Datenschutz ist ein komplexes Thema in der heutigen Welt, in der wir ständig miteinander verbunden sind. Wir wollen unsere Privatsphäre schützen und geben dennoch bereitwillig alle möglichen persönlichen Informationen weiter, um mit Freunden in Kontakt zu treten, Produkte zu kaufen oder ein Abendessen zu reservieren. Gleichzeitig erkennen die Unternehmen, die diese Daten von Einzelpersonen sammeln, die wirtschaftlichen und sozialen Herausforderungen, die mit dem Schutz dieser Daten verbunden sind. Wenn persönliche Daten nicht ordnungsgemäß geschützt werden, kann sich dies negativ auf den Ruf des Unternehmens, das Vertrauen der Kunden und die Rentabilität auswirken.

Was ist das NIST Privacy Framework 1.0?

Um Unternehmen bei der Entwicklung besserer Datenschutzpraktiken zu unterstützen, hat das National Institute of Standards and Technology (NIST) kürzlich ein neues Rahmenwerk zur Verbesserung des Datenschutzes durch Enterprise Risk Management veröffentlicht. Die Agentur hat mit öffentlichen und privaten Interessengruppen zusammengearbeitet, um das NIST Datenschutz-Rahmenwerk 1.0entwickelt, ein freiwilliges Instrument, das speziell zur Unterstützung von Unternehmen entwickelt wurde:

  • Bessere Identifizierung, Bewertung, Verwaltung und Kommunikation von Datenschutzrisiken bei der Entwicklung oder Bereitstellung von Systemen, Produkten und Dienstleistungen
  • Förderung der Entwicklung innovativer Ansätze zum Schutz der Privatsphäre des Einzelnen
  • Steigern Sie das Vertrauen in Systeme, Produkte und Dienstleistungen.

Dieses Rahmenwerk folgt der Struktur des beliebten NIST Cybersecurity Rahmenwerkund es wird empfohlen, die beiden Rahmenwerke zusammen zu verwenden. Beide Rahmenwerke bestehen aus drei Teilen: Kern, Profile und Implementierungsebenen. Jede Komponente des Privacy Framework stärkt das Risikomanagement für den Datenschutz durch Unternehmensziele, Rollen, Verantwortlichkeiten und Aktivitäten zum Schutz der Privatsphäre.

  • Der Kern soll einen Dialog über wichtige Aktivitäten zum Schutz der Privatsphäre und die gewünschten Ergebnisse ermöglichen – von der Führungsebene bis hin zur Umsetzungs- und Betriebsebene.
  • Die Profile sollen dazu dienen, Ergebnisse und Aktivitäten zu priorisieren und zu verwalten, um sie mit den Werten des Unternehmens in Bezug auf den Datenschutz, den geschäftlichen Anforderungen und den Risiken in Einklang zu bringen, einschließlich der aktuellen und gewünschten Zielzustände bestimmter Datenschutzaktivitäten.
  • Die Implementierungsstufen sollen die Entscheidungsfindung und die Kommunikation über die Datenschutzrisiken der Systeme, Produkte oder Dienstleistungen einer Organisation und ihre Fähigkeit, diese Risiken mit den vorhandenen Prozessen und Ressourcen zu verwalten, unterstützen. Sie können auch dazu verwendet werden, intern über die Ressourcenzuweisung zu kommunizieren, die notwendig ist, um eine höhere Stufe zu erreichen, oder als allgemeine Benchmarks, um den Fortschritt beim Management von Datenschutzrisiken zu messen.

Wer kann von dem NIST Privacy Framework profitieren?

Dieses neue Rahmenwerk wurde als nichttechnischer Leitfaden für bewährte Praktiken im Bereich Datenschutz und Sicherheit entwickelt. Und es hätte zu keinem besseren Zeitpunkt kommen können, da sich Unternehmen weiterhin an neue und bestehende Gesetze zum Umgang mit Daten wie den California Consumer Privacy Act (CCPA), den Health Insurance Portability and Accountability Act (HIPAA) und die General Data Protection Regulation (GDPR) der EU anpassen müssen. Selbst wenn ein Unternehmen bereits über eine solide Sicherheitsstrategie verfügt, empfiehlt sich ein Blick in das neue NIST Privacy Framework, um potenzielle Lücken zu erkennen und die Einhaltung aller anwendbaren datenschutzbezogenen Vorschriften zu gewährleisten. Das Privacy Framework richtet sich zwar in erster Linie an Mitglieder der Geschäftsleitung, die für die Verwaltung von Unternehmensrisiken zuständig sind, doch wird es allen Risikomanagern helfen, eine bessere Grundlage für den Datenschutz zu schaffen, indem sie das Datenschutzrisiko mit ihrem breiteren Unternehmensrisikoportfolio in Einklang bringen.

Die Nationales Institut für Standards und Technologie ist eine Nicht-ReguVermittlungsagentur im U.S. Department of Commerce. Für mehr Informationen über die California Verbrauchenr Datenschutzgesetz, bitte herunterladen Riskonnect’s e-Buch, Ihr Leitfaden zur CCPA. Mehr zum Thema Risikomanagement auf Unternehmensebeneel, bitte herunterladen, CharKursbestimmung für Enterprise Risikomanagement.