Man kann mit Sicherheit sagen, dass Sie in Ihrer Rolle als Datenbankadministrator immer dazulernen. Sie haben sicherlich viel zu tun, wenn es um die Überwachung von SQL-Servern geht, aber jetzt müssen Sie sich auch um die Datenschutz-Grundverordnung (DSGVO) kümmern.
Es ist für Ihr Unternehmen und seine Datenbanken von entscheidender Bedeutung, alles über die DSGVO-Compliance zu erfahren. Vollgestopft mit Juristensprache macht die DSGVO eines deutlich:dass Sie als DBA für den Zugriff auf und den Schutz aller Informationen verantwortlich sind, ob vor Ort in Ihrem eigenen Rechenzentrum oder innerhalb Ihrer Cloud-Dienste. Schauen wir uns das genauer an.
Was ist die DSGVO?
Die DSGVO ist ein europäisches Datenschutzgesetz, das am 25. Mai 2018 in Kraft getreten ist. Ihr grundlegender Zweck ist der Schutz der Persönlichkeitsrechte von Einzelpersonen und die Festlegung globaler Datenschutzanforderungen für die Verwaltung und den Schutz personenbezogener Daten.
Obwohl es sich um ein Gesetz zum Schutz der Bürger der Europäischen Union handelt, muss jedes Unternehmen, das einen EU-Bürger in seiner Datenbank hat, die Anforderungen der DSGVO erfüllen. Zu den personenbezogenen Daten gehören Geburtsdaten, Kreditkartendaten, E-Mail-Adressen, IP-Adressen, Fotos, nationale Identifikationsnummern und mehr.
Als DBA müssen Sie nicht nur sicherstellen, dass personenbezogene Daten vor unrechtmäßigem Zugriff geschützt sind, sondern auch, dass ein Benutzer auf seine personenbezogenen Daten zugreifen und eine Kopie davon erhalten kann.
Die Nichteinhaltung der DSGVO-Vorschriften hat schwerwiegende Konsequenzen; Unternehmen werden mit einer Geldstrafe von bis zu 4 % ihres weltweiten Umsatzes oder bis zu 20 Millionen Pfund belegt, was es für Unternehmen unerlässlich macht, sofort Maßnahmen zu ergreifen und die Anforderungen der DSGVO vollständig einzuhalten, wenn sie in vollem Umfang in Kraft treten.
Also, was kommt als nächstes für die SQL-Server-Überwachung?
Jetzt, da die Frist am 25. Mai abgelaufen ist, haben Sie hoffentlich eine Risikobewertung abgeschlossen. Beziehen sich beispielsweise die von Ihnen gespeicherten Informationen auf Unternehmen und Einzelpersonen in der EU oder werden dies in Zukunft der Fall sein?
Wenn die Antwort ja lautet, müssen Sie eine Reihe von Fragen berücksichtigen, darunter, wo Sie persönliche Informationen speichern, wofür die Informationen verwendet werden, ob Sie den Benutzern klar machen, dass Sie die Informationen speichern, wie lange Sie sie aufbewahren , wer Zugriff darauf hat usw.
Idealerweise könnten Sie einfach alle Daten auf Ihrem SQL-Server durchsuchen, um nach Spaltennamen wie „SSN“ oder „Geburtsdatum“ zu suchen, aber Spalten sind oft mit obskuren, kryptischen Namen gekennzeichnet. Das bedeutet, dass Sie möglicherweise Zeit damit verbringen müssen, jede einzelne Tabelle manuell zu untersuchen. Auch die Feststellung, wer Zugriff auf die Daten hat, kann schwierig sein.
Wenn Sie eine allgemeine Bewertung der DSGVO-Bereitschaft Ihres Unternehmens wünschen, kann diese Umfrage hilfreich sein.
Den (Berg von) Informationen sichten
Leider erfordert es Stunden des Lesens und Recherchierens, alles zu lernen, was es über die Einhaltung der DSGVO zu wissen gibt. Es gibt 99 Artikel und 11 Kapitel auf der DSGVO-Informationswebsite, die Sie Tage brauchen können, um sie vollständig zu recherchieren.
Trotzdem sind hier einige Artikel, die Sie als DBA in Bezug auf die Überwachung von SQL-Servern am meisten betreffen könnten:
Artikel 25
Artikel 25 befasst sich mit Datenschutz durch Design und Voreinstellungen, d. h. zu kontrollieren, wer Zugriff auf personenbezogene Daten hat und wie die Informationen gespeichert, verarbeitet und abgerufen werden.
- Datenschutz durch Design bedeutet, dass geeignete organisatorische und technische Maßnahmen zur Gewährleistung der Sicherheit und des Datenschutzes personenbezogener Daten in den gesamten Lebenszyklus der Produkte, Dienstleistungen, Anwendungen sowie geschäftlichen und technischen Aspekte einer Organisation eingebettet sind Verfahren. Technische Maßnahmen können Pseudonymisierung und Datenminimierung beinhalten, sind aber nicht darauf beschränkt.
- Datenschutz standardmäßig bedeutet, dass (a) nur notwendige personenbezogene Daten erhoben, gespeichert oder verarbeitet werden und (b) personenbezogene Daten nicht einer unbegrenzten Anzahl von Personen zugänglich sind.
Artikel 25 legt außerdem fest, dass eine genehmigte Zertifizierung gemäß Artikel 42 verwendet werden kann, um die Einhaltung der Anforderungen zum Datenschutz durch Technikgestaltung und zum Datenschutz durch Voreinstellungen nachzuweisen.
Artikel 30
Dieser Artikel befasst sich mit der ordnungsgemäßen Prüfung aller Aufzeichnungen und personenbezogenen Daten. Aufgrund der breiten Anwendbarkeit des Artikels dürften die Anforderungen für Artikel 30 für die meisten Unternehmen gelten. Unternehmen, die sich auf die Einhaltung von Artikel 30 vorbereiten, sollten prüfen, wie sich Daten durch jeden ihrer Geschäftsprozesse bewegen, und nicht nur, wo sich die Daten befinden. Mit anderen Worten:„Folgen Sie den Daten.“
Artikel 30 verlangt von Unternehmen, „Verzeichnisse der Verarbeitungstätigkeiten“ zu erstellen, anhand derer die Aufsichtsbehörden sehen können, dass Unternehmen die DSGVO einhalten.
Artikel 32
Artikel 32 enthält die Anforderung, dass Daten verschlüsselt werden. DBAs müssen technische und organisatorische Maßnahmen ergreifen, die ein Datensicherheitsniveau gewährleisten, das dem Risikoniveau bei der Verarbeitung personenbezogener Daten angemessen ist.
Datensicherheitsmaßnahmen sollten mindestens Folgendes ermöglichen:
- Pseudonymisierung oder Verschlüsselung personenbezogener Daten.
- Aufrechterhaltung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit, des Zugriffs und der Belastbarkeit von Verarbeitungssystemen und -diensten.
- Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten im Falle einer physischen oder technischen Sicherheitsverletzung.
- Prüfung und Bewertung der Wirksamkeit von technischen und organisatorischen Maßnahmen.
Artikel 35
Dieser Artikel skizziert die ordnungsgemäße Dokumentation aller Datenschutzmethoden sowie deren Notwendigkeit und Auswirkungen. Alle Organisationen müssen ihr Risiko analysieren und ihre Einhaltung der DSGVO nachweisen.
Es sieht vor, dass eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden sollte, wenn die Verarbeitung von Daten voraussichtlich ein hohes Risiko mit sich bringt. Eine DSFA ist eine Übung, die es einem Unternehmen ermöglicht, das Risiko zu untersuchen, das mit der Verarbeitung von Daten verbunden sein kann, und eine Möglichkeit, seine Verfahren im Hinblick auf die Einhaltung der DSGVO zu überprüfen.
Der Artikel fordert auch die Aufsichtsbehörden auf, ihre eigenen Listen von Datenverarbeitungsaktivitäten zu erstellen und zu veröffentlichen, für die DPIAs erforderlich sind.
Die Vorbereitung auf die Einhaltung der DSGVO ist keine leichte Aufgabe. Wenn Sie dies noch nicht getan haben, nutzen Sie alle verfügbaren Informationen und Forschungsergebnisse, um so schnell wie möglich konform zu werden.
Ergreifen Sie weitere Maßnahmen, um Ihre SQL Server-Überwachung zu verbessern. Beginnen Sie mit unserem kostenlosen Leitfaden, Ihre Datenbanken zukunftssicher zu machen.