Das "National Institute of Standards and Technology" arbeitet an einem Datenschutz Framework. Das "NIST" ist eine Behörde, die hilft Standards zu erarbeiten. Wie bei allen Standards üblich, gibt es in der Regel verschiedene Interessengruppen, die versuchen den Standards ihren Stempel aufzudrücken. Der Staat sitzt natürlich mit eigenen Interessen mit im Boot. Das lief schon einmal (im Jahr 2013) schlecht für das NIST, als das NIST bei der Festlegung der Verschlüsselungsstandards bei eliptischen Kurven (die bei Puiblic Key Kryptographie eingesetzt werden) zu sehr auf die NSA hörte. Deren Interesse lag eben darin verschlüsselte Inhalte auch entschlüsseln zu können und daher waren die eher an niedrigeren Verschlüsselungsstandards interessiert. Als das Publik wurde versprach das NIST in Zukunft kritischer zu werden.
Jedenfalls arbeitet das NIST an einem Standard "Developing a privacy framework" um verschiedene Datenschutzaspekte bei den verschiedenen Akteuren "zu orchestrieren". Dabei geht es z.B. auch um Sicherheitsstandards, die das NIST den amerikanischen Bundesbehörden empfiehlt, um deren Daten zu schützen. Und da in diesem Bereich der "technisch Fortschritt" rasant ist, ist ein permanentes Monitoren und Nachpflegen solcher Standards eine vernünftige Sache. Letztendlich geht es insgesamt darum die IT-Infrastruktur gegen Angriffe aller Art zu ertüchtigen um Daten zu schützen. Der Auftrag dafür geht aus eine "Presedential Executive Order" zurück, die noch im Mai 2017 von Obama erlassen wurde und die sich damals zunächst auf die Ertüchtigung der Cyberinfrastruktur gegen Angriffe bezog.
Das Framework besteht aus drei Bereichen:
Der Bereich "Kern" soll Unternehmen dabei unterstützen in einen Dialog einzutreten, der CISOs und ihre Sicherheitsteams, die anderen Teile der Unternehmensführung und diejenigen, die in den Firewallfront arbeiten, geeignete Produkte und Dienstleistungen entwickeln und dabei sicherzustellen sollen, dass Datenschutz in alle Ebenen eines Unternehmens integriert ist. Datenschutz als Kernkomponente also...
*
Der Bereich "Profil" wurde entwickelt, um Unternehmen bei der Priorisierung von Ergebnissen zu unterstützen. Es wird auch darauf geachtet, dass die Datenschutz- und Geschäftsanforderungen eines Unternehmens sowie die Risiken berücksichtigt werden.
*
Der Bereich "Implementierungsebenen" soll die Entscheidungsfindung und Kommunikation unterstützen, um sicherzustellen, dass die Datenschutzziele erreicht werden und die Ressourcen für das Management von Datenschutz und Risiko vorhanden sind.
Bei solchen Standards haben alle Beteiligten i.d.R. das Interesse, dass diese Standards möglichst nicht allzu verbindlich sind. Daher ist auch noch mit einigen "Justierungen" vor der erwarteten Veröffentlichung der Version 1.0 in diesem Jahr zu rechnen.
Hier kann man in das Projekt schauen: https://www.federalregister.gov/documents/2018/11/14/2018-24714/developing-a-privacy-framework
Datenschutz Bochum meint: Das ist ein interessanter und beobachtenswerter Ansatz.