Wat is een beleid voor gegevensbewaring?
een gegevensbewaring beleid is een bedrijf gevestigde protocol voor het bijhouden van records voor een bepaalde periode. Het kan ook een records retentie beleid of back-up retentie beleid worden genoemd. Het doel is om uw gegevens te beveiligen en ervoor te zorgen dat wordt voldaan aan bepaalde zakelijke behoeften, richtlijnen uit de industrie of wettelijke vereisten.
een uitgebreid beleid voor het bewaren van gegevens en een beheersplan voor gegevens geeft aan waarom een bedrijf specifieke gegevens wil bewaren en waar het deze gegevens zal opslaan of archiveren. Het beleid moet ook informatie bevatten over wie verantwoordelijk is voor elk type gegevens en hoe deze worden verwijderd (of gewist) aan het einde van de bewaartermijn.
in een beleid voor gegevensbewaring moeten ook procedures voor back-upopslag worden gespecificeerd om een bedrijf te helpen herstellen als het gegevensverlies ondervindt.
Waarom is een beleid voor het bewaren van gegevens belangrijk?
regelmatige back-ups en archivering
goede back-ups van gegevens zijn essentieel voor uw bedrijfscontinuïteitsplan wanneer u wordt geconfronteerd met onverwachte rampen. Stel dat een organisatie geen uitgebreide gegevensback-upmaatregelen heeft. In dat geval zal disaster recovery onvolledig zijn en de bedrijfscontinuïteit beïnvloeden vanwege een gebrek aan toegang tot de gegevens en records die nodig zijn om goed te functioneren.
anderzijds kan een back-up van te veel gegevens verwarring veroorzaken tijdens het herstelproces. Bovendien kunnen onnodige retentie en volledige back-ups dure opslagruimte verbruiken en de snelheid van de netwerktoegang verlagen.
een beleid voor het bewaren van gegevens helpt er dus voor te zorgen dat het bedrijf de juiste gegevens gedurende een passende periode bewaart of back-upt.
gestroomlijnd gegevensbeheer
een bewaarbeleid maakt deel uit van de algemene strategie voor gegevensbeheer van een onderneming. De organisatie moet een overzicht geven van alle verschillende soorten gegevens en records die het bewaart en hoe lang elk type moet worden opgeslagen en geback-upt. Het beleid helpt ervoor te zorgen dat verouderde of gedupliceerde gegevens op de juiste wijze worden verwijderd, waardoor het gemakkelijker wordt om gegevens te vinden die nog steeds relevant en nuttig zijn.
naleving van wet-en regelgeving
efficiënt beheer van gegevens en records kan de kernactiviteiten ondersteunen en de organisatie helpen te voldoen aan haar wettelijke, wettelijke en reglementaire verplichtingen. De afgelopen jaren is de focus op dataprivacy toegenomen, wat wereldwijd heeft geresulteerd in complexere wet-en regelgeving.
beursgenoteerde ondernemingen in de Verenigde Staten moeten bijvoorbeeld een bewaarbeleid vaststellen om te voldoen aan de vereisten inzake gegevensbewaring die zijn vastgelegd in de Sarbanes-Oxley Act (SOX). Ook zorgorganisaties zijn onderworpen aan de vereisten voor gegevensbewaring van de Health Insurance Portability and Accountability Act (HIPAA).
bovendien moeten bedrijven die betalingen van klanten verwerken (bijv. via creditcards) voldoen aan de vereisten voor gegevensbewaring en-verwijdering die zijn vastgelegd in de Payment Card Industry Data Security Standard (PCI DSS).
elk bedrijf dat wereldwijd persoonsgegevens van EU-burgers verzamelt en verwerkt, moet voldoen aan de vereisten voor gegevensbewaring van de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie. Om te voldoen aan de AVG-wetgeving inzake gegevensbescherming, moet het beleid inzake gegevensbewaring uitleggen wat er wordt verzameld, waarom het wordt verzameld, waar het wordt bewaard en de bewaartermijn.
naast het bereiken van naleving van deze wetten, kan een beleid voor het bewaren van gegevens een organisatie helpen ervoor te zorgen dat de privacy en vertrouwelijkheid van haar gegevens worden gehandhaafd. Het kan het bedrijf ook beschermen tegen niet-naleving boetes of andere strafmaatregelen en toekomstige juridische verplichtingen.
voldoen aan zakelijke behoeften
organisaties kunnen ook specifieke contractuele en zakelijke behoeften hebben die een gegevensbewaring beleid vereisen. Als zodanig moet het beleid aangeven hoe lang het bedrijf bepaalde datasets zal bewaren en hoe het van plan is om uitzonderingen te maken in het geval van rechtszaken of andere verstoringen.
hoe de juiste bewaring van gegevens te bepalen
om een effectief beleid voor het bewaren van gegevens te implementeren, moet de onderneming eerst de soorten gegevens identificeren die zij opslaat. Dan, het moet classificeren die gegevens. Deze stappen zijn van cruciaal belang omdat de” juiste ” bewaring van gegevens vaak afhankelijk is van het type gegevens dat moet worden bewaard.
de gegevenslevenscyclus of bewaarperiode is ook van belang. Sommige gegevens kunnen worden geclassificeerd met een korte opslagperiode voordat geautomatiseerde verwijdering, zoals standalone e-mails. Terwijl andere records, zoals verkoopcontracten en de bijbehorende gegevens, moeten worden opgeslagen voor vele jaren.
gezondheidszorgorganisaties slaan bijvoorbeeld persoonlijk identificeerbare informatie (PII) op, zoals de naam van de patiënt, de geboortedatum, het sofinummer en medische gegevens. Financiële diensten bedrijven opslaan klanten credit scores, betaling geschiedenis, en lening informatie. In het bewaarbeleid moet rekening worden gehouden met elk van deze gegevenstypen en moeten dienovereenkomstig passende levenscycli worden vastgesteld.
belangrijke onderdelen van een succesvol beleid voor gegevensbewaring
een beleid voor gegevensbewaring moet betrekking hebben op de manier waarop de organisatie zowel papieren als digitale records back-upt, archiveert en verwijdert. Het definitieve document moet holistisch en samenhangend zijn met input uit meerdere groepen en geldt voor de hele onderneming. Het beleid kan worden bijgewerkt of herzien, en een record van deze herzieningen moet worden bewaard in het document.
een beleid voor gegevensbewaring of-back-up kan enkele of alle volgende secties bevatten:
toepasselijke wettelijke en zakelijke vereisten
deze sectie moet de zakelijke en juridische behoefte aan gegevensbewaring en-back-ups in detail beschrijven. Het moet worden bijgewerkt naarmate de eisen en voorschriften veranderen.
procedures voor gegevensbewaring
elk record en gegevenstype heeft verschillende bewaartermijnen en processen. Overweeg waar de gegevens zullen worden bewaard, hoe het zal worden geback-upt, en voor hoe lang. Geef de rol of het team op die eigenaar is van elk gegevenstype en verantwoordelijk is voor het beheer ervan. Het is ook belangrijk om te vermelden welke soorten records niet hoeven te worden bewaard en onmiddellijk kunnen worden verwijderd.
procedures voor gegevensvernietiging
het is essentieel om aan te geven hoe records worden verwijderd wanneer de bewaartijd verstreken is. Geef het proces op voor het vernietigen van papieren documenten. Geef aan welke elektronische documenten handmatig verwijderd moeten worden versus welke automatisch door het systeem worden gewist.
procedures voor het archiveren van gegevens
sommige gegevens zijn mogelijk niet vereist voor dagelijks gebruik, maar moeten om wettelijke of regelgevende redenen nog steeds worden gearchiveerd. Archival procedures specificeren de documenttypen, opslaglocaties, en ophalen processen.
mogelijk worden sommige papieren documenten buiten de site opgeslagen om alleen te worden opgevraagd als dat nodig is. Bepaalde elektronische documenten kunnen op verschillende servers worden opgeslagen om een snelle reactietijd te garanderen en rommel op lokale servers te voorkomen.
Exception processen
de organisatie kan enkele uitzonderingen hebben op de standaard procedures voor het bewaren, vernietigen of archiveren van gegevens. Het is belangrijk om deze uitzonderingen in het gegevensbewaring beleid te verduidelijken om ervoor te zorgen dat er geen verwarring of miscommunicatie is.
juiste antwoorden op Discovery, Legal, of Audit Requests
als er ooit een discovery, legal, of audit request is, moet de organisatie een gestandaardiseerd antwoord hebben. In dit gedeelte moet het proces voor het reageren worden gespecificeerd, wie verantwoordelijk is voor het maken van de reactie, en hoe het zal worden gedocumenteerd.
naast de bovenstaande paragrafen dient een uitgebreid retentiebeleid het volgende te omvatten: :
- bedrijfsnaam en contactgegevens
- versiebeheer
- beleidsdoel
- betrokken belanghebbenden
- gebruikte sleuteltermen
- rollen en verantwoordelijkheden van betrokken personeel
beste praktijken voor het back-uppen van gegevens
opslagruimte kan duur zijn, en elk stuk gegevens hoeft niet te worden geback-upt. Als het gaat om het bewaren van gegevens en back-ups, de behoeften van elke organisatie zijn anders. Er zijn geen vaste regels over back-upstrategie, frequentie of bewaartermijnen. Een organisatie moet haar vereisten holistisch beoordelen bij het ontwikkelen van haar beleid voor het bewaren van gegevens.
er zijn echter verschillende best practices die organisaties kunnen overwegen om aan de slag te gaan:
Identificeer en classificeer gegevenstypen
het classificeren van gegevens kan helpen bepalen welke gegevens geback-upt of gearchiveerd moeten worden en voor hoe lang. Deze vragen kunnen helpen bepalen of een bepaald type gegevens moet worden geback-upt:
- is de data nu kritiek?
- is het waarschijnlijk dat het in de toekomst kritiek zal blijven?
- is het intellectuele eigendom?
- vormt het vertrouwelijke zakengeheimen?
- is het een permanent document?
Identificeer wettelijke vereisten
hier is de belangrijkste vraag: zijn de gegevens nodig voor naleving of audits?
organisaties moeten bepalen of er wettelijke of reglementaire vereisten zijn om gedurende een bepaalde periode een back-up van gegevens te maken en hun back-upbeleid dienovereenkomstig te beheren.
Identificeer bedrijfsvereisten
het back-upbeleid moet rekening houden met de bedrijfsvereisten van de organisatie met betrekking tot elk gegevenstype en hoe er een back-up van wordt gemaakt. Dit kan afhangen van de waarschijnlijkheid van gegevensverlies, het relatieve belang van de gegevens en hoe vaak de gegevens worden vernieuwd.
Specificeer relevante Details
het beleid moet details bevatten zoals de:
- Back-upfrequentie
- bewaarperiode
- Versleutelingseisen
- Toegangsmethoden
- personeel dat toegang heeft tot de back-upgegevens
maak ZenGRC onderdeel van uw Gegevensbeschermingsplan
terwijl organisaties steeds grotere hoeveelheden gegevens genereren en verbruiken, hebben ze vaak moeite om deze op de juiste manier te gebruiken, op te slaan, te archiveren en te vernietigen. Het handmatig beheren van de gegevenslevenscyclus is niet haalbaar omdat het inefficiënt is, veel middelen vergt en ernstige veiligheids-en nalevingsrisico ‘ s kan opleveren.
om deze uitdagingen het hoofd te bieden, is een geautomatiseerde oplossing voor het beheren en back-uppen van gegevensopslag vereist. Hier is waar een uitgebreid platform als ZenGRC biedt de gemakken en functies die u nodig hebt. ZenGRC kan eenvoudig worden opgenomen in de data retentiestrategie van een bedrijf om moeiteloos te voldoen aan wettelijke en regelgevende vereisten.
ZenGRC stelt organisaties in staat hun data lifecycle te automatiseren, biedt verdedigbare auditmogelijkheden, handhaaft gestructureerd bewaarbeleid en handhaaft traceerbare verantwoording. Ontvang een demo en leer meer over de automatiseringsworkflows, integraties en configuraties van ZenGRC.
Leave a Reply