KPI în GDPR

În cursul CIPM, care este un curs de „privacy program management„, se face referire la „key performance indicators (KPIs)

În versiunea pentru consultare publică a Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default, se face referire la KPI:

  • To do so, the controller may determine appropriate key performance indicators to demonstrate compliance.
  • Key performance indicators may include metrics to demonstrate the effectiveness of the measures in question.
  • The EDPB recommends controllers to require that technology providers demonstrate accountability on how they have complied with DPbDD, for example by using key performance indicators to demonstrate the effectiveness of the measures and safeguards at implementing the principles.

„Conformitatea„ este diferită de la organizație la alta și de aici rezultă mulți indicatori diferiți.

Puțină teorie….

Cu siguranță, dintre cei care ați ajuns pe acest blog, ați calculat „metrici„. Și eu, chiar dacă pe mulți i-am considerat și îi consider inutili: nu înțeleg de ce îi calculez dacă rezultatul nu îmi folosește să îmbunătățesc/validez procesul pentru care îi calculez.

Altfel spus, mai multe valori/calcule/indicatori nu echivalează cu un rezultat/valoare mai mare/mai bună a proceselor. Identificarea unui indicator care să fie relevant este dificilă și trebuie făcută ținînd cont de ceea ce este durabil (pe cît posibil) și scalabil.

Ce este un KPI? La baza sa, un KPI este o modalitate de a măsura succesul sau eșecul unui obiectiv economic sau al unei funcții și un mijloc prin care se furnizează informații pentru luarea deciziilor viitoare.

Și dacă am spus că începem de la teorie, în teoria „privacy program management„ sîntem învățați așa:

  • identificăm audiența pentru care calculăm KPI: management, juridic, CISO, PM (adică management/guvernare versus operațional);
  • indicatorul trebuie să monitorizeze performanța procesului sau conformitatea, dar nu va fi calculat de „process owner„ 🙂 („process owner„ raportează managementului….managementul este responsabil…..prin urmare există riscul ca acel indicator să nu reflecte realitatea);
  • cît de des îi calculez și raportez;
  • Dacă există DPO, cade în sarcina lui povestea cu KPI.

Prin urmare, cînd stabilim ce măsurăm, nu începem cu KPI ci cu funcțiile sau obiectivele și informațiile de care avem nevoie pentru a lua decizii cu privire la programul de protecție de datelor. Seamănă destul de mult cu o ….estimare și evaluare a riscurilor.

…..și practică

Din ghidul EDPB rezultă că avem 2 categorii de indicatori: pentru a demonstra conformitatea și pentru a demonstra eficiența măsurilor de protecție implementate.

Cum fac eu? „Regrupez„ secțiunile din GDPR pentru a avea „domeniile pe care le monitorizez„ (ordinea de mai jos nu respectă „firul„ GDPR….)

  • Guvernare și management
  • Politici de confidențialitate, standarde și proceduri (măsuri administrative)
  • Cereri din partea persoanei vizate
  • Arhitectura „implicită și din momentul creării„
  • Managementul riscurilor
  • Managementul încălcării măsurilor de protecție
  • Persoane împuternicite și terți
  • Transferuri de date
  • Plîngeri/notificări ANSPDCP
  • Instruire și conștientizare
  • Tehnologii (măsuri tehnice)
  • …..

Doar cîteva exemple:

  • Numărul de procese economice pentru care nu există o evaluare a riscurilor (security&privacy) (Explicație: abordarea în GDPR este de tip „risk based„. Măsurile de protecție trebuie să pornească de la riscurile la adresa drepturilor și libertăților persoanei vizate)
  • Numărul riscurilor de confidențialitate care nu au fost eliminate/reduse/transferate după perioada de timp alocată (Explicație: înseamnă că procesul este doar formal, nu își atinge obiectivul)
  • Numărul de incidente (încălcări ale măsurilor de securitate) urmărite după sursă: unitate organizatorică/proiect (Explicație: scopul este să elimin repetarea situației)
  • Timpul mediu de identificare a unui incident; (Explicație: mă încadrez în cerințele Regulamentului)
  • Timpul mediu de răspuns la un incident; (Idem ca mai sus)
  • Timpul mediu de răspuns la o cerere a persoanei vizate (Ibidem)
  • Numărul de incidente per serviciu/funcție/aplicație (Explicație: care sînt zonele pe care trebuie să le protejez mai bine)
  • Numărul de incidente per locație geografică (Idem ca mai sus)
  • …..

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google

Comentezi folosind contul tău Google. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.