Frage:
Was tun, wenn Sie in Ihrem Labor für den Datenschutz verantwortlich sind und Ratschläge ignoriert werden?
VoodooCode
2019-03-01 16:02:52 UTC
view on stackexchange narkive permalink

Ich arbeite in einem Labor, in dem wir Daten von Menschen untersuchen. Da wir die Auswirkungen verschiedener Krankheiten und die damit verbundenen Behandlungen untersuchen, sind die Daten hinsichtlich des Datenschutzes sehr sensibel.

Die meisten Labormitglieder arbeiten mit Windows 10, und ich soll zusätzliche Windows 10-PCs einrichten. Ich habe ernsthafte Bedenken, da Windows 10 dafür bekannt ist, viele Daten mit Microsoft zu teilen, z. Jede Datei, die sich auf einen Software-Absturz bezieht, kann an Microsoft gesendet werden oder nicht, wodurch unbeabsichtigt vertrauliche gesundheitsbezogene Informationen an Microsoft weitergegeben werden.

Wenn diese Themen erwähnt werden, werden sie normalerweise mit Argumenten wie "das interessiert niemanden" oder "das würde unsere Arbeit verlangsamen" beiseite geschoben. Im Allgemeinen besteht nur ein sehr geringes Interesse am Datenschutz und den damit verbundenen Risiken.

Ich weiß, dass das Risiko, dass ein Datenleck tatsächlich Auswirkungen hat, eher gering ist, aber ich möchte wissen, wie ich mich selbst sichern kann in dieser Situation. Sollten die Dinge aus irgendeinem Grund sauer werden, wäre ich gerne auf der sicheren Seite.

Ich bin in einer Doktorandenstelle, die tatsächlich für Forschungszwecke eingestellt wurde. Aufgrund meines Hintergrunds in der Informatik bin ich jedoch "offiziell" für alles verantwortlich, was in unserem Labor mit elektronischer Datenverarbeitung zu tun hat.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (https://chat.stackexchange.com/rooms/90587/discussion-on-question-by-voodoocode-what-to-do-when-being-responsible-for-data).
Elf antworten:
#1
+48
Bob Brown
2019-03-01 17:57:04 UTC
view on stackexchange narkive permalink

Es gibt eine Fülle von Dokumenten von Microsoft mit Hinweisen zur Einhaltung der DSGVO, z. B. " Windows und die DSGVO: Informationen für IT-Administratoren und Entscheidungsträger" ziemlich gründliche Erklärung, welche Daten wohin verschoben werden.

Laut dem Dokument selbst dauert das Lesen 17 Minuten. Ich denke, Sie werden sich danach besser fühlen.

Microsoft hat eine Menge Paranoia, von denen einige möglicherweise gerechtfertigt sind, aber die harte Tatsache ist, dass MS es sich nicht leisten kann, die DSGVO zu ignorieren oder in den USA HIPAA.

Ich habe die Antwort in Information Security SE gelesen und fand sie nicht hilfreich. Das Zitat von MS hat mit der Offenlegung von Daten zu tun, wie dies gesetzlich oder rechtlich vorgeschrieben ist.

@fqq Na klar.Deshalb habe ich den Link eingefügt, obwohl wir darum gebeten werden, dies nicht zu tun.Im Falle von Link Rot sollte der tatsächliche Titel das Dokument finden, wenn es überhaupt verfügbar ist.
@BobBrown Ich bin gespannt, woher Sie diese Idee "SE rät vom Posten von Links ab" haben?Ich habe das nur in Fällen gesehen, in denen eine Antwort * nur * ein Link oder eine Liste mit wenig Erklärung ist.
@BrianZ Nun, meine Antwort war ziemlich nah an nur einem Link.Ich glaube, dass die Kultur von Stack Exchange lautet: "Antworten, keine Links zu Antworten."Vielleicht irre ich mich
@BrianZ Links werden im Allgemeinen nicht empfohlen, da Links verschoben und somit bei älteren Antworten unterbrochen werden können.Die Aussage "Diese Website bietet gute Informationen zu diesem und jenem Thema" ist nicht hilfreich, wenn der Link in Zukunft unterbrochen wird (z. B. verschiebt Microsoft die Webseite auf "privat / gdpr-Anleitung").Es ist immer vorzuziehen, eine Zusammenfassung dessen, was der Link enthält, unter Verwendung eines Links als Referenz auf die Informationsquelle beizufügen.
Nein, Links sind in Ordnung.Das Problem ist, wenn der Link im Wesentlichen die gesamte Antwort ist.Sie haben ein bestimmtes Dokument erwähnt, daher sollten Sie darauf verlinken.Dieser Link wird irgendwann unterbrochen, aber Sie haben den vollständigen Titel angegeben, was es für jemanden einfacher machen sollte, den neuen Link zu finden.Ihre Antwort enthält genügend Informationen, sodass es sich nicht um eine reine Linkantwort handelt.(Und wenn dies nicht der Fall wäre, hätte es die Antwort nicht besser gemacht, nur zu sagen, dass Links entmutigt sind.)
@BobBrown Vielen Dank für den Link, ich werde ihn auf jeden Fall durchlesen!
@mascoj nein, Link- * nur * Antworten werden nicht empfohlen.Links zu weiterführenden Literatur oder unterstützendem Material werden empfohlen, aber die Antwort sollte ohne sie für sich allein stehen.
#2
+36
Erwan
2019-03-01 18:57:36 UTC
view on stackexchange narkive permalink

Bearbeiten: Ich denke, ich sollte etwas mehr Hintergrund hinzufügen. Ich bin in einer Doktorandenstelle, die tatsächlich für die Forschung eingestellt wurde. Aufgrund meines Hintergrunds in der Informatik bin ich jedoch "offiziell" für alles verantwortlich, was in unserem Labor mit elektronischer Datenverarbeitung zu tun hat.

Erstens denke ich, dass es in Ihrem Labor ein ernstes Managementproblem gibt: Es ist völlig unprofessionell, die Verantwortung für den Datenschutz einem Doktoranden zu überlassen. Als Doktorand könnten Sie sicherlich eine technische Beratungsfunktion haben, aber es muss ein ständiges Mitglied der Institution sein, das die offizielle Verantwortung trägt. Wenn ein Problem auftritt, muss jeder, der Sie damit beauftragt hat, erklären, warum er es für angemessen hielt. Die gute Nachricht für Sie ist, dass es sehr unwahrscheinlich ist, dass Sie ohnehin als rechtlich verantwortlich angesehen werden (üblicher Haftungsausschluss: IANAL).

Zweitens sind Kenntnisse in Informatik [bearbeitet] möglicherweise nützlich, reichen aber sicherlich nicht aus, wenn dies der Fall ist kommt zu den rechtlichen und ethischen Belangen des Datenschutzes, insbesondere bei sensiblen Daten über menschliche Subjekte. Selbst mit der besten Absicht haben Sie einfach nicht den rechtlichen Hintergrund. Wessen Job ist es dann? Es gibt verschiedene Möglichkeiten, wahrscheinlich nicht in Ihrem Labor, sondern auf der Ebene Ihrer Universität / Institution:

  • Die IT-Abteilung: Diese Fragen stellen Sie nach Software-Schwachstellen und Empfehlungen zum Datenschutz.
  • Die Ethikkommission: Sie können sie um Richtlinien bezüglich des angemessenen Schutzniveaus bitten, das für bestimmte Daten menschlicher Probanden erforderlich ist. Übrigens sollte jeder in Ihrem Labor, der mit dieser Art von Daten arbeitet, vor Beginn seines Projekts eine ethische Genehmigung erhalten.
  • Die Datenschutzbehörde oder, falls nicht, die Anwaltskanzlei: Sie können Sie und Ihre Kollegen darüber informieren ihre gesetzlichen Pflichten in Bezug auf die Daten der menschlichen Probanden.

Diese Abteilungen in Ihrer Institution haben die beruflichen Fähigkeiten und die rechtliche Verantwortung. Sie schützen sich, indem Sie sie um Rat fragen und ihm folgen: Wenn sie sagen, dass Windows 10 in Ordnung ist, sind Sie vom Haken. Wenn sie sagen, dass es nicht sicher ist, besteht Ihre einzige Aufgabe darin, Ihren Kollegen ihre Empfehlung zu übermitteln und zu erwähnen, woher sie kommt.

Zumindest in Großbritannien ist es sehr häufig, dass CS-Abschlüsse mindestens einen kurzen Vorlesungskurs mit dem Titel "Berufspraxis und Ethik" haben, der Themen wie Datenschutzgesetze abdeckt.(Dies ist meines Erachtens eine Voraussetzung für die Akkreditierung durch die British Computer Society.) Ein CS-Abschluss ist hier also tatsächlich etwas relevant.Aber ich stimme zu, dass es nicht genug ist und dass jeder, wie der Fragesteller, der sich in der realen Welt mit solchen Dingen befasst, eine spezielle Ausbildung benötigt.
@David Eine kurze Vorlesung kann zwar zur Bewusstseinsbildung beitragen, macht die Schüler jedoch nicht zu qualifizierten Experten.
"Student"?OP behauptet nicht, Student zu sein.
@EricTowers OP sagt, dass sie ein Doktorand sind.
Ich würde definitiv nicht sagen, dass der CS-Hintergrund fast irrelevant ist, obwohl Sie beabsichtigen, die Verantwortung oder die Erhebung von Entscheidungen auf legale / formelle Weise zu kennzeichnen.Da sensible Daten jedoch digital gespeichert werden, sollte CS (oder vertiefte Kenntnisse in Informationssystemen) * das Wissen vermitteln, um zusätzliche und wichtige Erkenntnisse über den Datenschutz zu gewinnen, die sich aus technischen Gründen ergeben, insbesondere an so vielen Arbeitsplätzen, an denen Ihre gegebenen alternativen Optionen fehlen.
@AndreFigueiredo richtig, "fast irrelevant" war zu stark, ich habe meine Antwort bearbeitet.Ich denke auch, dass die Existenz einer Forschungsethikkommission in akademischen Einrichtungen durchaus Standard ist.
@Erwan: Wo?Die Frage enthält weder das Wort "Student" noch eine äquivalente Konstruktion.Wenn Sie auf dieser Seite nach diesem Wort suchen, finden Sie es nur in Antworten und Kommentaren, nicht vom OP.
@EricTowers OP sagte "Ich bin in einer Doktorandenposition": Dies impliziert, dass OP einen akademischen Doktorandenberater hat und als Doktorand registriert ist.Ich stimme gerne zu, dass "Doktorand" ein irreführender Begriff ist, da eine Doktorandenstelle eher einem beruflichen Beruf als einem Studium ähnelt, aber es ist der übliche Begriff und das ist nicht der Punkt :)
@Erwan: Ich habe diesen Satz noch nie so gesehen.Ich habe es benutzt gesehen;In all diesen Fällen bedeutete dies "eine Stelle, für die ein Doktortitel erforderlich ist", was nicht mit einem Studenten vereinbar ist, der studiert, um einen Doktortitel zu erhalten.
@EricTowers Das ist interessant, Ihre Interpretation ist mir nicht eingefallen.Wahrscheinlich, weil ich in Frankreich promoviert habe, wo Doktoranden einen ordnungsgemäßen Arbeitsvertrag haben, sehe ich die Promotion selbst eher als eine Stelle.Anscheinend war meine Interpretation korrekt, da OP meine Antwort akzeptierte.
@Erwan Ich habe Ihre Antwort ausgewählt, da sie nicht nur meine Situation widerspiegelt (was erklärt, warum ich am Ende höchstwahrscheinlich rechtlich nicht verantwortlich bin), sondern auch eine Anleitung für mehrere Richtungen bietet, die ich aus meiner gegenwärtigen Situation heraus nehmen könnte und was könnte oder könntenicht aus der Einnahme entstehen (zB "wenn sie sagen, dass Windows 10 in Ordnung ist ...).
@VoodooCode danke für das Feedback.Habe ich aus Neugier zu Recht angenommen, dass Sie derzeit Doktorand sind?Eric und ich hatten unterschiedliche Interpretationen über "Doktoranden".
@Erwan Ja.Doktorand.
#3
+26
David Richerby
2019-03-01 19:24:17 UTC
view on stackexchange narkive permalink

Ihre Universität sollte über eine Art Datenschutzbüro verfügen. Sie müssen unbedingt mit ihnen sprechen. Gut gemeinte Ratschläge von Fremden im Internet sind großartig, um Ihnen eine Vorstellung von den Themen zu geben, aber es besteht eine potenzielle rechtliche Haftung für die Universität hier, und Sie müssen mit den Personen sprechen, deren Aufgabe es ist Verwalten Sie diese Probleme.

#4
+15
Mad Scientist
2019-03-01 17:27:44 UTC
view on stackexchange narkive permalink

Stellen Sie sicher, dass Ihr Rat tatsächlich auf soliden Fakten basiert, und überlegen Sie, auf welche Weise die Daten am wahrscheinlichsten auslaufen können. Finden Sie heraus, was Windows 10 Microsoft melden könnte und ob dies in Ihrem Fall ein echtes Problem ist.

Informieren Sie sich über die tatsächlichen Vorschriften und Gesetze in Ihrem Land und möglicherweise auch über die Universitätsregeln, falls vorhanden . In der Lage zu sein, auf bestimmte Vorschriften zu verweisen, ist für solche Argumente nützlich.

In einem typischen akademischen Umfeld haben Sie wahrscheinlich nicht die Mittel, um Dinge wirklich zu sperren. Ich würde mich auf die gefährlichsten und gebräuchlichsten Arten konzentrieren, wie die Computer kompromittiert werden könnten. Microsoft ist meiner Meinung nach weit am Ende dieser Sorgen. Ich würde mich hauptsächlich um die folgenden Fälle sorgen:

  • Personen, die die Daten mit nach Hause nehmen oder auf ihren privaten Computern
  • Computer, die durch Malware kompromittiert werden
  • Computer, Festplatten oder USB-Laufwerke, die gestohlen werden oder verloren gehen

Sie konzentrieren sich auf eine sehr entfernte und unwahrscheinliche Bedrohung, die es viel einfacher macht, Ihre Argumente zurückzuweisen. Konzentrieren Sie sich auf realistische und plausible Bedrohungen und seien Sie bereit, immer noch einen harten Kampf zu führen.

Genau.Unsere Schule ist sehr paranoid in Bezug auf Cloud-Dienste, aber das typischste Sicherheitsproblem sind Schüler, die Daten auf USB-Sticks herumtragen und viele von ihnen verlieren.Einige können auch Daten mit sich herumtragen und gelegentlich öffentliche Computer oder Computer anderer verwenden, wodurch versehentlich Datendateien herumliegen.
Diese.OP klingt für mich ein bisschen wie ein Linux-Fan, der nur vage FUD über Windows ausstößt.* "Windows ist dafür bekannt, viele Daten mit Microsoft zu teilen" * - Dies ist keine nützliche Aussage.Welche Daten werden wann und wie geteilt?Welche Kontrollen gibt es, um diese Berichterstattung einzuschränken oder einzuschränken, und wie können sie durchgesetzt werden?Ich würde wahrscheinlich sogar sagen, dass OP nicht nachgewiesen hat, dass sie qualifiziert sind, eine Stellungnahme zur Datensicherheit abzugeben.Wenn sie dafür verantwortlich sind, ist es am besten, diese Qualifikationslücke zu erkennen und sie entweder zu füllen oder jemanden zu finden, der besser geeignet ist.
#5
+14
Designerpot
2019-03-01 16:34:19 UTC
view on stackexchange narkive permalink

Ich habe Ihre Frage so gelesen, dass Sie nicht für den Datenschutz, sondern für die Einrichtung von Windows-PCs verantwortlich sind. In diesem Fall würde ich Ihre Bedenken in einer E-Mail an Ihren Gruppenleiter weitergeben, damit Sie einen (virtuellen) Papierpfad haben, und ihn fragen, ob Sie die Windows-PCs trotzdem einrichten sollen oder ob Sie dies möchten Suchen Sie nach einer anderen Lösung.

Wenn Ihre eigentliche Verantwortung im Datenschutz liegt und sie genau das ignorieren, wofür sie Sie eingestellt haben, sollten Sie wahrscheinlich nach einem anderen Arbeitsplatz suchen.

#6
+10
AnoE
2019-03-01 22:48:11 UTC
view on stackexchange narkive permalink

Was tun, wenn Sie in Ihrem Labor für den Datenschutz verantwortlich sind, Ratschläge jedoch ignoriert werden?

Wenn Sie wirklich verantwortlich sind und wenn Wenn Sie in einer Gerichtsbarkeit leben, in der der Datenschutz "Zähne" hat (dh EU / DSGVO), haben Sie die Möglichkeit, jegliches nicht konforme Verhalten zu beenden. Sie können grundsätzlich alles tun (PCs herunterfahren, Router ausschalten usw.) - dies ist natürlich die letzte Aufgabe, nicht die erste Reaktion, und bevor Sie dies tun, müssen Sie noch einige andere Dinge tun: Zum Beispiel informieren deine Kollegen; Richtlinien aufschreiben; Lassen Sie sich von Ihren Stakeholdern unterstützen, führen Sie Informations- / Unterrichtsstunden usw. durch.

Wenn Sie dies nicht alles tun (oder Ihre Kollegen die Konformität ablehnen), beginnen Sie mit den einfachen Dingen, aber eskalieren Sie schließlich, dann Sie sollte diese Rolle des "Verantwortungsbewusstseins" wirklich fallen lassen.

Die DSGVO definiert tatsächlich spezifische Rollen in Bezug auf den Datenschutz. Abhängig davon, wo Sie leben, hat Ihr Land möglicherweise andere solche Definitionen (oder vielleicht gar keine, aber dann würden Sie diese Frage wahrscheinlich nicht stellen). Wenn Sie also zufällig die Rolle des Datenschutzbeauftragten übernehmen, haben Sie die Befugnis und Verantwortung, zu handeln .

Wenn all dies nicht zutrifft und Sie einfach eine normale Arbeiterbiene sind, besteht Ihre eigentliche Verantwortung darin, a) alles zu tun, was Ihr Datenschutzbeauftragter sagt und verlangt, und b) Gesetzesverletzungen Ihrem Datenschutzbeauftragten oder zu melden andere Interessengruppen - Wenn es Ihrem Datenschutzbeauftragten egal ist, können Sie weiter nach oben gehen, aber ehrlich gesagt ist es Ihre persönliche Entscheidung, ob Sie dies tun möchten. Wenn Sie Verstöße für die tatsächlich verantwortlichen Personen sichtbar machen (eine Papierspur führen, möglicherweise Ihren eigenen Vorgesetzten in Cc einsetzen usw.), sollte es Ihnen persönlich gut gehen.

BEARBEITEN: Der Titel der Frage, der das Wort "verantwortlich" enthält, hat mich verwirrt. Im speziellen Fall von OP gilt nur mein letzter Absatz. Ich werde den Rest stehen lassen, falls jemand dies braucht, der tatsächlich "R" verantwortlich ist (im Sinne von RACI). OP , am besten arbeiten Sie daran, nicht für etwas verantwortlich zu sein, auf das Sie keinen Einfluss haben. Sprechen Sie mit Ihrem Vorgesetzten und lassen Sie sich beraten, wie das geht, ohne Brücken zu brennen ("Hey Coach, anscheinend denken alle, ich bin unser Datensicherheits-Typ, aber sie müssen ihre Sachen selbst zusammenbringen, ich kann sie nicht babysitten." . "etc.).

Befindet sich der Fragesteller in einer Gerichtsbarkeit, in der der Datenschutz Zähne hat, verfügt seine Universität bereits über ein Datenschutzbüro.Der Fragesteller sollte mit diesem Büro zusammenarbeiten und keine externen Anwälte hinzuziehen, was eine gigantische Eskalation wäre, die sehr schlecht gesehen würde.
Ja, @DavidRicherby,, dieser Streit über den Anwalt war eine Art Zunge in der Wange.Ich habe diesen halben Satz entfernt.Ob er einen Datenschutzbeauftragten zur Verfügung hat oder ob er der Datenschutzbeauftragte ist, weiß ich nicht, aber ich habe die Aussage von OP "Ich bin * verantwortlich *" zum Nennwert genommen.Ich sehe jetzt seine Bearbeitung, dass er nur ein Doktor ohne offizielle Rolle ist und ein bisschen mit diesen Informationen hinzufügen wird, aber die Antwort anders stehen lassen wird.
#7
+7
jcaron
2019-03-01 20:20:49 UTC
view on stackexchange narkive permalink

Sie haben in den Kommentaren angegeben, dass Sie sich in Europa befinden und daher der DSGVO unterliegen.

Da Sie vertrauliche Informationen sammeln, sollte es einen formellen Prozess für die Erfassung und Verwaltung dieser Informationen geben Informationen, einschließlich der Informationen, die gesammelt werden, zu welchen Zwecken, wie lange sie aufbewahrt werden, wie sie geschützt sind usw. All dies muss mit allen Personen geteilt werden, deren Daten Sie sammeln, bevor Sie dies tun.

Es sollte auch eine Person geben, die tatsächlich offiziell dafür verantwortlich ist (der Datenschutzbeauftragte), die in dieser Erklärung aufgeführt sein sollte.

Beziehen Sie sich auf diese Person. Sie sind die Person, die tatsächlich verantwortlich ist, nicht Sie.

Wenn Sie nicht über diese Richtlinien und Verfahren verfügen, sollten Sie Ihren Manager auf diese Tatsache und die möglichen Konsequenzen aufmerksam machen. Schreiben Sie es schriftlich, damit Ihr a ** abgedeckt ist.

Wenn Sie der Meinung sind, dass Ihre Institution gegen ihre Verpflichtungen verstößt und nichts unternimmt, um diese zu beheben, besteht natürlich die Möglichkeit, es zu melden die zuständigen Behörden mit allen Konsequenzen, die dies für alle Beteiligten haben kann (natürlich auch für Sie - man kann nicht ignorieren, wie oft Whistleblower landen).

#8
+5
B. Raabe
2019-03-01 21:18:25 UTC
view on stackexchange narkive permalink

Um Ihre Frage zu beantworten und explizit zu fragen: "Was tun, wenn Ihr Rat ignoriert wird?", empfehle ich dringend das CYA-Akronym : C über Y unsere A sss.

Da Sie (ich nehme an) keine Führungsrolle innehaben, haben Sie höchstwahrscheinlich nur begrenzte Mittel, um diese tatsächlich durchzusetzen die Ratschläge, die Sie geben, aber um zu verhindern, dass die Schuld nachlässt, sollten Sie Mittel ergreifen, um Ihre Aktivitäten zu dokumentieren. Vielleicht ist die wichtigste Maßnahme hier, eine Papierspur zu hinterlassen.

Sie können beispielsweise eine E-Mail an Ihren Vorgesetzten schreiben:

Lieber XY,

Nach einigen Recherchen zu diesem Thema rate ich unserem Labor, Windows 10 wegen Bedenken hinsichtlich der Windows-Telemetriedaten nicht zu verwenden. (...) Stattdessen rate ich, XYZ von ABC zu verwenden.

Mit freundlichen Grüßen ...

Dies dient nicht nur als Beweis für Sie, Möglicherweise wird Ihr Manager diesen Vorschlag jedoch auch genauer prüfen. Wenn er / sie merkt, dass er / sie jetzt verantwortlich ist, wenn die Dinge den Bach runtergehen - ist er möglicherweise weniger geneigt, Sie einfach zu ignorieren.

#9
+2
guest
2019-03-02 03:43:06 UTC
view on stackexchange narkive permalink

Sprechen Sie mit dem Berater. Wenn er Sie nicht unterstützt, verlassen Sie die Position.

Es kommt sehr häufig vor, dass Universitätslaborgruppen die Richtlinien in Bezug auf Sicherheit, Datensicherheit, Vertraulichkeit, Software-Urheberrechte usw. nicht wirklich befolgen. Die Industrie ist ebenfalls nicht perfekt, aber in der Regel viel konformer als Universitätslaborgruppen

Ich war Sicherheitsbeauftragter für meine Laborgruppe. Überprüfung der Standards, regelmäßige Überprüfung der Augenspülung usw. Es wurden klare Dinge festgestellt, die wir falsch gemacht haben, aber der Berater war nicht daran interessiert, mich zu unterstützen (dachte, ich sei zu streng ... aber ich kam aus der Branche und hatte gesehen, wie Menschen verletzt wurden und war an mehr Aufmerksamkeit gewöhnt.) Wir hatten ein Feuer in einem Bereich, den ich bereits als mangelhaft identifiziert hatte, aber mit Leuten, die nichts reparieren wollten. Danach sagte ich dem PI, dass es sein Labor sei und er verantwortlich sein müsse, und ich weigerte mich, angesichts seiner Einstellung mit der Laborsicherheit in Verbindung gebracht zu werden. (Er sagte gut und jemand anderes ging und überprüfte die Augenspülungen.)

Vielleicht müssen Sie nicht so konfrontativ sein, aber ich würde sehr ernsthaft darüber nachdenken, sich nur zu weigern, die Sicherheitspflicht zu erfüllen, wenn Leute sich anziehen Nehmen Sie es nicht ernst und der PI unterstützt Sie nicht.

Ich weiß nichts über Datenschutz, aber nach dem, was ich in Sicherheit gesehen habe, vermute ich, dass es dasselbe Problem ist. Safety hat umfangreiche Studien und Aufzeichnungen erhalten, und akademische Labore haben etwa das Zehnfache der Vorfälle von industriellen Forschungslabors. Ich persönlich kannte zwei Personen mit schwerer Zeit, die durch Lösungsmittelbrände im Uni-Labor (verbrannte Gesichter und Monate im Krankenhaus) Vorfälle verloren hatten, und habe dies in einem CRD eines großen Unternehmens nie gesehen. Professoren geben den Studenten gelegentlich die Schuld, aber unter dem Strich werden PIs nicht so zur Rechenschaft gezogen wie Manager in einem Unternehmen. Studenten werden weniger geschätzt als Angestellte usw. Und es wird sich nicht ändern und hat es seit Jahrzehnten nicht mehr getan. Du bist also wirklich besser dran, dich einfach zu trennen. Und halten Sie Ihre eigene Ausrüstung sicher und konform.

Einerseits gefällt mir diese Antwort sehr gut, da sie gut beschreibt, wie Menschen in Positionen gebracht werden, ohne ihnen tatsächlich die Mittel zur Verfügung zu stellen, um die damit verbundenen Aufgaben zu erledigen.Andererseits ist der Vorschlag, wie erwähnt, eher konfrontativ, und ich möchte dies nach Möglichkeit vermeiden.
Die freiwillige Erfüllung von Verantwortlichkeiten ist eine gute Idee - wenn Sie das können.Sehr oft akzeptieren Berater / Chefs dies nicht und Sie bleiben bei den genannten Verantwortlichkeiten, ob Sie es mögen oder nicht ...
#10
+1
xLeitix
2019-03-01 17:37:01 UTC
view on stackexchange narkive permalink

Sollten die Dinge aus irgendeinem Grund sauer werden, wäre ich gerne auf der sicheren Seite.

Die Frage ist, wovor Sie sich schützen möchten - eine Klage, gegen die Sie sich richten Sie oder losgelassen werden?

Mein Verdacht (aber ich bin offensichtlich kein Anwalt) ist, dass die erstere nur sehr wenig gefährdet ist und nahezu keinen wirklichen Schutz gegen die letztere bietet.

Die unangenehme Realität ist, dass viele Menschen (in der Wissenschaft und außerhalb) nicht so sehr einen Mitarbeiter einstellen, sondern eine Versicherung abschließen, wenn sie Rollen übernehmen, beispielsweise für einen verantwortlichen Datenschutz (wie bei bestimmten Zertifizierungen in der Industrie). Sie wissen (oder vermuten zumindest stark), dass das, was sie tun, nicht legal ist, wollen sich nicht ändern und suchen jemanden, auf den sie hinweisen können, wenn die Dinge nach Süden gehen.

Wenn es echte rechtliche Probleme gibt Ich vermute, dass sich das Datenschutzproblem eher an die Universität als an Personen richtet, die dort arbeiten - und selbst wenn es sich an bestimmte Personen richtet, sind es die verantwortlichen Manager, keine Labortechniker ohne Autorität das Verhalten anderer Mitarbeiter zu ändern. Allerdings besteht eine sehr gute Chance, dass Sie intern immer noch zum Sündenbock gemacht werden (bis hin zum Loslassen), wenn Sie aus keinem anderen Grund dazu neigen, bergab zu rollen. Nach meiner Erfahrung mit Verwaltungsstrukturen der Universität kann Sie kein Papierpfad wirklich davor schützen.

Natürlich sollten Sie immer noch versuchen, Ihr Labor über relevante Probleme zu informieren, die Sie sehen, aber da Sie keine Autorität darüber haben, muss es die Form von annehmen eher beraten als strenge Regeln. Gute Beziehungen zum Team zu haben (und über hervorragende Soft Skills zu verfügen) ist wahrscheinlich die beste Wahl, um tatsächlich etwas zu bewirken. Es kann sich auch lohnen, hier pragmatisch zu sein und große Bedrohungen anzugehen, die nicht zu viel Opfer von Ihrem Team erfordern - der InfoSec Stack Exchange ist möglicherweise eine sehr gute Ressource, um Informationen darüber zu erhalten (ich vermute die Verwendung von Windows) ist nicht einer dieser Fälle).

Hinweis: Es gibt Jobs, bei denen Sie für bestimmte Arten persönlich verantwortlich sind von Problemen (funktionale Sicherheit in der Automobilindustrie ist ein Beispiel, das in den Sinn kommt). Diese zeichnen sich jedoch in der Regel dadurch aus, dass Sie explizite Qualifikationen benötigen, um diesen Job überhaupt legal ausführen zu dürfen. Ein Unternehmen kann nicht einfach einen zufälligen Ingenieur ernennen, der jetzt rechtlich für die Sicherheitszertifizierung verantwortlich ist. Teil der obligatorischen Schulung für solche Jobs sind auch explizite Informationen darüber, wofür Sie letztendlich verantwortlich sind und wie Sie bei Verstößen voraussichtlich vorgehen werden.

#11
+1
ppw0
2019-03-02 04:56:38 UTC
view on stackexchange narkive permalink

Wenn Sie sich große Sorgen über Telemetrie und Informationslecks machen und über die erforderlichen Rechte verfügen, um administrative Aufgaben an den von Ihrem Labor verwendeten Geräten auszuführen, würde ich eine App zum Blockieren der Telemetrie vorschlagen, obwohl ich Sie dringend auffordere, diese zu testen und zu überprüfen es vor jeder Art von Bereitstellung. Persönlich bin ich ein Fan von BlackBird, aber seien Sie vorsichtig bei den Effekten, die die Funktionalität aufheben (Standorterkennung, LAN usw.). Studieren und testen Sie diese Software erneut im Voraus.

Ich möchte jedoch einen weiteren Aspekt des Datenschutzes erwähnen, nicht im Sinne von Datenschutz , sondern von Datenintegrität .

Ich würde in einer Million Jahren nicht erwischt werden, wenn ich Windows für datensensitive Arbeiten verwende, da ich und viele andere Opfer der Tendenz von Windows und seinen Apps (z. B. OneDrive) geworden sind, Benutzerdateien zu löschen ohne Vorankündigung (dauerhaft unter Umgehung des Papierkorbs). Ein neueres Beispiel finden Sie im 1809-Update. Es gibt viele andere.

Dies ist eine wirklich gute Idee. Außerdem gefällt mir das Beispiel, dass OneDrive Daten verliert, aber die Implementierung und Pflege des Vorschlags scheint eine enorme Aufgabe für sich zu sein.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...