Die 5 POINT AG als Hersteller und Betreiber von projectfacts geht konform zu neuen Datenschutzregeln die in unserer neuen Datenschutzerklärung auf unserer Homepage beschrieben werden.
Wir werden mit allen projectfacts-Kunden neue Verträge zur Auftragsverarbeitung abschließen, welche die neuen DSGVO Anforderungen berücksichtigen.
Wir bieten zukünftig im Rahmen unserer beliebten Empower-Workshops auch das Thema Sicherheitsaspekte und die Überprüfung der projectfacts-Konfiguration zur Berücksichtigung des Datenschutzes gemäß DSGVO“ an.
Vorhandener Datenschutz vor der DSGVO
Projectfacts verfügt auch vor Einführung der DSGVO bereits über umfangreiche Schutzmaßnahmen um neben den personenbezogenen Daten generell alle Daten zu schützen:
• Generelles gruppenbasiertes Berechtigungssystem
• Detailliertes Berechtigungssystem von Datenelementen
• Berechtigungssystem auf der Basis von Organisationen und zugehörigen Kontakten
• Löschmöglichkeiten von Kontakten und einzelnen Datensätzen.
• Verteilung von Betriebsvereinbarungen für Mitarbeiter mit Speicherung der Kenntnisnahme z.B. zur regelmäßigen Datenschutz-Sensibilisierung Ihrer Kollegen
• Passwort-Regeln
• IP-Schutz, um Zugang nur von bestimmte Orten zu erlauben
• Verschlüsselung der Datenübertragung
• SMS Login
• Einmalpasswörter
• Tägliche Backups auf unseren Servern
• ISO 27001 zertifiziertes Rechenzentrum
Neuerungen zum Datenschutz zur Unterstützung der DSGVO
Das nächste Update von projectfacts wird einige Änderungen enthalten, welche Sie bei der Umsetzung Ihrer eigenen Datenschutzmaßnahmen maßgeblich unterstützen können:
• Bericht über gespeicherte Kontaktdaten
• Die Möglichkeit des Veröffentlichen bzw. Passivieren von privaten Adressfeldern und des Geburtstagsdatums durch den Benutzer
• Vergessen, d.h. Löschen von personenbezogenen Daten und optionales anonymisieren der Namen
• Löschklassifizierung von Kontaktdaten gemäß Verfahrensregister (z.B. Bewerber, Vertriebskontakt, Geschäftskontakt)
• Vergessenszeiträume gemäß Kontaktklassifizierung nach Verfahrensregister (z.B. 3 Monate nach letzter Aktion bei Bewerbern)
• Filter- und Löschmöglichkeit gemäß Löschzeiträumen
• Dateien erhalten eine Sicherheitskennzeichnung, so dass Sie nicht mehr manuell geändert werden können.
• Bei Organisationen wird es ein neues Dateifeld für den AV-Vertrag geben.
• Datenschutzstufen und Datenschutzstufenberechtigungen als zusätzliches übergeordnetes Berechtigungssystem und zur Nutzung zur Risikofolgeabschätzung.
• Zukünftige Urlaube und Krankheiten können als Abwesenheit angezeigt werden
• Einstellbares Aufbewahrung und Zugriff auf die Systemlogs in Tagen
• Standardberechtigung (Privat) von neuen Dateien die nicht direkt an einem Element mit Berechtigungen hängen.
• Neues Recht um auf archivierte Daten zuzugreifen
Das nächste Update ist für den 15. Mai geplant.
Tipps im Umgang mit projectfacts
• Berechtigungen prüfen und auf minimale Berechtigung anpassen.
• Schutzstufen in der Konfiguration einrichten.
• Sensible Daten mit der entsprechenden Schutzstufe einstellen.
• Benutzer mit der zulässigen Schutzstufe klassifizieren.
• Kontakttypen mit Löschregeln in der Konfiguration einrichten.
• Kontakte den entsprechenden Kontakttypen zuordnen.
• Passwortsicherheit prüfen und ggfls. auf hoch einstellen.
• Bei selbst betriebenen Servern regelmäßig Backups testen und Patches einspielen.
• Bei öffentlich erreichbaren Servern Autologin ausschalten.
• Mitarbeiter auf Gerätesicherheit und die Möglichkeit über die projectfacts-Oberfläche Autologin-Cookies bei verschiedenen Rechnern auszuschalten, hinweisen.
• Mitarbeiter-Wechsel prüfen. Bei wem aktiv und wer braucht es?
• Layout für Auskunftsbericht erstellen.
• Alte und nicht mehr benötigte Daten löschen.
• Verzeichnisberechtigungen in der Dateiablage überprüfen.
• Berechtigung für archivierte Projektdaten überprüfen.
Im Zweifel einfach nachfragen und mit einem unserer Berater und Sicherheitsexperten einen 1 tägigen Workshop inklusive Audit durchführen.
Anhang
Löschregeln für personenbezogene Daten
Es ist möglich sogenannte Kontaktklassifikationen zu definieren und damit Kontakte einzustufen. In den Klassifikationen können Löschregeln definiert werden. Eine Löschregel besagt nach wie vielen Tagen ohne Aktion eine Löschung vorgesehen ist. So könnten Sie z.B. die Klassifikation „Bewerber“ erstellen und dort eintragen, dass nach 8 Wochen ohne Aktion (Telefonat, Email oder sonstiger Vorgang) diese Daten zum Löschen vorgesehen werden. In der Administration können die zum Löschen vorgesehenen Datenelemente aufgelistet werden. Der Löschvorgang ist anschließend manuell vorzunehmen.
Schutzstufen und Datenschutzfolgenabschätzung (DSFA) – Risikomatrix
In projectfacts können Daten sogenannten Schutzstufen zugeordnet werden. Das erleichtert die zukünftig erforderliche Datenschutzfolgeabschätzung, da es damit möglich wird grundsätzlich zu erkennen, welche Daten aus welcher Datenschutzstufe denn überhaupt vorhanden sind. Wenn sie keine Daten der höchsten Schutzstufe haben, ist auch das Risiko eines Missbrauchs in dieser Stufe nicht vorhanden.
Es gibt verschiedene öffentlich zugängliche Schutzstufenkonzepte. Hier kommen drei als Beispiele:
• Schutzstufenkonzept LfD Niedersachsen,
• Schutzstufenkonzept unabhängiges Datenschutzzentrum Saarland
• Standard Datenschutzmodell (SDM)
Diese Modelle haben gemeinsam, dass die Stufen aufeinander aufbauen. In projectfacts ist es möglich Benutzern grundsätzliche Schutzstufenberechtigungen zu erteilen. Damit könnte man abbilden, dass Daten mit einer Schutzstufe 4 nur von Personen gesehen werden, die auch mindestens Schutzstufe 4 haben. Eine Berechtigung bis zur Stufe X beinhaltet also alle Daten welche einer geringeren Stufe zugeordnet wurden.
Darmstadt, 25.04.2018 Thorsten Lenk
Weitere Themen, die Sie interessieren könnten:
Hier können Sie bei Bedarf einen Testaccount anfordern: Test anfordern