當我開始研究如何建立一個對隱私真正有意義的第三方風險計劃時,我以為一定已經存在某些東西——一份指南、一個框架、一些實用的東西。
但並沒有。
我找到的大多數內容都偏重資安——認證、技術檢查清單或合約。隱私如果有出現,通常被埋在底部,只有一行問題: 「是否涉及個人識別資訊或受保護健康資訊?」 如果答案是否定的,審查就繼續進行。
問題是——即使是隱私律師在回答這個問題之前也必須停頓一下。定義各不相同,情境很重要。那麼沒有隱私背景的員工如何能正確回答?他們被迫對即使專家也爭論的事情做出判斷。
有時甚至有人會嘗試將資料保護影響評估(DPIA)轉變為供應商評估表——這聽起來有效率,但會產生自己的一系列問題。我會在下一篇文章中詳細說明。
隱私風險絕對不是您可以在最後擠進去的東西。而大多數第三方風險管理計劃並非為處理它而建立。
許多公司依賴SOC 2報告或滲透測試報告,並認為這就足夠了。如果供應商說「我們合規」,對話就繼續進行。 但這些相同的供應商正在收集個人資料、進行國際傳輸、引入次處理者,並以並非總是披露的方式使用資料。 而且沒有人真正在問隱私問題。不夠早、不夠清楚、也不夠一致。 這就是我一直遇到的差距——也是我開始寫作的原因。 它不是適合資安或法務部門的東西。它是獨立的。而且它觸及的範圍遠比人們想像的要廣。 它改變了您如何界定供應商範圍、您問他們什麼、何時介入,以及如果出了問題您實際上可以執行什麼。 但在大多數組織中,隱私團隊被引入得太晚——或根本沒有被引入。到那時,供應商已經簽約。或上線。或兩者都有。 我正在撰寫一本關於建立以隱私為先的第三方風險計劃的書——一些真正反映隱私在現實世界中如何運作的東西,而不僅僅是它在紙面上應該如何運作。 這本書仍在進行中。但在我寫作的同時,我正在整理一個基於團隊正在做出的真實決策的框架——以及當涉及供應商和資料時真正重要的問題。 我也在考慮建立一些工具和範本來配合它——一些我在試圖把這一切拼湊在一起時希望擁有的東西。 如果您想看到這個,請在評論中告訴我。我仍在弄清楚什麼最有用。 隱私風險不能在最後釘上去。它必須成為供應商關係從一開始建立方式的一部分——不僅在評估中,在合約中也是如此。 重要的是及早評估這些風險,並與審查合約的商業法務團隊密切合作。這就是確保適當保護措施到位的方式。問題出在哪裡
隱私風險不僅僅是勾選項目
我正在做的事