Per 25.09.2020 hat das Parlament das neue Datenschutzgesetz (nDSG) verabschiedet. Die Bestimmungen im nDSG werden derzeit auf Verordnungsebene konkretisiert. Die Ausführungsbestimmungen werden in der Verordnung zum Datenschutzgesetz (VDSG) festgelegt. Die Verordnung tritt 2023 in Kraft.
Die wichtigsten Änderungen in der VDSG betreffen zum Beispiel:
• die Mindestanforderungen an die Informationssicherheit
• die Modalitäten der Informationspflichten und des Auskunftsrechts
• die Meldung von Verletzungen der Informationssicherheit
• private Verantwortliche mit mehr als 250 Mitarbeitenden werden voraussichtlich zudem ein Verzeichnis der Bearbeitungstätigkeiten führen müssen.
Ok, was ist zu tun? Gibt es für die Einführung Standards und eine gute Toolbox?
Unsere Kundinnen und Kunden konfrontieren uns oft mit der Frage, ob es denn keinen einfachen Weg für die Sicherstellung der Informationssicherheit und des Datenschutzes in der Organisation gibt. Ebenso häufig werden wir nach geeigneten Standards und einer Toolbox für die Umsetzung gefragt.
Gleich wie in der Finanzwelt gibt es in der Informationssicherheits- und Datenschutzwelt breit anerkannte Standards für das Management der Informationssicherheit des Datenschutzes. Aus unserer Erfahrung lohnt sich die Einführung eines Managementsystems für Informationssicherheit und Datenschutz (ISMS / PIMS) nach den international anerkannten ISO-Standards 27001 und 27701. Dies stellt sicher, dass man insgesamt für die Herausforderungen im Bereich Cybersicherheit, Informationssicherheit und Datenschutz gewappnet ist.
Als Toolbox hat sich zum Beispiel das «Digital Security Control Center» (DSC2) in diversen Projekten gut bewährt. Das DSC2 ist eine Buchhaltungssoftware für CISOs, Informationssicherheits- und/oder Datenschutzverantwortliche. Das DSC2 hilft die wichtigsten Voraussetzungen für die digitale Sicherheit umzusetzen und die Vorgaben der VDSG in Ihrer Organisation rasch und einfach zu erfüllen:
• Definition der Rahmenbedingungen der Organisation
• Definition der Schutzobjekte, Gefährdungen
• Identifikation und Management der IT-/Cyber-/Datenschutz-Risiken
→ Durchführen von GAP-Analysen und Assessments auf Basis standardisierter Fragekataloge
→ Einfache Auswertungsmöglichkeiten
→ Verwaltung der Risiken, Massnahmen und Verantwortlichkeiten
• Dokumentation der Datensammlung und der unterschiedlichen Datenschutz-Vorgänge.
• Planung von Awareness-Kampagnen und Audits
Klingt gut!
Es lohnt sich, zu den Themen Datenschutz und Informationssicherheit gut vorbereitet und aufgestellt zu sein, denn das nächste Audit des/der DSB Datenschützers kommt garantiert. Gerne unterstützen wir Sie mit unserer Expertise bei einer erfolgreichen Umsetzung.