Data management: compliance, protection, and the role of IT

The business benefit of data and data-driven decisions cannot be undervalued, which is a widely agreed-upon mindset on today’s business landscape. At the same time, there are sensitivities around where that data comes from and how it’s being accessed or used. For this reason, data protection and privacy are the driving topics in today’s age and, for enterprise companies, essential to remaining an ongoing business concern.

To ensure regulatory compliance and generate business value, any data coming into an organization needs to be confidentially handled, trusted and protected. Modern businesses also want their products to be cloud deployable, but many businesses have security concerns that come with sharing information in the cloud. It’s crucial that when you use data, you also protect it, preserve the integrity of original personal ownership and, maintain the privacy of the person to whom it belongs at all costs.

The first level of data protection is to not collect personal data if there is no legitimate purpose in doing so. If personal data was collected and a legitimate purpose no longer exists, it must be deleted.

The second level of data protection can be realized through a framework of technology measures: Identity and access management, patch management, separation of business purpose (disaggregation of legal entities), and encryption.

IT teams often provide data in an encrypted format as a means to get people the information they need, without compromising sensitive information. People receiving the data don’t usually need to know every bit of data, they just want an aggregate of what the data looks like. And IT teams want to ensure that when they transfer important data assets, the information is secure.

Additionally, when it comes to being data compliant, there are rules and regulations that businesses must follow, such as the General Data Protection Regulation (GDPR) and data protection and privacy agreements.

GDPR harmonizes data protection regulation throughout the European Union and gives individuals more control over their data. It imposes expansive rules about processing data backed by powerful enforcement, so IT teams must ensure they are compliant. This creates an extra, guaranteed level of security for corporate and personal data, though it’s not without its complications for enterprises.

Concretely, this means that companies have to technically ensure that only necessary sets move through ‘boundaryless’ end-to-end business scenarios. Here, we consider efficient data control in and through the context of comprehensive business processing for a declared purpose that is legally secured, including by consent of the individual that the data is related to.

The business context and its technical rendering through customizing and configuration is central to the business capability of efficiently controlling data for purposes of data protection and privacy. Integrated services provide business context by showing information contained in any one data set that is linked to ordered business objects and business object types related to the data subject.

Here, we have offered an embedded view of the data subject, which can be uniformly changed and managed in the context of a logical sequence of business events.

Data management capabilities

To further protect data and stay compliant, many IT teams have started with the approach of applying data management capabilities to encrypt and anonymize data without actually changing the data set. IT simply changes the way data is presented to ensure data is safe.

One recent example is the adoption of the GDPR rules to be compliant with the legal regulations. In this case the data management capabilities must ensure that only the allowed data is shown and that protected personal data is hidden or deleted (information lifecycle management) without destroying required information and connections.

By transitioning to what we call an 'intelligent organization', businesses can feed applications and processes with the data essential for the digital economy and intelligently connect people, data and processes safely and secure.

Solutions offer customers comprehensive in-depth information about the places where their master data exists, which parts reside in which services, applications or systems, and how the data can be accessed, or they can even get direct access. Moreover, a clear picture of the complete master data set and all individual owners can be obtained, including rules for creating data consistency. This provides overall consistency, and the robustness that is required in a service-driven enterprise environment.

Tiered levels of access

Another tactic way of keeping data secure is for IT to work closely with each line of business to set tiered levels of access by creating a workflow scenario for first, second, third, and so on, access by individual persons to data within a specific line of business.

In contrast to the more traditional model outlined above, IT teams can offer a tiered approach to authorization. Users have limited access based on transaction codes, organizational levels, etc., by assigning authorization roles through different lines of business.

Best practices for data compliance and protection

Both approaches outlined above allow businesses to review their data to determine the real value of it without compromising the security of the data.

Overall, it’s important that data compliance is not only a tech topic, but a topic that should be discussed, rolled out, and followed company-wide. As 2019 comes to a close, companies must have a data compliance program in place, a data protection culture within their organizations and the ability for employees to understand the importance of change processes and tools to adhere to the new regulations.

Including such aspects from the beginning can be a competitive advantage for companies and should be considered at an early stage. Not adhering to data protection and privacy rules and regulation can cause tremendous damage to a company’s image and reputation and can have a heavy financial impact.

Author: Katrin Lehmann

Source: Information-management

Voor het tiende jaar op rij is 28 januari een belangrijke pijler in de Europese kalender, want vandaag is het Data Protection Day. Vandaag is ook de verjaardag van het verdrag van de Council of Europe die oproept tot de bescherming van individuen met betrekking tot het automatisch verwerken van persoonlijke data.

Dit verdrag heeft tot doel de stroom van persoonsgegevens over de grenzen te reguleren en biedt garanties met betrekking tot het verzamelen en verwerken van 'gevoelige' persoonsgegevens. Het verdrag bekrachtigt ook het recht van het individu om te weten waar persoonlijke informatie wordt opgeslagen en dit te kunnen corrigeren indien nodig.

Vandaag valt Data Protection Day middenin veel discussie en in de afgelopen jaren, met de opkomst van internet-gebaseerde diensten, hebben we gezien dat persoonsgegevens van individuen steeds moeilijker toegankelijk werden en moeilijker te verwijderen. Als gevolg daarvan bestaat een algemeen gevoel dat de huidige regelgeving inzake gegevensbescherming slecht is uitgerust om een ethisch proces te kunnen waarborgen en onze hedendaagse data-footprint te beschermen.

Safe Harbor
In lijn met deze twijfels zagen we eind 2015 de ongeldigverklaring van de Safe Harbor-overeenkomst, als gevolg van het fundamentele filosofische verschil tussen de verwachting van de EU wat betreft privacy en de ambitie van de Verenigde Staten om de wereldwijde markt te vergroten en tegelijkertijd de nationale veiligheid te verbeteren, ondanks het mogelijke negatieve effect op de bescherming van persoonsgegevens van individuen. Jarenlang trad Safe Harbor op als enige nalevingsmechanisme voor veel Amerikaanse bedrijven en dit heeft organisaties gedwongen hun benadering van gegevensverwerking te heroverwegen.

Er bestaat nog steeds onzekerheid nu we op een mogelijke Safe Harbor 2.0 wachten en op eventuele wijzigingen in de EU-regelgeving later dit jaar. Hoewel de fijnere details van de regelgeving nog moeten worden bekeken komt het er op neer dat organisaties nog meer zullen moeten evalueren wat de risico’s zijn in het omgaan met data en zich zullen moeten beschermen tegen het per ongeluk verliezen van data. Het zal alleen nog mogelijk zijn voor organisaties om gegevens te verwerken indien de betrokken persoon instemt of als de verwerking strikt noodzakelijk is. Als een bedrijf meer dan 250 mensen in dienst heeft zal het worden verplicht een data protection officer in dienst te nemen om de rechtmatige verwerking van gegevens te waarborgen. Daarnaast kunnen mensen vragen hun gegevens te laten verwijden onder de ‘Right to be Forgotten’-clausule.

Wereldwijd wachten bedrijven de uitspraak met betrekking tot regelgeving af en beginnen ze de mogelijke impact en het bereik daarvan te begrijpen. Ze kunnen in ieder geval zeker zijn van één ding: in de toekomst zal de naleving van regels omtrent privacy van data over veel meer gaan dan alleen het bieden van zekerheid. Voor degenen die niet voorbereid zijn op veranderingen in de wetgeving en deze niet naleven is er een fikse boete van 5 procent inkomsten te betalen.

Wetten en regels
Om in lijn met de regelgeving te blijven en een straf te voorkomen zullen bedrijven ervoor moeten zorgen dat ze een effectieve data management infrastructuur hebben geïmplementeerd. Waar de data ook worden opgeslagen, lokaal of extern, bedrijven zullen zowel medewerkers als klanten moeten kunnen verzekeren dat data worden verzameld, verwerkt, toegankelijk zijn, gedeeld, opgeslagen, overgedragen en beveiligd worden in overeenstemming met alle wetten en regels en dat de gegevens alleen worden gebruikt op een vooraf overeengekomen en legale manier.

Wanneer bedrijven hun toekomstige storage-infrastructuur en -processen bekijken zouden ze moeten bekijken of deze flexibel genoeg zijn om data te integreren, managen, repliceren en te verplaatsen tussen verschillende storage-systemen en cloud-partijen. Het voordeel van deze data management-aanpak is dat service providers in staat zijn te lokaliseren waar de gegevens worden opgeslagen en deze gemakkelijk kunnen verplaatsen of verwijderen indien nodig.

Er bestaat geen twijfel over: dit jaar herinnert Data Protection Day organisaties aan het belang van correcte afhandeling van data en bescherming van persoonsgegevens van individuen. Het wijst ook op de onzekerheid over hoe deze voorschriften kunnen veranderen en ontwikkelen in de komende maanden, als de beslissingen worden bereikt om toekomstige wetgeving aan te passen met onze moderne data footprint. Behoud van volledige controle over de gegevens plus de flexibiliteit om aan te passen aan toekomstige ontwikkelingen in de wet zijn daarbij van cruciaal belang voor bedrijven.

Source: Computable