Fermer

mai 31, 2018

Ne pas oublier le contact humain6 minutes de lecture

GDPR, compliance, risk, privacy, regulations, EU


Si vous avez déjà monté un cheval, vous serez familier avec l'expression «Dangereux aux deux extrémités et inconfortable au milieu». Cela s'applique aussi bien au GDPR imminent fait au monde équin. Le Règlement général sur la protection des données entrera en vigueur le 25 mai, ce qui est très prochain pour la complexité de la réglementation – et selon votre niveau de préparation.

Nous avons tous vu la couverture médiatique considérable et les innombrables conférences consacrées à les mesures techniques et les exigences. Beaucoup moins, cependant, a été écrit au sujet de l'humain au milieu de tout cela. Si vous pensez aux êtres humains (autrement connu sous le nom de vos collègues) au milieu de tout cela, il y a au moins trois considérations qui façonnent l'impact humain du GDPR: le ton au sommet, l'exécution au milieu et les implications pour les employés et les entrepreneurs. L'autre extrémité

Tone at the top

Cela peut sembler évident, mais à moins d'un parrainage exécutif, un programme GDPR n'atteindra pas assez profondément l'organisation pour être efficace. Il est surprenant de voir combien d'organisations continuent à faire cette erreur. Le parrainage exécutif assure que les programmes nécessaires de gestion du changement et de formation recevront un financement adéquat, seront adéquatement déployés et bénéficieront de l'attention nécessaire pour une inclusion des affaires comme d'habitude.

Malheureusement, une étude 2018 PwC ] sur l'état global de la sécurité de l'information a constaté que moins d'un tiers des conseils participent directement à un examen des risques pour la sécurité et la confidentialité. Sans une bonne compréhension des risques, les conseils ne sont pas bien placés pour exercer leurs responsabilités de surveillance en matière de protection des données et de protection de la vie privée.

Sans programme de parrainage exécutif, les programmes GDPR deviendront probablement des programmes de conformité. Changer la façon dont les gens se comportent, et sont susceptibles d'échouer finalement.

Exécution au milieu

Avoir une multitude de politiques d'entreprise et de missions est une chose, mais s'assurer que les personnes nommées sont responsables de garantir l'application dans toute l'entreprise. . L'article 5 du GDPR exige que les contrôleurs démontrent comment ils se conforment aux principes de responsabilité. L'article 83 parle de violations intentionnelles ou négligentes. Il s'agit autant de certifier comme garantissant.

Le Bureau du Commissaire à l'information (BIC) parle de déployer le GDPR comme "… un cadre qui devrait être utilisé pour construire une culture de confidentialité qui imprègne toute l'organisation." gestion pour pousser le message vers le bas et dans toute l'organisation. Les gens doivent le faire, pas la technologie. Les gens doivent s'approprier la compréhension et l'utilisation des politiques en tant que procédures opérationnelles standard.

L'exécution couvre également la détection des lacunes, l'escalade et l'atténuation, ainsi que les activités disciplinaires. Les gens ont besoin de formation pour comprendre ce qui est acceptable et inacceptable dans les paramètres de la culture de confidentialité des données de l'entreprise. Il n'y a souvent pas de propriétaire unique pour développer un programme GDPR. En raison de sa portée, GDPR est fortement distribué et se trouve avec juridique, marketing, RH, approvisionnement, support à la clientèle, analytique, R & D, et M & A.

Imbuing une organisation avec la culture correcte de confidentialité des données réduira le risque de violations et les sanctions. Et bien sûr, les gens vont et viennent, sont promus, occupent des postes temporaires et sabbatiques, et partent en vacances. Le fardeau de veiller à ce que cela soit géré de manière rentable, cohérente et sûre, d'une manière «business as usual», incombe aux personnes impliquées. En d'autres termes, empêcher les gens de se rabattre sur les vieilles habitudes et les mauvais comportements incombe aux équipes de gestion et aux propriétaires de processus métier.

L'exécution place également le canal de retour ascendant tout aussi essentiel dans le programme de gestion des changements. Et si elle est enregistrée numériquement (un logiciel existe pour cela), une piste vérifiable de preuves d'actions peut persister pour «policer la police».

Impacts sur les employés et les entrepreneurs

Personnes profondément engagées dans les données personnelles, ou qui avoir accès à des systèmes et des processus qui contiennent des données personnelles, besoin de sensibilisation et de formation aux procédures – avec l'activation de l'actualisation car GDPR n'est pas une occasion unique.

Chaque processus interne, politique et flux de travail finit avec un être humain qui est requis pour effectuer une activité. Les entreprises doivent s'assurer que ce comportement de l'utilisateur final s'inscrit dans la culture de confidentialité des données de l'entreprise. (Il est surprenant que de nombreuses organisations fassent cette supposition sans vérifier ou n'ont pas de processus en place pour confirmer comment cela est fait.)

L'ancien sous-procureur général américain Paul McNulty est souvent cité disant: «Si vous pensez que la conformité coûte cher , essayez la non-conformité. "Il a raison. L'Institut Pon emon estime que la non-conformité coûte 2,71 fois le coût du maintien ou du respect des exigences de conformité. Les coûts de non-conformité proviennent notamment de la perturbation des affaires, des pertes de productivité, des amendes, des pénalités et des coûts de règlement.

Avec un peu de planification, le GDPR n'a pas besoin d'être «dangereux aux deux extrémités». milieu. "L'ICO a une grande liste de contrôle de la formation pour les organisations de PME. Dans votre quête de la conformité avec le GDPR, je vous exhorte à considérer l'être humain au milieu de vos processus, politiques et exigences techniques qui recevront la garantie de leur adhésion et de leur mise en application.

Cet article est initialement apparu dans Accountancy Age et est republié avec permission.

Lire 3 raisons pour lesquelles les CFO et les professionnels de la finance devraient assister à SAPPHIRE NOW La conférence SAPPHIRE NOW et ASUG de cette année – panels, keynotes, discussions, présentations, et d'innombrables façons de se connecter aux gens et d'acquérir de nouvelles idées pour rationaliser les processus. Rejoignez l'équipe et les partenaires financiers de SAP du 5 au 7 juin à Orlando, en Floride

Suivez SAP Finance en ligne: @SAPFinance (Twitter) | Votre profil sur LinkedIn | Facebook | YouTube

<! – Commentaires ->



Source link