Data / Information Governance

Le conseil d'administration de chaque organisation est directement responsable de la conformité avec les lois et règlements relatifs à la sécurité des données, à la conservation des données et à la gestion des enregistrements.

Les sanctions en cas de non-respect de ces réglementations sont sévères, allant de l'atteinte à la réputation, au prix des actions en passant par les poursuites pénales, les amendes et la désertion de clients.

Partout dans le monde, la législation sur la protection des données et la vie privée est de plus en plus importante et de plus en plus onéreuse. Cette page vous donnera une introduction rapide au défi de la protection des données auquel vous êtes confronté.

Gouvernance de l'information dans le secteur public britannique

Le secteur public britannique est soumis à un éventail croissant de défis en matière de gouvernance de l'information. L'un des principaux défis consiste à gérer le chevauchement entre la loi sur la protection des données (DPA) et la loi sur la liberté de l'information (FOI).

Lisez le document Protection des données par rapport à la liberté de l'information pour obtenir des conseils pratiques et pratiques pour résoudre ces problèmes.

D'autres ressources utiles comprennent:

• The Information Governance Toolkit: Data Protection, Caldicott, Confidentiality
• Data Protection Compliance in the UK
• ISO27799 – Health Infomatics & Information Security in the Health Sector

Data Protection

Partout dans le monde, la législation sur la protection des données et la vie privée est de plus en plus importante et de plus en plus onéreuse. De nouvelles lois dans ce domaine émergent également régulièrement. Bon nombre de ces lois se chevauchent ou se contredisent, et très peu ont des directives détaillées de mise en œuvre de la réglementation ou une jurisprudence significative.
Existing legislation includes HIPAA, GLBA, SB 1386, OPPA , the Fair Credit Reporting Act (FCRA) in the US, Canada’s PIPEDA, the EU’s Data Protection Directive (implemented slightly differently in each EU country) and the EU Safe Harbor regulations (which enable US companies to escape prosecution under EU regulations), as well as UK legislation such as the Human Rights Act, the Regulation of Investigatory Powers Act and various telecommunications, distance selling and anti-spam measures. These all combine to make a significant compliance challenge for all organisations.

Very specific guidance exists for the UK’s Data Protection Act (DPA). All UK organisations must comply with the DPA and all public sector ones with the FOIA.

La mise en œuvre et le maintien d'un système de gestion de la sécurité de l'information certifié ISO27001 est le moyen évident de se conformer à la DPA, en particulier au 7e principe, qui oblige les organisations à prendre les mesures techniques et organisationnelles appropriées pour sécuriser les données personnelles.

Au Royaume-Uni, les organisations du secteur public doivent également se conformer à la Freedom of Information Act (FOIA).

International compliance

Il n'est pas facile pour les entreprises nord-américaines et internationales d'identifier les étapes qui pourraient les aider à respecter ce large éventail d'exigences de conformité.

C'est là que l'ISO / CEI 27002 peut être particulièrement utile. Il contient les meilleures pratiques internationales en matière de sécurité de l'information, et les concepts de confidentialité, d'intégrité et de disponibilité des données, qui sont au cœur de la norme ISO27002, sont également contenus dans la plupart des réglementations relatives à l'information.

Litigation

In today’s increasingly litigious world, preparedness for litigation is a sensible way to manage a basic business risk. Electronic documents (which include all emails) are always critical to any court case, and organisations need to take appropriate action to ensure that they can comply with court requirements for the production of evidence.

Best practice in this field is contained in BIP 008, the “Code of Practice for Legal Admissibility and Evidential Weight of Information Stored Electronically”.

Email, Information and Records Management

Le courrier électronique est essentiel à la communication organisationnelle. Il existe des coûts et des risques potentiellement importants associés à l'utilisation professionnelle du courrier électronique, y compris les risques opérationnels, réglementaires et de litige.

Ces risques changent et évoluent, et les organisations devraient utiliser des cadres de meilleures pratiques pour guider leur réponse à ces risques. Les organisations ont besoin de solutions de gestion, de rétention, de maintenance et d'archivage des e-mails de bout en bout qui leur permettront de répondre simultanément aux exigences commerciales et réglementaires actuelles et émergentes.

Les solutions de messagerie doivent fusionner avec les solutions de gestion des informations et des enregistrements. Outre les directives générales sur la sécurité de l'information de l'ISO27002, les organisations peuvent se tourner vers le cadre de gestion des enregistrements des meilleures pratiques contenu dans l'ISO15489.

A more detailed specification for electronic records management is contained in Model Requirements for Management of Electronic Records (“MoReq”).

Data Retention Periods

Les périodes de conservation des données sont un domaine auquel la plupart des entreprises n'accordent pas suffisamment d'attention.

Le fait est que pour la plupart des entreprises, il existe une myriade de lois et de réglementations qui déterminent la durée de conservation des données, y compris les informations de courrier électronique et de messagerie instantanée.

Bien sûr, tout ce domaine se complique de plus en plus si l'on considère que certains e-mails peuvent contenir des informations financières ou personnelles et doivent donc être conservés pendant des périodes différentes de celles des e-mails ordinaires.