR hat Auswirkungen auf eine Reihe von Bereichen: Z.B. die Rechte der betroffenen Personen, die Datensicherheit, die Rechtmäßigkeit der Verarbeitung und die Wechselwirkung mit dem Marketing (PECR). Es ist zwar wünschenswert, dass alle diese Bereiche vollständig berücksichtigt werden, aber worauf sollten Unternehmen ihre neuen Bemühungen sinnvollerweise zuerst konzentrieren? Bisher beziehen sich die vorgeschlagenen hohen Bußgelder auf die Datensicherheit und die Verletzung des Schutzes personenbezogener Daten. Das macht Sinn, denn während die Rechtmäßigkeit der Verarbeitung sehr wichtig ist, ist der fahrlässige Verlust personenbezogener Daten in den Tiefen des Dark Web verhängnisvoll. Dies gilt unabhängig davon, ob die Daten rechtmäßig verarbeitet wurden oder nicht.

Die Verordnung selbst geht nicht sehr genau darauf ein, wie Organisationen personenbezogene Daten schützen sollten. Abgesehen von der buchstäblichen Nennung einer Handvoll Technologien haben sie sich stattdessen für den Auffangtatbestand „angemessene technische und organisatorische Maßnahmen“ entschieden – den ‚Sicherheitsgrundsatz‘. Er wurde entwickelt, um die Checklisten-Verteidigung zu beseitigen und um als Leitfaden und als regulatorischer Test immer aktuell zu bleiben. In der Praxis bedeutet dies, dass Sie im Falle eines Verstoßes nachweisen müssen, dass Ihre Sicherheitsmaßnahmen den Risiken Ihrer Datenverarbeitung und der aktuellen Bedrohungslage angemessen waren. Vor diesem Hintergrund stellen wir fest, dass die Unternehmen jetzt eher zu einer MDM-Mentalität (Minimum Defendable Measures) übergehen.

Das bringt uns zu einem wichtigen Bereich der Verteidigung: Die Firewall. „Jeder hat eine Firewall“. Das Problem ist, dass herkömmliche Firewalls auf der Netzwerkebene arbeiten, aber die meisten Hacks finden heute auf der Anwendungsebene statt. Herkömmliche Netzwerk-Firewalls können diese Bedrohungen nicht untersuchen, so dass sie nicht wissen, wie man sie blockiert. Eine WAF kann das. Sogar verschlüsselten Datenverkehr.

Eine WAF ist eine Web Application Firewall.

Sie sind angemessen, kosteneffektiv und sie funktionieren. Ich würde sie sehr empfehlen. Unsere sind außerdem sehr einfach zu bedienen.

edgeNEXUS macht es spürbar einfacher, ein außergewöhnliches Anwendungserlebnis zu schaffen, zu sichern und aufrechtzuerhalten.

Komplexität ist etwas für den Quellcode. Nicht für die Benutzeroberfläche.

edgeNEXUS macht es spürbar einfacher, ein außergewöhnliches Anwendungserlebnis zu schaffen, zu sichern und aufrechtzuerhalten.

 

 

 

 

 

 

 

 

 

 

About John Payne