AFNOR Guide for personal data protection

Unser Mutterkonzern AFNOR hat ein nützliches Handbuch zu den freiwilligen Standards veröffentlicht, die für den Schutz personenbezogener Daten unerlässlich sind.

Dieses möchten wir Ihnen nicht vorenthalten!

U.a. wird die ISO 27001 (Informationssicherheitsmanagementsysteme) mit einem risikobasierten Ansatz genannt. Die GUTcert bietet Audits nach ISO 27001 an und hilft Ihnen dabei, das Thema Datenschutz nach EU-DSGVO zu bewerten. Im Rahmen eines Audits wird im Unternehmen untersucht, inwieweit die eingeführten Prozesse und Abläufe zur Bearbeitung personenbezogener Daten die Anforderungen erfüllen. Dabei können Inhalte und Methoden bereits bestehender Managementsysteme ggf. angepasst oder sogar übernommen werden.

Den AFNOR-Artikel lesen und das Handbuch (englisch) herunterladen.

Für alle Fragen zum Thema steht Ihnen gerne Herr Nico Behrendt (+49 30 2332021-81) zur Verfügung.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

EU-DSGVO und Abmahnungen: Schreckgespenst oder Phantom?

Die seit 25. Mai verbindlich geltende EU-Datenschutzgrundverordnung sorgt bei vielen Unternehmen für Unruhe und Angst vor Abmahnwellen. Besonders ausgeprägt ist die Unsicherheit bei kleineren Organisationen wie Arztpraxen, Stiftungen, Vereinen und Freiberuflern, die nicht auf eine eigene Rechtsabteilung mit entsprechendem Fachwissen zurückgreifen können.

Inzwischen gibt es erste Abmahnungen wegen formaler Verstöße gegen die DSGVO. Aus Sicht vieler Experten stellen diese jedoch kaum ein lukratives Geschäft dar, weil die rechtliche Grundlage dafür doch recht fragwürdig ist.

Im Fokus der DSGVO stehen natürliche Personen

Die EU-DSGVO beinhaltet zwar auch Passagen, die im Sinne des Gesetzes gegen den unlauteren Wettbewerb anwendbar sind und Klagen von Mittwettbewerbern ermöglichen, im Wesentlichen enthält sie aber gemäß Art. 1 Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Um weder Wettbewerbern noch den Personen, deren Daten bei ihnen verarbeitet werden, Anlass für Klagen zu geben, ist eine überschaubare Anzahl von Anforderungen zu bearbeiten. Dazu gehört vor allem, betroffene Personen rechtzeitig und umfassend über den Umgang mit ihren Daten zu informieren.

Verfahrenskataster: nötig und hilfreich

Um in Betrieben eine Übersicht zu bekommen, wo überhaupt personenbezogene Daten verarbeitet werden, ist ein Verfahrenskataster anzulegen. Auf dieser Grundlage können weitere Anforderungen ermittelt und mit entsprechenden Maßnahmen zur Gewährleistung des Datenschutzes versehen werden. Zum Aufstellen eines solchen Katasters bedarf es keiner juristischen Spezialkenntnisse – verschiedene Hilfestellungen von Behörden und Verbänden (z.B. der Europäischen Kommission oder der Bundesdatenschutzbeauftragten) klären bereits viele Fragen, die beim Lesen der Verordnung auftauchen.

Tagesseminar und Zertifizierung

Um Zeit bei der Einarbeitung zu sparen und Zugriff auf geprüfte Vorlagen zu erhalten, können Verantwortliche den eintägigen Praxiskurs „EU-DSGVO kompakt: Rechtslage und Umsetzung für kleine Unternehmen“ der GUTcert Akademie besuchen. Zur Zielgruppe der Schulung gehören insbesondere Betriebe, die unterhalb der Schwelle zur Benennungspflicht eines Datenschutzbeauftragten liegen. Für größere Organisationen bieten wir eine viertägige Intensivausbildung zum Beauftragten an. Bei Fragen zum Kursangebot erreichen Sie uns unter akademie@gut-cert.de oder +49 30 2332021-21.

Sie möchten das Datenschutzsystem Ihres Unternehmens von den GUTcert Fachexperten prüfen lassen? Dann stellen Sie eine unverbindliche Angebotsanfrage an unsere Fachabteilung. Ihr Ansprechpartner ist Nico Behrendt (+49 30 2332021-81).

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Hamburger Personalberater mit erfolgreicher Zertifizierung nach neuer DIN EN ISO 9001:2015 und SGB III – Auditor von exzellentem QM-System beeindruckt

„Der Auditor bestätigt, dass das System zur Qualitätssicherung beurteilt wurde und die in SGB III und in der AZAG (Akkreditierungs- und Zulassungsverordnung – Arbeitsförderung) als auch die in den Normen und Regelwerken festgelegte Anforderungen nach der DIN EN ISO 9001:2015 voll umfänglich erfüllt wurden.“

Mit dieser Bestätigung ist die Kontrast Consulting GmbH nicht nur einer der ersten Personalberater, die die neue Zertifizierungsnorm ohne Empfehlungen und Maßnahmen bestanden haben, sondern überhaupt einige der wenigen, die doppelt zertifiziert sind.

Strukturiert, klar und transparent

Die Hamburger arbeiten schon seit der Gründung im Jahre 1993 mit hoher Qualität und nahe an den Vorgaben der Normen. Aber nicht nur um die Zertifizierung zu erhalten, sondern weil eine strukturierte Arbeitsorganisation bei dem komplexen Prozess Personalsuche hilfreich ist und eine hohe und beständige Qualität der Dienstleistungen garantiert. Um weiterhin diesen hohen Standard zu leisten, werden kontinuierlich – ausgelöst durch regelmäßige Meetings und durch die Erfahrungen während der täglichen Arbeit mit den Kunden und Kandidaten – Verbesserung der Arbeitsprozesse vorangetrieben. Diese „lernende“ Organisation ist ein Teil der Firmenkultur, von dem besonders die Kunden profitieren.

Dynamisches Qualitätsmanagement

Den dynamischen Weg in der Organisation- und Prozessumsetzung haben die Geschäftsführer bewusst gewählt, um zum einen das gesamte Team für Verbesserungen und Veränderungen zu sensibilisieren, zum anderen das gemeinsame Wissen zu fokussieren. Die durch flache Hierarchien geprägte Arbeitsatmosphäre und das gelebte Teamwork ist der Grund, dass Kontrast Consulting GmbH jedes Jahr ein herausragendes Qualitätsmanagement attestiert wird.

Neue Norm 9001:2015

Mit der neuen Norm 9001:2015, die ab November 2018 für alle verpflichtend ist, sind besonders die Kapitel Risiko- und Wissensmanagement geschärft und erweitert worden. Das Team der Personalberater um die beiden Geschäftsführer Dipl.-Psych. Annette Feist und Dipl.-Kfm. Ingo Scheider – beide selbst erfahrene und langjährig tätige Qualitätsmanagement-Fachauditoren – haben sich der Herausforderung gestellt und sein QM-System so erweitert und angepasst, dass der externe Auditor das QM-Zertifikat für 3 Jahre ausstellte.

Ihr Fachwissen und ihre Erfahrungen bieten die Hamburger nicht nur bei der Optimierung und Neueinführung von Qualitätsmanagementsystemen an, sondern unterstützen andere mittelständische Unternehmen bei der Implementierung, Prüfung und Anpassungen der neuen Datenschutzverordnung (DSGVO) – für die komplette Umsetzung der Maßnahmen stellen die Experten digitale Lösungen bereit.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

GUTcert Tagung „IT-Sicherheit und Datenschutz im Gesundheitswesen“ am 10. September 2018 in Berlin

Am 10. September 2018 treffen sich Experten der Branche in Berlin, um über aktuelle Themen, Trends und Herausforderungen zu IT-Sicherheit, KRITIS, Datenschutz und EU-DSGVO speziell im Gesundheitswesen zu berichten – ab sofort ist unser Programm verfügbar.

Die Tagung richtet sich an praktische Anwender: Sie beleuchtet Wegweiser im Dschungel der Vorgaben und zeigt Schnittstellen auf – insbesondere zu den Medizinprodukten. Beauftragten, Führungskräften und anderen Interessierten bietet sich die Gelegenheit zum Austausch und zur Diskussion mit Vertretern der Branche. Mit dabei sind unter anderem die Bundesdruckerei und die Funk-Gruppe.

Weitere Vorträge beschäftigen sich mit den Schwerpunkten:

  • Gesetze und Vorgaben
  • Chancen und Risiken im Hinblick auf Medizinprodukte & IT-Sicherheit
  • Cyber-Risiken im Rahmen des klinischen Risikomanagements
  • Nutzen von Zertifizierungen – ISO 27001 & ISO 27799, ISO 80001, EU-DSGVO
  • Datenschutz und ISMS – Synergieeffekte und Schnittstellen

Wir freuen uns darauf, Sie im September zur Tagung zu begrüßen! Unter den folgenden Links finden Sie alle wichtigen Details:

Mehr zu den Referenten erfahren Sie in den kommenden Ausgaben des Newsletters oder auf unserer Website.

Sonderkonditionen für Hotelzimmer der Teilnehmer

Für Gäste der Tagung ist ein Hotelzimmerkontingent mit vergünstigten Konditionen reserviert – so vermeiden Sie unnötigen Stress für Ihren Aufenthalt. Details erhalten Sie mit der Anmeldebestätigung, die wir Ihnen nach Buchung per E-Mail zusenden.

Jetzt noch Early Bird-Rabatt nutzen

Wenn Sie sich bis zum 31. Juli anmelden, erhalten Sie – zusätzlich zum Bestandskundenrabatt – den Frühbuchernachlass in Höhe von 50 Euro.

Fragen zum Thema beantwortet Ihnen gerne Frau [email=juliane Zimmermann@gut-cert.de]Juliane Zimmermann[/email], Tel.: +49 30 2332021-26.

Für Fragen zum gesamten Weiterbildungsangebot rreichen Sie uns unter +49 30 2332021-21 oder akademie@gut-cert.de.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Sonatype-Umfrage deckt auf: Massive Datenschutzverletzungen sind Katalysatoren für Investitionen in DevSecOps

Sonatype, der führende Anbieter von automatisierter Open Source Governance und DevSecOps, veröffentlicht heute die Ergebnisse seiner 5. jährlichen DevSecOps Community Survey, innerhalb derer 2.076 IT-Experten befragt wurden. Die Umfrage vermittelt die Praxisperspektiven der Fachleute im Hinblick auf die Entwicklung von DevSecOps-Verfahren, die Verschiebung von Investitionen sowie sich verändernde Wahrnehmungen. Bei Umfrageteilnehmern, die ausgereifte DevOps-Verfahren einsetzen, lag die Wahrscheinlichkeit, automatisierte Sicherheit zu integrieren um 338 % höher, als bei Unternehmen, die keine DevOps-Verfahren im Einsatz haben.

Nach einem weiteren Rekordjahr in puncto Sicherheitsverletzungen ergab die Analyse der Antworten, dass 3 von 10 Organisationen Sicherheitsverletzungen durch Schwachstellen in Open-Source-Komponenten vermuteten oder verifizierten – ein Anstieg von 55 % gegenüber 2017 und um 121 % seit 2014.

Die diesjährige Umfrage ergab auch, dass Investitionen in Open Source Governance (44 %), Container-Sicherheit (56 %) und Web Application Firewalls (58 %) für Unternehmen, die DevSecOps-Transformationen durchführen, am wichtigsten sind.

"Während die Anzahl der Sicherheitsverletzungen im Zusammenhang mit Open-Source-Komponenten im vergangenen Jahr um mehr als 50 % zunahm, zeigten diejenigen, die in DevSecOps investieren, eine um 85 % höhere Cybersicherheitsbereitschaft im Vergleich zu jenen, die nicht in DevSecOps investieren", so Wayne Jackson, CEO von Sonatype. "Es ist offensichtlich, dass die jüngsten hochkarätigen Sicherheitsverstöße die Investitionen in DevSecOps erhöht haben. Unsere Umfrage offenbarte auch starke Investitionen von Organisationen, die bestrebt sind, den „Security by Design“-Anforderungen der im Mai 2018 in Kraft tretenden europäischen Datenschutzverordnung (GDPR) einen Schritt voraus zu sein.

Weitere wichtige Erkenntnisse aus der Umfrage:

  • 77 % der erfahreneren DevOps-Organisationen verfügen über Open-Source-Richtlinien mit einer Compliance-Rate von 76 %. Dagegen hatten nur 58 % der Befragten ohne etablierte DevOps-Verfahren eine Richtlinie mit einer Konformitätsrate von 54 % – was zeigt, dass DevSecOps-Automatisierung kaum noch ignorierbar ist.
  • Mit zunehmender Berücksichtigung der Einhaltung der GDPR-Richtlinien (General Data Protection Regulation – europäische Datenschutzverordnung) bauen 59 % der fortgeschrittenen DevOps-Unternehmen mehr Sicherheitsautomatisierung in ihren Entwicklungsprozess ein.
  • Unternehmen mit ausgereiften DevOps-Verfahren glauben, für Cyber Security „gut gerüstet“ zu sein.
  • 81 % derjenigen mit ausgereiften DevOps-Verfahren verfügen über einen Cyber Security Notfallplan im Vergleich zu 60 % derjenigen ohne DevOps-Verfahren.
  • 88 % derjenigen mit ausgereiften DevOps-Verfahren investieren in Anwendungssicherheitstrainings, während 35 % derjenigen mit unzureichenden Verfahren angaben, keinen Zugang zu Sicherheitstrainings zu haben. Dieses Ergebnis deutet auf eine stärkere Cybersicherheitsbereitschaft derer hin, die in DevOps investieren.
  • Das Verhältnis von Entwicklern zu Sicherheitsprofis liegt bei einer Branchenstandardquote von 100:1.
  • 63 % der Befragten mit ausgereiften DevOps-Verfahren geben an, Sicherheitsprodukte einzusetzen, um Schwachstellen in Containern zu identifizieren, da diese Komponenten in modernen IT-Landschaften immer größere Verbreitung finden.
  • 48 % der Befragten gaben zu, dass Entwickler wissen, wie wichtig Anwendungssicherheit ist, sie jedoch nicht die Zeit hätten, sich damit zu beschäftigen, was das Wachstum der Investitionen in automatisierte Sicherheit erklärt.

Ressourcen:

Unterstützende Zitate:

"Der Reiz, eine Technologie zu verwenden, die kostenlos ist, anstatt eine lizenzierte, kostenpflichtige Software zu kaufen, ist offensichtlich. Die Risiken jedoch auch. Es ist besorgniserregend, dass einige Entwickler, wahrscheinlich der Geschwindigkeit und der Kosten wegen, die für ihre Organisationen ausgearbeiteten und kommunizierten Richtlinien einfach ignorieren".
Helen Beal, DevOpsologist| Ranger4

"Es scheint, dass DevOps in Verbindung mit einem Sicherheitsdenken nicht ausreicht. Ein vollständiges DevSecOps-Konzept – bei dem Sicherheit ein grundlegendes Prinzip der Softwarelieferung ist und von Anfang an berücksichtigt wird – ist notwendig."
Benjamin Wootton, Mitgründer und CTO | Contino

"Da mehr Software in ein Ökosystem eingebettet ist, wird das Management durch mehr Automatisierung weniger anspruchsvoll. Die Automatisierung von Sicherheitswerkzeugen in container-basierten Workflows wird zu einem kritischen Bestandteil der Sicherheitslage eines jeden großen Unternehmens."
Chris Short, Sr. DevOps Advocate | SJ Technologies

"Es gibt nicht den einen einfachen Weg, die Unternehmenskultur, -politik oder -struktur zu überarbeiten. Noch wichtiger ist, dass dies kein praktischer Ansatz ist. Der Schlüssel zu erfolgreichen Transformationen liegt darin, wie Entwicklungsorganisationen das Wissen, die Erfahrung und die Tools innerhalb ihrer Sicherheitsteams nutzen können, um sichere Anwendungen von Anfang an bis zur Bereitstellung zu entwickeln".
Hasan Yasar, Technischer Leiter der Secure Lifecycle Solutions Group, CERT Division des Software Engineering Institute | Carnegie Mellon University

"Es geht nicht nur um die Automatisierung von Entwicklung, Bereitstellung und Sicherheit, sondern auch darum, die Art und Weise zu verändern, wie alle Teile einer Organisation – nicht nur die technischen – in den Lebenszyklus der Softwareentwicklung eingebunden sind. Wenn man darüber nachdenkt, sieht man, dass DevSecOps in großen Organisationen in Wirklichkeit DevSecOpsAndEverybodyElse ist."
Oleg Gryb, Chief Security Architect | Finanzdienstleistungsindustrie

Über die Umfrage

Die "2018 DevSecOps Community Survey" gewährt einen Einblick in die Einstellung von Software-Profis zu DevOps Best Practices und die sich verändernde Rolle der Anwendungssicherheit. Die Umfrage wurde durchgeführt von Sonatype, Carnegie Mellon’s Software Engineering Institute, Contino, DZone, Ranger4, SJ Technologies und Signal Sciences. Die Fehlerquote der Umfrage beträgt ± 2,02 Prozentpunkte für 2.076 IT-Experten mit einem Konfidenzniveau von 95 %.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Neue EDV-Gesetze beachten

So werden ab 1. Januar die Anforderungen an die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) neu definiert. Ab 27. November folgen neue Vorschriften für die ZUGFeRD (Zentraler User Guide des Forums elektronische Rechnung Deutschland) mit weitreichenden Folgen. Das betrifft insbesondere die Ausstellung von elektronischen Rechnungen an die öffentliche Verwaltung.
Für beide Bereiche bietet die PRAXIS Software AG mit der hauseigenen WDV2017 eine Lösung an, da die neuen Anforderungen hier bereits integriert sind.

Ab 25. Mai muss die neue Datenschutzverordnung DSGVO, welche bereits seit Mai 2016 in Kraft getreten ist, in allen EU-Mitgliedsstaaten zwingend zur Anwendung kommen. Besonderes Augenmerk liegt hier im Umgang von Unternehmen mit personenbezogenen Daten. Allen Datenschutzbeauftragten und externen Dienstleistern wird eine Analyse bzw. Beratung empfohlen.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Neue Datenschutzverordnung: Schweizer Firma entwickelt Lösungen

Ab Mai 2018 gilt in der EU die neue Datenschutzverordnung. Auch in der Schweiz sind neue Regelungen in der Vernehmlassung. Die avisec ag hat verschiedene Methoden entwickelt, um Webcams auch bei strengeren Anforderungen an den Datenschutz einsetzen zu können. Beispielsweise steht eine Software im Einsatz, die Personen und bewegte Objekte automatisch aus dem Bild entfernt.

Die Anforderungen an den Datenschutz wachsen stetig. Ab Mai 2018 führt die EU eine neue Datenschutzverordnung ein. Und auch die Schweiz diskutiert über neue Regeln. Um dem wachsenden Bedürfnis nach Persönlichkeitsschutz nachzukommen, hat ein Schweizer Unternehmen neue Ansätze entwickelt, um Webcams datenschutzkonform zu betreiben.

Personen automatisch entfernen
Die Qualität der Webcam-Bilder ist heutzutage so gut, dass Personen und bewegte Fahrzeuge eindeutig identifiziert werden können. Dies ist aus Gründen des Persönlichkeitsschutzes problematisch. Avisec hat deshalb eine spezielle Software entwickelt: Komplexe Algorithmen filtern Personen und andere bewegte Elemente aus dem Video automatisch heraus. Dazu vergleicht die Software verschiedene aufeinanderfolgende Bilder. Was sich zwischen den Bildern deutlich unterscheidet, muss in Bewegung sein. Diese Pixel löscht sie automatisch und ersetzt sie durch benachbarte Pixel.

Verschiedene Optionen für maximalen Persönlichkeitsschutz
Um nicht in Konflikt mit dem Datenschutzgesetz zu geraten, können Webcam-Betreiber weitere Massnahmen ergreifen. Bei sensiblen Aufnahmen empfiehlt es sich, die Bilder verzögert zu publizieren. So bleibt genügend Zeit, zu reagieren und die Publikation falls nötig zu verhindern. Sind nur Teile des Bildes sensitiv, können diese mit Banner oder Ähnlichem verdeckt werden. Teilweise ist es möglich, das Bild so zu schneiden, dass die heiklen Bildausschnitte nicht mehr erkennbar sind.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox