Übernehmen Sie mit Thirdera und ServiceNow die Kontrolle über Ihre Datenschutzeinstellungen

CCPA, GDPR, VCDPA, FCRA, FERPA, die Liste lässt sich beliebig fortsetzen. Und nein, dabei handelt es sich nicht nur um die jüngsten coolen Internet-Abkürzungen (YOLO). Dies ist nur ein Auszug aus der ständig wachsenden Liste der Datenschutzbestimmungen, mit denen man sich in der heutigen Welt auseinandersetzen muss. Sie kennen vermutlich die langen Datenschutzvereinbarungen, die man einfach überspringt, wenn man ein neues Produkt oder eine Dienstleistung in Anspruch nimmt. Doch mit steigender Anzahl an Daten, die wir auf unseren Geräten und in unseren Diensten teilen, wächst auch die Liste der Vorschriften. Damit einhergehend sind auch neue Forderungen im Privatbereich, und diese Kombination an Ressourcenbedarf und steigender Regulierung belastet die Teams, die sich mit den vorhandenen Datenschutzrichtlinien befassen. Zum Glück hat der selbe technologische Fortschritt, der zum Anwachsen der Vorschriften geführt hat, auch zu technologischen Verbesserungen geführt, die sich Mitarbeiter im Bereich Datenschutzes zu Nutze machen können. Eine dieser Technologien ist ServiceNow.

Die ServiceNow-Plattform, die sich im ITSM-Bereich bereits einen Namen gemacht hat, verfügt über eine sich ständig erweiternde Reihe an Produkten, die von Unternehmen genutzt werden können, um den Anforderungen einer Reihe von Branchen nachzukommen. Dazu gehören die Personalverwaltung, GRC, Sicherheit, Kundendienst, Datenschutz und vieles mehr. Die Zentralisierung unterschiedlicher Aufgaben und Geschäftsprozesse in einem Tool sorgt für mehr Leistung (und Wert); und mit dem richtigen Sicherheitsberater, können Datenschutzteams diese Leistung nutzen, um gegen die wachsende Anzahl von Herausforderungen in ihrer Branche vorzugehen.

Die Bedeutung der Verfolgung personenbezogener Informationen

Eine wichtige Herausforderung für Datenschutzbeauftragte ist die Verfolgung von personenbezogenen Informationen (Personally Identifiable Information – PII) im gesamten Unternehmen. Es ist äußert wichtig, sich klar zu machen,. Welche Systeme PII-Daten ver- und bearbeiten und um welche Elemente der PII es geht, um festzulegen, welche Maßnahmen ergriffen werden müssen, damit diese Systeme auch weiterhin den Richtlinien entsprechen. Und während isolierte Datenschutz-Tools mit Sicherheit bei der Verwaltung des Repository dienen können, kombiniert ServiceNow diese Repository-Funktionen mit anderen weit verbreiteten und wertvollen Aspekten der Plattform – Asset Management (ITAM), Business Management (ITBM) und Service Management (ITSM). Im Kern dieser Plattformdienste liegt die CMDB (Configuration Management Database), welche als zentrales Repository von Dingen wie Hardware, Software, Geschäftsdienste und den entsprechenden Beziehungen zwischen diesen Elementen dient. Die Speicherung dieser Daten an einem zentralen Ort ermöglicht Dinge wie die Zuweisung von Tickets im Service Management für vorhandene Hard- oder Software, oder Klarheit darüber zu schaffen, wie Ausfälle eines bestimmten Elements oder Dienstes die nachgelagerten Geschäftsprozesse beeinträchtigen kann. Aus Datenschutzsicht würde das selbe CMDB das Mapping dieser PII-Ziele für die einzelnen Elemente des Unternehmens ermöglichen, einschließlich der Hard- und Software, den Diensten, Verfahren und so weiter. Daher kann das Unternehmen bei jedem überwachten Element alle dazugehörigen PII-Elemente abrufen, die damit in Verbindung stehen, sowie alle Upstream- und Downstream-Verbindungen und die entsprechenden PII-Elemente. Datenschutzverantwortliche müssten sich dann nicht mehr um das eigentliche Repository der Elemente kümmern, sondern könnten sich stattdessen auf die Nutzung des vorhandenen Repositories konzentrieren, um ihre PII zu verwalten. Wir könnten auf der selben Plattform sogar noch einen Schritt weitergehen und die Einhaltung der Kontrollen mit denen der Assets vergleichen, oder PIAs (Privace Impact Asseessments) dafür verschicken. Aber darüber werde ich das nächste Mal mehr erzählen.Beispiel für einen Geschäftsanwendungsdatensatz in ServiceNow, der eine Anwendung zeigt, die PII verbraucht. Beachten Sie die Informationsziele (Elemente der PII), die sich im unteren Abschnitt unter „Dazugehörige Elemente“ befindenm.

Wir sollten das Personalwesen ernst nehmen

Das PII-Tracking ist zwar eine tolle Funktion der ServiceNow-Plattform, jedoch lange nicht die einzige Funktion von ServiceNow für Datenschutz-Teams. Datenschutz-Teams müssen nicht nur wissen, welche System personenbezogene Daten verarbeiten, sondern stehen auch vor der Aufgabe, sicherzustellen, dass Prozesse im Unternehmen regelkonform ablaufen, die tatsächlich PII verwenden. Wie wir bereits erwähnt haben, müssen Datenschutz-Teams mit steigender Anzahl und Breite der Vorschriften und immer strengeren Bedingungen in diesem Bereich sicherstellen, dass ihr Unternehmen in keinem Bereich den Anschluss verliert. Ein solcher Sektor, der beim Umgang mit PII oft übersehen wird, ist die Personalabteilung. Mitarbeiter- und Bewerberdaten enthalten auch PII, und Personalabteilungen (die meist vollkommen ausgelastet sind) sind sich oft nicht vollständig darüber im Klaren über all die Dinge, die erledigt werden müssen, um sicherzustellen, dass die gesetzlichen Vorschriften beim Umgang mit diesen Daten eingehalten werden.

Zum Glück kann die ServiceNow-Plattform auch hier helfen. Durch die stabilen Funktionen im Management Space der Personalabteilung (HR), hat ServiceNow gezielte Workflows eingeführt, mit denen viele häufige Personalaufgaben unterstützt werden können. Während die Personalanwendung eine Menge für das Unternehmen in mehreren Phasen der Personalverwaltung erledigen kann (beispielsweise Einstellung, Kommunikation und Offboarding) hilft es Datenschutzteams vor allem in der organisierten Erfassung der Personalinformationen.

Um die Aspekte der Personalfunktionen zu unterstützen, und bezüglich der Erfassung von Informationen neuer Mitarbeitern (was wie gesagt bereits PII ist), führt ServiceNow nun ein HR Service Portal für Unternehmen ein. Neben einigen tollen Funktionen wie die Speicherung von Personalakten, der Möglichkeit, Personalfragen zu finden oder zu stellen, oder die Fähigkeit, sich mit der Personalabteilung in Verbindung zu setzen, dienst das HR Service-Portal als zentrale, besser strukturierte und organisierte Anlaufstelle zur Erfassung von Informationen über unsere neuen Mitarbeiter. Wir benötigen keine Papierkopien und E-Mails mit wichtigen Formularen, die in PI geladen werden. Stattdessen können Nutzer Formulare und Informationen in diesem Portal einfach hoch- oder herunterladen oder direkt ausfüllen. Nutzer erhalten auf ähnliche Weise Zugang zu direkten Anfragen und Zurückverfolgungen für Personaldienste, beispielsweise Vorteile, Rückerstattungen oder Direktzahlungen. Weniger E-Mails und zentralere Prozesse bedeuten, dass wir Informationen besser vereinfachen und schützen können, die in diesen Prozessen übertragen werden. Mit ServiceNow HR erhalten Nutzer einfachere Funktionen für alle Personalfragen und das Datenschutzteam kann besser schlafen, wenn es weiß, dass das Unternehmen die Risiken im Zusammenhang mit dem Umgang der personenbezogenen Daten entschärft hat, die bei allen Neueinstellungen auftreten. – Jeder profitiert davon.

Neben den neuen Einstellungen, die vom Portal der Personalabteilung noch erleichtert werden, gibt es auch Vorteile, wenn man Personalprozesse und andere Daten, die in diesen Prozessen erfasst werden, in einer zentralen Plattform sammelt (und im Idealfall die selbe Plattform, auf der wir unsere Compliance-Aktivitäten durchführen).
Da die Daten nun in ServiceNow zentralisiert sind, können wir Metriken, Berichte und automatisches Tracking (wie ServiceNow Indicators) einrichten, um sicherzustellen, dass wir in allen Bereichen unseres Personalprogramms konform sind, bei denen es um die Verarbeitung personenbezogener Informationen geht.
Nehmen wir beispielsweise die Erfassung des Bewerbers oder der führenden Daten, die aus einer gewöhnlichen Stellenausschreibung stammen.
Viele wichtige Datenschutzbestimmungen, wie die DSGVO, haben Vorschriften darüber, was erfasst werden kann, wie lange Daten gespeichert werden dürfen und anderes.
Mit den in ServiceNow zentral abgelegten Daten können wir nun die Plattform nutzen, um Berichte zu erstellen, das Tracking zu automatisieren und sicherzustellen, dass wir alle Anforderungen einhalten und mit den Datenschutzvorschriften konform sind. Sollten wir aus irgendwelchen Gründen nicht konform mit den Vorschriften sein, kann uns die ServiceNow-Plattform darüber unterrichten oder sogar einen Bericht der Compliance-Mängel erstellen, die behoben werden müssen. Die Zentralisierung der Prozesse in ServiceNow kann zu messbaren Verbesserungen der Compliance führen und den manuellen Arbeitsaufwand senken, diese Ergebnisse zu verfolgen.

Example HR Portal Screenshot (Quelle: https://docs.servicenow.com/bundle/sandiego-employee-service-management/page/product/human-resources/concept/c_UseTheHRSMPortal.html)

Kundendaten mit CSM verbessern

Wir sind zur Überzeugung gekommen, dass ServiceNow uns mit dem Repository der personenbezogenen Informationen sowie bei der Einhaltung der PII-Vorschriften bei der Einstellung. ServiceNow kann uns aber auch bei der Erfassung einiger PII-Daten helfen, die von Kunden stammen. Diese Hilfe wird über die ServiceNow-Anwendung Customer Service Management (CSM) und das Portal unterstützt. Während die Kernfunktionen der CSM-Anwendungen darin bestehen, die Workflows des Kundendienstes zu automatisieren und es Kunden zu ermöglichen, Anfragen an das Unternehmen zu stellen (was beides sehr wertvolle Funktionen sind), kann die Anwendung auch genutzt werden, damit Kunden die benötigten Informationen einfach eintragen können. Diese Funktion kann die manuelle Arbeitsbelastung bei der Informationserfassung zu senken, und dadurch viele der Probleme beheben, die bei manueller oder schlechter Datenerfassung auftreten. Ein Beispiel dafür sind isolierte Daten. Bei der Erfassung von Kundendaten können isolierte Daten offen liegen, und es kann im schlimmsten Fall sogar zu Datenverstößen mit kurzen Reaktionszeiten führen.
Wenn wir Daten in der ServiceNow-Plattform zentralisieren, können wir die Anzahl der Anwendungen senken, die wir benötigen, um potentielle Schwachstellen zu vermeiden. Wenn die Kunden Daten direkt über die CSM-Anwendung in die Plattform eingeben, können wir einen Schritt weitergehen und den Mittelmann oder die zuvor erwähnte manuelle Eingabe und Erfassung beseitigen. In diesem Sinne können wir, sobald diese Daten nicht mehr isoliert sind, die Funktionen der Basisplattform von ServiceNow nutzen, um andere häufige Probleme mit der Datenerfassung zu lösen, beispielsweise schwache Passwörter oder zu offener Zugang (indem wir die Passwort-Richtlinien einstellen und die Rollen verwalten). Schließlich sollten wir daran denken, dass wir die erfassten Daten mit der Anwendung abgleichen können, die sie dann verarbeitet, so dass unsere Datenschutzteams dann die entsprechenden Kontrollen für relevanten Anwendungen und Dienste beurteilen können.

Abschließende Worte

Hoffentlich konnten wir Ihnen zeigen, wie ServiceNow sich um einige der wichtigsten Bereiche für Datenschutzbeauftragte kümmert. Die Verwaltung des Daten-Repositoriums, die Personalressourcen und die Kundendienstdaten sind alle wichtige Probleme, bei denen die ServiceNow-Plattform helfen kann. Auch wenn dies einige hervorragende Funktionen sind, ist das lange noch nicht alles, was ServiceNow anzubieten hat. Mit branchenführenden Anwendungen in IRM (Compliance, Risiko, Audits, Datenschutz und vieles mehr) und im Bereich Sicherheitsbetrieb (Schwachstellenreaktion, Reaktion auf Sicherheitsvorfälle und anderes), kann sich ServiceNow in der Tat um sämtliche Ihrer Datenschutz- und Compliance-Anforderungen kümmern. Es ist von hohem Wert, isolierte Daten aufzulösen und Prozesse auf einer Plattform zu standardisieren, und ServiceNow ist eine hervorragende Wahl, um diese Werte zu realisieren. Obwohl die Anzahl der Vorschriften und Herausforderungen beim Datenschutz steigen, gibt es glücklicherweise Technologie, die dem entgegenwirkt.

Bleiben Sie über zusätzliches Material auf dem Laufenden, Twie es mit Thirdera und ServiceNow für Sie leichter wird, sich an diese Vorschriften zu halten. In der Zwischenzeit können Sie sich mit einem unserer ServiceNow-Experten darüber unterhalten, wie Sie Ihre Datenschutz-Managementziele erreichen können.