关于欧盟一般数据保护条例,你需要知道的事

时间:2019-10-07 19:18来源:金沙澳门官网
原标题:开启您的GDPR合规之旅 北京2019年4月25日 /美通社/ --近日,中国信息通信研究院和互联网医疗健康产业联盟联合发布了医疗云计算可信选型评估结果,西门子医疗teamplay云平台名

原标题:开启您的GDPR合规之旅

北京2019年4月25日 /美通社/ -- 近日,中国信息通信研究院和互联网医疗健康产业联盟联合发布了医疗云计算可信选型评估结果,西门子医疗teamplay云平台名列其中,通过医疗可信云中的影像云认证。该认证由工信部及卫健委共同授权组织,旨在引导医疗云产业健康发展,建立健全供需双方关于医疗云服务的信任体系,促进医疗云产品的不断成熟,营造良好的市场环境。西门子医疗获得此认证,代表着目前国内具有权威公信力的信息通讯安全专家以及医疗信息专家对teamplay产品设计、技术、安全制度的认可。

金沙澳门官网 1

金沙澳门官网 2

2018年5月25日,《一般数据保护条例》(GDPR)正式宣告生效,为全球的隐私权、安全性和合规性树立了新标杆。GDPR旨在保护和实现个人的隐私权,在尊重个人选择的同时,就如何管理和保护个人数据,设定了严格的全球性隐私保护要求。相比1995指令,GDPR强化了个人隐私权保护,增强数据保护义务,强制数据泄露报告义务,以及高额的违规罚金。

金沙澳门官网 3

欧盟一般数据保护条例(GDPR)将于2018年5月25日起施行。这项新立法是近三十年来数据保护法最大的一次变革。它要求企业遵守大量的GDPR标准以及每个国家的雇佣条例。

欧盟金沙澳门官网,《一般数据保护条例》(GDPR)将于2018年5月25日起正式施行,该条例是近三十年来数据保护立法的最大变动,旨在加强对欧盟境内居民的个人数据和隐私保护。此外,它还将通过统一数据和隐私条例来简化对跨国企业的监管框架。它将取代1995年颁布的《数据保护指令》。

尽管GDPR合规之旅充满挑战,但我们可以助您一臂之力。

西门子医疗teamplay通过医疗可信云中的影像云认证

您如何确保您的企业已经准备好顺利过渡到GDPR?GDPR的多级处罚制度很严格,最高罚款额可高达2000万欧元或上一财年公司全球总收入的4%(以较高者为准)。您需要能够了解GDPR的独特之处,并确保您的员工拥有完备的系统来确保合规。

1995年的《数据保护指令》95/46/EC是欧盟版的隐私保护条例。其主要目标包括协调数据保护立法,以及规范将个人数据转移到欧盟以外的“第三国”的情形。除了其它一系列措施,各个盟国还各自成立独立的公共机构,监督该指令的实施,并作为与企业和公民互动的监管机构。整体而言,该指令符合经济合作与发展协会(OECD)的最初建议以及隐私权是基本人权的核心概念。

微软的GDPR承诺

金沙澳门官网 4

这是否与您有关?

虽然《数据保护指令》旨在团结不同盟国的立法,但这只是一项指令,当置换到各国独立的法律时仍有一定的解释空间。加上当今数据格局的快速变化,尤其是Facebook、LinkedIn等社交平台以及云技术的兴起,势必要升级欧盟地区的监管环境。即将到来的GDPR是一项更大的立法,并且在各个成员国即刻可执行。

在GDPR生效之前,微软已经实现了云服务的GDPR合规。

西门子医疗teamplay通过医疗可信云中的影像云认证

从制造企业到互联网初创公司,不管您是否在欧盟实际设立办公室,只要您从事以下活动,便需要遵守GDPR的规定:

条例 vs. 指令

微软一直以来的使命是,予力世界上每个人和每个组织机构成就不凡,而信任是这一使命的核心。我们采取有原则的方式建立信任,并对隐私、安全、合规和透明作出强有力的承诺。我们为GDPR合规开展的准备工作同样遵循这些原则。

医疗信息化进程的加速推进了医疗卫生行业的高效、快捷和便民。但是医疗健康实现全面数字化面临着三个重大挑战:首先,各个不同业务系统之间的横向整合以及不同品牌信息系统之间的纵向整合难以完成,使得不同维度的数据无法聚类成可用的信息。其次,每日产生的庞大的患者数据让每个医疗机构承担了日益沉重的IT成本。第三,病患信息的高度集中,也让数据安全和病人隐私安全受到巨大的挑战。

向欧盟公民和居民出售商品或服务

这项变化的一个重要特征就是欧盟GDPR是一项条例取代原有的指令。条例直接适用于欧盟各成员国,而对于指令,各成员国有权酌情决定数据保护法的实施。因而,除了严格的数据和隐私保护,条例的实施还将通过在欧盟地区统一数据和隐私法规而简化监管框架。对于跨国企业来说,这将帮助他们在与多个数据和隐私保护机构沟通时消除当地法律之间的不一致性,从而降低行政成本和负担。

微软在遵守复杂法规方面拥有丰富经验。微软致力于与客户分享该等经验,帮助您的组织机构制定最佳路径,以符合GDPR的隐私要求。凭借着云服务提供商中最为全面的合规和安全产品,以及广泛的合作伙伴生态系统,微软已做好为客户的隐私和安全举措提供支持的充分准备。

云资源、云存储以及云计算的普及让数据整合与节约IT成本成为可能,但其实现的前提是数据上云,因此,云服务的数据安全性尤为重要。而目前的现状是,医疗行业的数据库面临着来自内部和外部的双重威胁。一旦数据泄露,患者的个人利益将受到不可挽回的损失。

运营一个使用技术(如cookies)来监控人员(其中包括欧盟境内居民)的网站

处罚力度加大

在您的GDPR合规之旅中与微软合作

西门子医疗基于云端的大数据平台teamplay可帮助医疗机构快速高效地收集和分析影像设备产生的海量数据,以优化影像设备的操作效率、提升临床及财务表现。为确保信息安全,teamplay选择由世纪互联运营的Microsoft Azure作为云平台供应服务商,遵循微软全球统一标准的技术架构和运维规范。此外,为了充分消除用户所承担关于安全合规方面的风险,保障各机构的分工,实施完整有效的安全防护及合规措施,世纪互联蓝云还从资质认证、法律法规解读及专业团队方面给予teamplay安全性和合规性的解决方案,为 Microsoft Azure核心服务建立了数据安全策略,符合《ISO 27001信息安全管理系统标准》、《ISO/IEC 27002信息安全控制措施最佳实践准则》和《ISO/IEC 27018个人可识别信息处理者在公共云端保护个人可识别信息行为准则》,并且根据ISO 27001标准每年执行一次独立审计。此外,由世纪互联运营的Microsoft Azure还通过了服务性机构控制体系鉴证(SOC - System & Organization Controls) 的SOC1 Type1 和 SOC2 Type 1评估报告。

雇佣任何欧盟居民

GDPR将继续通过监管机构和法院执行,除了民事补救还有刑事和行政处罚。然而,根据国际隐私专业人士协会的数据,GDPR加大了行政处罚的力度,根据案情情况最高可罚款两千万欧元,或公司年营业额的4%。

GDPR合规企业需要投入相应的时间、工具、流程和专业知识,而且可能需要对您的隐私和数据管理实践作出重大变更。如果您正在采用架构良好的云服务模式运营,且拥有有效的数据治理计划,您的GDPR合规之旅将会更加顺畅。您可以依靠微软的帮助顺利完成GDPR的合规。

同时,作为数据处理者,teamplay支持使用者遵守美国HIPAA (Health Insurance Portability and Accountability Act;健康保险流通与责任法案) 法案的标准和全球适用的隐私法。teamplay的隐私保护策略以及数据安全策略满足目前世界上最严厉的数据保护法案 -- 《欧盟一般数据保护法案》(GDPR, General Data Protection Regulation)的要求。目前中国还没有对医疗数据隐私信息和数据安全立法。

收集任何可能包含欧盟公民信息的数据

新扩大的管辖权将影响在欧盟地区开展业务的中国企业

微软在提供可信赖的云服务方面具有悠久历史。我们采取有原则的方法确保隐私、安全、合规和透明,坚定承诺确保您可以信任我们提供的技术。我们拥有业内最广泛的合规工具组合,并且率先采用了ISO/IEC 27018云隐私标准等关键标准。

西门子医疗还为teamplay设计了一系列完整的数据安全和数据访问策略,以确保从产品架构、技术到制度都能切实保护用户的数据安全。teamplay曾经荣获欧盟隐私印章(EuroPriSe)以及德国Schleswig-Holstein独立隐私保护中心的“IT产品隐私印章”。

听上去很多!简而言之,如果您收集任何欧盟居民的数据,那么就要遵守GDPR法规。GDPR的独特之处有很多,其中包括对同意权、数据处理、数据保留、违规通知等有更严格的定义。最稳妥的做法是请您的律师于2018年5月25日前仔细阅读具体内容。

该条例的一个重要特征是新扩大的管辖权,可能会影响到欧盟以外的企业。新条例适用于为欧盟境内的个人提供商品和服务,或监控个人行为(如商业网站或移动应用的运营商)的企业。这一规定将影响很多中国企业。

在开展GDPR合规准备工作时,我们可以向您提供:

世纪互联蓝云首席执行官柯文达先生表示:“西门子医疗作为医疗科技领域的领导者,蓝云很荣幸有机会和西门子医疗达成战略合作,利用蓝云Cloud Landing In China的经验和资源优势为西门子医疗云落地中国可信云提供支持,以及在技术架构、合规、安全保障等方面为西门子医疗提供了专业的技术和服务。未来世纪互联蓝云将继续提供技术支持、合规咨询,以及运维管理服务为西门子医疗云保驾护航,和西门子医疗一起开拓中国医疗云市场。”

GDPR是不是对使用SaaS技术的企业影响更大?

GDPR规定同意书将仍是处理个人数据的一个要求,并为同意书设立了更严格的条件。EUDataProtectionLaw.com指出,对这些条件的定义是“数据主体通过申明或一个清晰的肯定动作,在知情的情况下自主、具体而明确地表明自己的意愿,即表示他们同意个人相关数据被处理。”

• 满足您需求的技术。您可以充分利用我们广泛的企业云服务组合,以履行您根据GDPR承担的各方面义务,包括删除、更正、转移、访问个人数据和数据主体提出的反对处理其个人数据的请求。此外,您还可以通过微软广泛的全球合作伙伴生态系统获得支持。

西门子医疗大中华区总裁王皓先生表示:“实现数字化医疗是西门子医疗的价值承诺之一,而数据的安全性是重要前提。本次通过认证是西门子医疗践行数字化医疗战略迈出的坚实一步,唯有确保数据存储、流通的安全性才能将数据汇聚在云端,将其价值最大化,为系统数据化、医疗人工智能的推进,以及医疗数字化生态圈的布局打下坚实的基础。”

SaaS软件的特性使得GDPR成为对公司IT及合规部门的挑战。您公司的云系统(或您使用的其它公司的云软件)往往包含多个许可证和订阅,很多可能是未使用、未管理甚至被遗忘的。您需要有序安置您的许可证、数据和应用程序,并对他们的物理位置有一个全面的了解。然后,您需要确保它们符合新法规的规定。您可以召集您的IT、采购、合规、人力资源和法律团队一起开会,以便在2018年5月GDPR正式施行之前有一个清晰的了解。现在您就可以开始阅读欧盟GDPR的网站。

规定新权利

• 契约式承诺。我们通过对云服务的契约式承诺为您提供支持,包括根据GDPR要求及时提供安全支持和通知。

GDPR是否只适用于欧洲企业?

欧盟GDPR还建立了两项新的个人隐私权,“删除权”和“移植权”。删除权是对“被遗忘权”的扩充,让个人有权要求删除其个人数据。而移植权则让个人可以更轻松地访问自己的数据。个人可以要求将其数据从一个供应商转移到另一个供应商。此类数据转移将为个人创造更多方便,而加大了供应商之间的竞争。

• 分享我们的经验。我们将分享GDPR合规历程,通过我们的经验帮助贵组织机构制定最佳合规路径。

不是的。只要中国企业为欧洲居民提供商品和服务,或监控欧洲居民的行为,就必须遵守GDPR。这与公司的办公室或服务器在哪里无关。

如何确保合规

启动GDPR合规工作

英国脱欧之后GDPR还对英国适用吗?

GDPR不止适用于欧盟内的企业,还适用于欧盟以外的企业——如果他们为欧盟境内的数据主体提供商品或服务,或者监控其行为。GDPR也适用于处理或持有欧盟境内数据主体数据的企业,不论该企业位于何处。

以平台式途径实现GDPR合规

是的。当GDPR生效的时候,英国依旧是欧盟的一部分,所以对英国适用。

很多企业之前并未遵循过欧盟数据和隐私法,因而很多细节(如范围、实施等)都不清楚。对于在欧盟境内运营的企业,或是向欧洲个人提供商品、服务或监控其行为的企业,您可以通过以下步骤提前为明年做准备。

用于创建、存储、分析和管理数据的系统可能分布在各种IT环境中——个人设备、本地服务器、云服务,甚至物联网。这意味着您的大部分IT环境可能需要遵守GDPR要求。

数据,数据,数据

根据现有资料深入解读GDPR

在开展GDPR合规工作之前,最好首先全面考察相关要求以及所有监管和法律隐私义务。例如,GDPR所要求的用于防止、检测和响应漏洞和数据泄露的安全控制措施,与其他数据保护标准(例如ISO 27018云隐私标准)要求的控制措施类似。

GDPR为隐私声明、同意权和违规通知制定了全面的新规定。根据现行规定,雇主必须为员工和相关人员提供隐私声明。根据GDPR,这些声明必须具体说明数据将被保存多长时间,是否会输出至欧盟境外,并明确指出在一些特定情况下个人有权要求获取或删除请求。

理解GDPR规定下个人数据的广泛范围

最佳做法不是具体跟踪每份标准或法规所要求的控制措施,而是确定一套全面的控制措施和功能,以满足这些要求。同样,对于像GDPR这样的综合性法规,最好不要逐一评估具体的技术和解决方案,而应从平台角度(例如包含Windows、Microsoft SQL Server、SharePoint、Exchange、Office 365、Azure和Dynamics 365的平台)出发,这样可以提供更清晰的路径,以确保您遵守GDPR。

如果发生可能会构成个人权利或自由风险的数据违规事件,数据控制者必须在72小时内通知相关数据保护监管机构。

创建、更新或审查有关个人信息和安全措施的文档

我们建议您按照以下四个关键步骤开启您的GDPR合规之旅:

准备好迎接新的数据监管时代

根据GDPR,创建、更新或审查有关违规行为、事件报告以及风险评估的政策和程序的文档

• 发现——识别持有的个人数据并确认其存储位置。

这项新的欧盟立法立意很明确:数据隐私至关重要,任何想要在欧盟成员国开展业务的企业必须做好合规准备。

创建、更新或审查任何必要的合同和协议语言

• 管理——对个人数据的使用和访问进行治理。

您可以通过以下步骤启动合规流程:

判断使用云端人力资源或薪酬供应商是否有利于公司减轻合规风险。

• 保护——设立安全控制措施,防范、监测并响应漏洞和数据泄露。

审核人力资源流程— 您目前如何处理个人数据?您是否拥有您公司处理数据的应用程序、流程及类别的记录?

人力资源领导者需要注意居住在欧洲的中国公民将受到GDPR保护,而居住在欧盟以外的欧盟公民则不受这些法规保护。

• 报告——执行数据请求,提供数据泄露通知,并保留所需的文档记录。

准备好应对个人权利请求—GDPR要求所有个人提交的信息获取或删除请求都必须在一个月内被处理。您可以评估现有流程是否可以做到。

虽然很多公司已经采取数据和隐私措施以遵守《数据保护指令》,然而GDPR包含了新的保护措施,并适用于更广泛的领域,包含欧盟境内外的企业,这将需要额外的合规措施。企业必须尽快采取行动为2018年5月GDPR的正式生效做好准备。

金沙澳门官网 5

实施人力资本管理解决方案—您可能没有专业技术人员或可用的IT人员可以为明年新法规的施行做出必要的改变。基于云的HCM工具可以帮助您符合合规要求,并同时顾及您当前的人力资源需求。

点击此处下载IDC对GDPR的独家解读报告《云、合规以及人力资源转型:支持您的HCM策略》,与ADP数据隐私专家一起探讨GDPR将给您的职能带来的变化。

中国的云服务

更新隐私声明—请确保您的隐私声明符合GDPR的所有规定。

在中国,基于微软服务于全球的领先技术,由世纪互联本土运营的Microsoft Azure、Office 365和Power BI云服务也采取了微软全球云服务一致的措施,并作出了与微软云服务同样的GDPR承诺,帮助中国客户以及落地中国的跨国企业实现GDPR合规。

评估风险—您可以开始评估数据违规风险,并实施相应的保护措施。尽管新法规并未规定保护个人数据的具体技术解决方案,但是最新的技术和软件是其所期望的。

微软GDPR合规工具

点击此处下载完整版IDC报告《云、合规以及人力资源转型:支持您的HCM策略》,了解人力资源领导者、财务主管以及IT经理可以如何准备应对新立法。

想要了解微软针对GDPR合规四个关键步骤的的示例工具、资源和功能,敬请通过【阅读原文】访问微软信任中心的GDPR栏目。在这里,微软分享了GDPR合规评估工具帮助您的组织机构进行GDPR合规快速评估。

我们未来还将发布更多文章,详细介绍微软和世纪互联如何通过我们的产品和服务助您实现GDPR合规。返回搜狐,查看更多

责任编辑:

编辑:金沙澳门官网 本文来源:关于欧盟一般数据保护条例,你需要知道的事

关键词: