Was ist eine Richtlinie zur Vorratsdatenspeicherung?

Eine Richtlinie zur Datenaufbewahrung ist das etablierte Protokoll eines Unternehmens zur Aufbewahrung von Aufzeichnungen für einen bestimmten Zeitraum. Es kann auch eine Records Retention Policy oder Backup Retention Policy genannt werden. Ziel ist es, Ihre Daten zu sichern und die Einhaltung bestimmter Geschäftsanforderungen, Branchenrichtlinien oder gesetzlicher Anforderungen sicherzustellen.

Eine umfassende Richtlinie zur Vorratsdatenspeicherung und ein Aufzeichnungsverwaltungsplan beschreiben detailliert, aus welchen Gründen ein Unternehmen bestimmte Datensätze aufbewahren möchte und wo es diese Daten speichert oder archiviert. Die Richtlinie sollte auch Informationen darüber enthalten, wer für jede Art von Daten verantwortlich ist und wie sie am Ende ihrer Aufbewahrungsfrist gelöscht (oder gelöscht) werden.

Eine Datenaufbewahrungsrichtlinie sollte auch Backup-Speicherverfahren festlegen, die einem Unternehmen helfen, sich bei Datenverlust zu erholen.

Warum ist eine Richtlinie zur Vorratsdatenspeicherung wichtig?

Regelmäßige Backups und Archivierung

Ordnungsgemäße Datensicherungen sind für Ihren Business Continuity-Plan bei unerwarteten Katastrophen unerlässlich. Angenommen, eine Organisation verfügt nicht über umfassende Datensicherungsmaßnahmen. In diesem Fall ist die Notfallwiederherstellung unvollständig und beeinträchtigt die Geschäftskontinuität, da der Zugriff auf die für die ordnungsgemäße Funktion erforderlichen Daten und Datensätze fehlt.

Andererseits kann das Sichern zu vieler Daten während des Wiederherstellungsprozesses zu Verwirrung führen. Darüber hinaus können unnötige Aufbewahrung und vollständige Sicherungen teuren Speicherplatz verbrauchen und die Netzwerkzugriffsgeschwindigkeit verringern.

Daher hilft eine Richtlinie zur Datenaufbewahrung sicherzustellen, dass das Unternehmen die entsprechenden Daten für einen geeigneten Zeitraum aufbewahrt oder sichert.

Optimiertes Datenmanagement

Eine Aufbewahrungsrichtlinie ist Teil der gesamten Datenmanagementstrategie eines Unternehmens. Die Organisation muss alle Arten von Daten und Datensätzen beschreiben, die sie speichert, und wie lange jeder Typ gespeichert und gesichert werden soll. Die Richtlinie stellt sicher, dass veraltete oder duplizierte Daten ordnungsgemäß entsorgt werden, und erleichtert das Auffinden von Daten, die noch relevant und nützlich sind.

Einhaltung gesetzlicher und behördlicher Vorschriften

Ein effizientes Datenmanagement und Records Management kann Kerngeschäftsfunktionen unterstützen und dem Unternehmen helfen, seine gesetzlichen, gesetzlichen und behördlichen Verpflichtungen zu erfüllen. In den letzten Jahren hat der Fokus auf den Datenschutz zugenommen, was zu komplexeren Gesetzen und Vorschriften weltweit geführt hat.

Börsennotierte Unternehmen in den USA müssen beispielsweise eine Aufbewahrungsrichtlinie festlegen, um die im Sarbanes-Oxley Act (SOX) festgelegten Anforderungen an die Vorratsdatenspeicherung zu erfüllen. In ähnlicher Weise unterliegen Gesundheitsorganisationen den Anforderungen an die Vorratsdatenspeicherung des Health Insurance Portability and Accountability Act (HIPAA).

Darüber hinaus müssen Unternehmen, die Kundenzahlungen (z. B. über Kreditkarten) abwickeln, die im Payment Card Industry Data Security Standard (PCI DSS) festgelegten Anforderungen an die Vorratsdatenspeicherung und Datenentsorgung einhalten.

Jedes Unternehmen weltweit, das personenbezogene Daten von EU-Bürgern erhebt und verarbeitet, muss die Anforderungen der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union zur Vorratsdatenspeicherung einhalten. Um das Datenschutzgesetz der DSGVO einzuhalten, müssen die Richtlinien zur Datenaufbewahrung erläutern, was gesammelt wird, warum es gesammelt wird, wo es aufbewahrt wird und wie lange es aufbewahrt wird.

Neben der Einhaltung dieser Gesetze kann eine Richtlinie zur Datenaufbewahrung einer Organisation helfen, sicherzustellen, dass die Privatsphäre und Vertraulichkeit ihrer Daten gewahrt bleibt. Es kann das Unternehmen auch vor Bußgeldern bei Nichteinhaltung oder anderen Strafmaßnahmen und zukünftigen rechtlichen Verpflichtungen schützen.

Geschäftsanforderungen erfüllen

Unternehmen haben möglicherweise auch spezifische vertragliche und geschäftliche Anforderungen, die eine Richtlinie zur Datenaufbewahrung erfordern. Daher sollte in der Richtlinie festgelegt werden, wie lange das Unternehmen bestimmte Datensätze aufbewahrt und wie es plant, im Falle von Klagen oder anderen Störungen Ausnahmen zu machen.

Bestimmung einer angemessenen Datenaufbewahrung

Um eine wirksame Richtlinie zur Datenaufbewahrung zu implementieren, muss das Unternehmen zunächst die Arten von Daten identifizieren, die es speichert. Dann muss es diese Daten klassifizieren. Diese Schritte sind entscheidend, da die “angemessene” Datenaufbewahrung oft von der Art der aufzubewahrenden Daten abhängt.

Der Datenlebenszyklus oder die Aufbewahrungsfrist spielen ebenfalls eine Rolle. Einige Daten können mit einer kurzen Speicherdauer vor der automatisierten Löschung klassifiziert werden, z. B. eigenständige E-Mails. Während andere Aufzeichnungen, wie Kaufverträge und die damit verbundenen Details, für viele Jahre gespeichert werden müssen.

Beispielsweise speichern Gesundheitsorganisationen personenbezogene Daten (PII) wie Patientenname, Geburtsdatum, Sozialversicherungsnummer und medizinische Daten. Finanzdienstleistungsunternehmen speichern die Kreditwürdigkeit, den Zahlungsverlauf und die Kreditinformationen der Kunden. Die Aufbewahrungsrichtlinie sollte jeden dieser Datentypen berücksichtigen und entsprechende Lebenszyklen zuweisen.

Schlüsselkomponenten einer erfolgreichen Datenaufbewahrungsrichtlinie

Eine Datenaufbewahrungsrichtlinie sollte abdecken, wie die Organisation sowohl papierbasierte als auch digitale Datensätze sichert, archiviert und löscht. Das Abschlussdokument sollte ganzheitlich und kohärent mit Eingaben mehrerer Gruppen sein und für das gesamte Unternehmen gelten. Die Richtlinie kann aktualisiert oder überarbeitet werden, und eine Aufzeichnung dieser Überarbeitungen sollte im Dokument gespeichert werden.

Eine Richtlinie zur Datenaufbewahrung oder Datensicherung kann einige oder alle der folgenden Abschnitte enthalten:

Anwendbare rechtliche und geschäftliche Anforderungen

Dieser Abschnitt sollte die geschäftlichen und rechtlichen Anforderungen an die Datenaufbewahrung und -sicherung erläutern. Es sollte aktualisiert werden, wenn sich Anforderungen und Vorschriften ändern.

Datenaufbewahrungsverfahren

Jeder Datensatz und Datentyp hat unterschiedliche Aufbewahrungsfristen und -prozesse. Überlegen Sie, wo die Daten gespeichert werden, wie sie gesichert werden und wie lange. Geben Sie die Rolle oder das Team an, das Eigentümer der einzelnen Datentypen ist und für deren Verwaltung verantwortlich ist. Es ist auch wichtig zu erwähnen, welche Arten von Datensätzen nicht aufbewahrt werden müssen und sofort gelöscht werden können.

Verfahren zur Datenvernichtung

Es ist wichtig hervorzuheben, wie Datensätze gelöscht werden, wenn die Aufbewahrungszeit abgelaufen ist. Geben Sie den Prozess zum Zerstören von Papierdokumenten an. Geben Sie an, welche elektronischen Dokumente manuell gelöscht werden müssen und welche automatisch vom System gelöscht werden.

Verfahren zur Datenarchivierung

Einige Daten sind für den täglichen Gebrauch möglicherweise nicht erforderlich, müssen jedoch aus rechtlichen oder behördlichen Gründen archiviert werden. Archivierungsverfahren geben die Dokumenttypen, Speicherorte und Abrufprozesse an.

Möglicherweise werden einige Papierdokumente außerhalb des Standorts gespeichert, um sie nur bei Bedarf abzurufen. Bestimmte elektronische Dokumente können auf verschiedenen Servern gespeichert werden, um eine schnelle Reaktionszeit zu gewährleisten und Unordnung auf lokalen Servern zu vermeiden.

Ausnahmeprozesse

Die Organisation kann einige Ausnahmen von ihren Standardverfahren zur Aufbewahrung, Vernichtung oder Archivierung von Daten haben. Es ist wichtig, diese Ausnahmen in der Richtlinie zur Vorratsdatenspeicherung klarzustellen, um sicherzustellen, dass keine Verwirrung oder Missverständnisse auftreten.

Korrekte Antworten auf Discovery-, Legal- oder Audit-Anfragen

Wenn es jemals eine Discovery-, Legal- oder Audit-Anfrage gibt, sollte die Organisation eine standardisierte Antwort haben. Dieser Abschnitt sollte den Prozess für die Antwort angeben, wer für die Antwort verantwortlich ist und wie sie dokumentiert wird.

Zusätzlich zu den oben genannten Abschnitten sollte eine umfassende Aufbewahrungsrichtlinie Folgendes enthalten:

  • Firmenname und Kontaktdaten
  • Versionskontrolle
  • Zweck der Richtlinie
  • Betroffene Stakeholder
  • Verwendete Schlüsselbegriffe
  • Rollen und Verantwortlichkeiten des beteiligten Personals

Best Practices für die Datensicherung

Speicherplatz kann teuer sein, und es müssen nicht alle Daten gesichert werden. Wenn es um Datenaufbewahrung und Backups geht, sind die Anforderungen jedes Unternehmens unterschiedlich. Es gibt keine festgelegten Regeln für Backup-Strategie, Häufigkeit oder Aufbewahrungsfristen. Eine Organisation muss ihre Anforderungen bei der Entwicklung ihrer Richtlinie zur Datenaufbewahrung ganzheitlich bewerten.

Es gibt jedoch mehrere Best Practices, die Unternehmen für den Einstieg in Betracht ziehen können:

Datentypen identifizieren und klassifizieren

Durch die Klassifizierung von Daten können Sie ermitteln, welche Daten wie lange gesichert oder archiviert werden müssen. Anhand dieser Fragen können Sie feststellen, ob ein bestimmter Datentyp gesichert werden muss:

  • Sind die Daten jetzt kritisch?
  • Wird es auch in Zukunft kritisch bleiben?
  • Ist es geschütztes geistiges Eigentum?
  • Handelt es sich um vertrauliche Geschäftsgeheimnisse?
  • Ist es ein permanentes Dokument?

Gesetzliche Anforderungen identifizieren

Die wichtigste Frage ist hier: Sind die Daten für Compliance oder Audits notwendig?
Organisationen müssen feststellen, ob es gesetzliche oder regulatorische Anforderungen gibt, um Daten für einen bestimmten Zeitraum zu sichern, und ihre Sicherungsrichtlinien entsprechend verwalten.

Identifizieren von Geschäftsanforderungen

Die Sicherungsrichtlinie muss die Geschäftsanforderungen der Organisation in Bezug auf jeden Datentyp und die Art der Sicherung berücksichtigen. Dies kann von der Wahrscheinlichkeit eines Datenverlusts, der relativen Wichtigkeit der Daten und der Häufigkeit der Aktualisierung der Daten abhängen.

Geben Sie relevante Details an

Die Richtlinie muss Details wie:

  • Backup-Häufigkeit
  • Aufbewahrungsfrist
  • Verschlüsselungsanforderungen
  • Zugriffsmethoden
  • Personal, das zum Zugriff auf die Backup-Daten berechtigt ist

Machen Sie ZenGRC zu einem Teil Ihres Datenschutzplans

Da Organisationen immer mehr Daten generieren und verbrauchen -zunehmende Datenmengen, sie haben oft Schwierigkeiten, sie angemessen zu verwenden, speichern, archivieren, und zerstöre es. Die manuelle Verwaltung des Datenlebenszyklus ist nicht möglich, da dies ineffizient und ressourcenintensiv ist und schwerwiegende Sicherheits- und Compliance-Risiken verursachen kann.

Eine automatisierte Lösung zur Verwaltung und Sicherung von Datenaufbewahrungsdatensätzen ist erforderlich, um diese Herausforderungen zu bewältigen. Hier bietet eine umfassende Plattform wie ZenGRC die Annehmlichkeiten und Funktionen, die Sie benötigen. ZenGRC kann problemlos in die Datenaufbewahrungsstrategie eines Unternehmens integriert werden, um gesetzliche und regulatorische Anforderungen mühelos zu erfüllen.

ZenGRC ermöglicht es Unternehmen, ihren Datenlebenszyklus zu automatisieren, bietet verteidigbare Überwachungsfunktionen, erzwingt strukturierte Aufbewahrungsrichtlinien und behält die nachverfolgbare Rechenschaftspflicht bei. Holen Sie sich eine Demo und erfahren Sie mehr über die Automatisierungsworkflows, Integrationen und Konfigurationen von ZenGRC.

Leave a Reply