当我开始研究如何建立一个对隐私真正有意义的第三方风险计划时,我以为一定已经存在某些东西——一份指南、一个框架、一些实用的东西。
但并没有。
我找到的大多数内容都偏重资安——认证、技术检查清单或合约。隐私如果有出现,通常被埋在底部,只有一行问题: 「是否涉及个人识别资讯或受保护健康资讯?」 如果答案是否定的,审查就继续进行。
问题是——即使是隐私律师在回答这个问题之前也必须停顿一下。定义各不相同,情境很重要。那么没有隐私背景的员工如何能正确回答?他们被迫对即使专家也争论的事情做出判断。
有时甚至有人会尝试将资料保护影响评估(DPIA)转变为供应商评估表——这听起来有效率,但会产生自己的一系列问题。我会在下一篇文章中详细说明。
隐私风险绝对不是您可以在最后挤进去的东西。而大多数第三方风险管理计划并非为处理它而建立。
许多公司依赖SOC 2报告或渗透测试报告,并认为这就足够了。如果供应商说「我们合规」,对话就继续进行。 但这些相同的供应商正在收集个人资料、进行国际传输、引入次处理者,并以并非总是披露的方式使用资料。 而且没有人真正在问隐私问题。不够早、不够清楚、也不够一致。 这就是我一直遇到的差距——也是我开始写作的原因。 它不是适合资安或法务部门的东西。它是独立的。而且它触及的范围远比人们想像的要广。 它改变了您如何界定供应商范围、您问他们什么、何时介入,以及如果出了问题您实际上可以执行什么。 但在大多数组织中,隐私团队被引入得太晚——或根本没有被引入。到那时,供应商已经签约。或上线。或两者都有。 我正在撰写一本关于建立以隐私为先的第三方风险计划的书——一些真正反映隐私在现实世界中如何运作的东西,而不仅仅是它在纸面上应该如何运作。 这本书仍在进行中。但在我写作的同时,我正在整理一个基于团队正在做出的真实决策的框架——以及当涉及供应商和资料时真正重要的问题。 我也在考虑建立一些工具和范本来配合它——一些我在试图把这一切拼凑在一起时希望拥有的东西。 如果您想看到这个,请在评论中告诉我。我仍在弄清楚什么最有用。 隐私风险不能在最后钉上去。它必须成为供应商关系从一开始建立方式的一部分——不仅在评估中,在合约中也是如此。 重要的是及早评估这些风险,并与审查合约的商业法务团队密切合作。这就是确保适当保护措施到位的方式。问题出在哪里
隐私风险不仅仅是勾选项目
我正在做的事