Gdpr e fornitori, quali sono i processi da riprogettare

Le complessità associate alla gestione dei fornitori continuano ad aumentare e il GDPR fa la propria parte. È l’opinione di Ovum, la società di ricerca secondo la quale i leader It devono avere a che fare con una serie di partner disparati perché le competenze non risiedono sempre all’interno dell’impresa. Così però si pone anche un problema di conformità che aggiunge qualche complicazione alla gestione dei fornitori.

Il tema è quello del GDPR che deve portare i manager alle prese con la gestione dei fornitori a concentrarsi su tre aree chiave: politiche, valutazioni e contratti.

L’idea è che il GDPR dovrebbe essere considerata come una questione di politica e di processo perché la nuova regolamentazione stabilisce alcuni grandi principi, come privacy by default e design.

Ma il regolamento richiede anche una sostanziale riprogettazione dei processi.

Le regole interne e quelle esterne per il GDPR

Molte organizzazioni hanno una visione diversa del rischio quando si spostano oltre il firewall aziendale. Internamente, i senior manager stabiliscono regole e regolamenti rigorosi in merito agli strumenti e alle configurazioni utilizzati dai dipendenti.

Con partner terzi, i dirigenti possono invece solo creare contratti, fissare obiettivi e poi sperare che siano raggiunti. Le società però devono estendere i contratti oltre l'azienda e prendere in considerazione la gestione dei dati dalla fase di richiesta-proposta.

Se lo faranno avranno gli audit e i controlli corretti per by default e by design. La situazione è difficile anche quando si parla di cloud. Molte aziende coinvolgono i fornitori di servizi cloud perché non dispongono di competenze interne, ma i cio devono trovare il modo di smettere di essere eccessivamente dipendenti da partner esterni.

Mettere conformità e sicurezza nel contratto è importante perché bisogna definire dove impostare il rischio, la sicurezza e la conformità. È necessario pensare al valore delle informazioni che si stanno mettendo nel cloud. E non tutte le piattaforme cloud sono identiche in termini di rischio.

Anche perché c’è una grande attenzione sulle multe, ma il regolatore può interrompere l'elaborazione dei dati. Se si fa affidamento su un provider che detiene i dati e il regolatore decide di fermare le operazioni queste potrebbero di fatto fermare il trading aziendale. Quindi le multe potrebbero essere il minimo delle preoccupazioni di un’azienda.

I Cio dovrebbero notare un ulteriore livello di complessità. Molti contratti cloud moderni per la fornitura It coinvolgono i principali fornitori e i subappaltatori. Questa interdipendenza tra i fornitori crea una notevole sovrapposizione tra i fornitori, creando nuove problematiche nell' ambito del GDPR per quanto riguarda la gestione dei dati da parte di organizzazioni terze.

I responsabili IT devono concentrarsi su tre considerazioni mentre portano i dati nel cloud: il diritto del fornitore di elaborare le informazioni, la sicurezza e le misure tecniche presso il fornitore, e la capacità di controllare le strutture di terze parti e cancellare i dati su richiesta.

 

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here