Was sind TOM (technische und organisatorische Maßnahmen)?
Die konkreten Maßnahmen, mit denen man personenbezogene Daten schützt. Und sie belegen können muss.
TOM steht für technische und organisatorische Maßnahmen. Das sind die konkreten Vorkehrungen, mit denen ein Unternehmen personenbezogene Daten schützt. Artikel 32 DSGVO verlangt sie nicht nur, er verlangt auch, dass man sie nachweisen kann. Eine gute Absicht reicht nicht, gefragt ist, was tatsächlich eingerichtet ist.
Technisch und organisatorisch
Technische Maßnahmen stecken in der Technik selbst: Verschlüsselung, Zugriffsschutz, Backups. Organisatorische Maßnahmen regeln, wie Menschen mit Daten umgehen: wer was darf, wer wann eingewiesen wird, was im Schadensfall passiert. Beides zusammen ergibt den Schutz, einzeln bleibt jede Seite löchrig.
Belegen statt behaupten
Im Ernstfall, etwa nach einem Vorfall oder bei einer Prüfung, zählt der Nachweis. Wer welche Maßnahme wann eingerichtet hat, sollte dokumentiert sein. Mehr-Faktor-Authentifizierung ist so eine Maßnahme, ebenso die Frage, wo Daten überhaupt liegen, die zur Datensouveränität gehört. TOM sind also kein Formular, sondern gelebte Praxis, die man zeigen kann. Dieselben Maßnahmen bilden auch die Grundlage, wenn NIS2 ein geordnetes Risikomanagement verlangt.
So setzen wir TOM um
Wir richten die technischen Maßnahmen ein, ordnen Berechtigungen sauber zu und sorgen dafür, dass die Abläufe im Alltag tatsächlich gelebt werden. Software, IT-Betrieb und IT-Sicherheit aus einer Hand, damit der Schutz und sein Nachweis zusammenpassen.
Passt das zu einer Frage, die Sie gerade im Unternehmen beschäftigt?
Zur IT-Sicherheit ↗