上周在伯明翰的ICC召开了英国SAP用户组会议。活动本身组织得很好，运作得也很好，每个人都在某种程度上发现了价值。

对于我自己来说，作为隐私专业人士和SAP导师，我发现这次会议很有价值。英国和欧洲内部对即将出台的《通用数据保护条例》（GDPR）议论纷纷。这些新条例将于明年5月25日生效，影响全球。在这方面，可以理解的是，在用户小组会议上对全球发展政策审查进行了大量讨论。我发现有趣的是，有点令人担忧的是，缺乏明确的建议，许多企业缺乏准备，还有少数公司兜售蛇油。

GDPR合规要求的不仅仅是软件，但是如果我们首先处理软件问题的话。SAP生产四种公司要求符合GDPR的软件资产：

SAP访问控制SAP信息管理员（位于SAP数据服务之上）SAP信息生命周期管理器SAP过程控制

现在我要直截了当地说，还有其他公司也在生产类似的工具，还有一些SAP软件可以填补其他有用的功能，但是核心的"GDPR合规性"软件包就是这四项资产。

SAP访问控制，控制对系统和数据的访问，可以插入HR业务流程因此自动化了权限分配和吊销，并且可以进行审核。

SAP Information Steward负责跨数据环境进行数据发现，可以管理数据质量问题，云服务器网址，其输出构成审核的一部分。

SAP Information Lifecycle manager负责归档、安全保留管理、安全删除和法律封存。其审计功能。

SAP流程控制，管理策略和流程，有助于将GRC控制添加到业务流程中，其审计功能。

如果您没有上述软件并且不想购买，您至少应确保您现有的it环境包括这些功能。

但是，光靠它们是不够的。遵从GDPR要求全面改进业务中的数据治理流程。在某些行业，它需要改变业务流程，以考虑到对同意或及时访问的增强要求。在所有情况下，它都要求企业采取一种可证明的立场，仅仅说你是合规的是不够的，你必须能够证明合规性，并且要持续地这样做。因此，为什么软件的审计能力如此重要。你能证明员工离开公司时系统访问权被撤销吗？你能证明你的客户服务人员知道当客户向你发送主题访问请求时该怎么做吗？

在会议上与企业交谈，在我的专业实践中，一些非常大的企业，每日返利，人工智能大数据，甚至一些商业街的名字，还没有开始他们的GDPR合规项目，这是令人不安的。在隐私专业人士的世界里，网建站，我们听到了许多从未存档或删除数据的公司、重复使用员工身份证号码的公司、未能理解云中可能存在的潘多拉盒人力资源数据的公司、跨国企业和英国脱欧的故事。在许多情况下，返利啦，公司会告诉你，他们只是不知道从哪里开始。

我的建议……

如果有一个免费的建议，我可以给关闭它将是这样的；不要担心，不要惊慌。你吃大象，一次咬一口。通过稳定的、深思熟虑的步骤，而不是通过下意识的软件购买或政策改变，您将符合GDPR。

将GDPR视为一个机会。如果说数据是新的石油，那么GDPR就是为确保资源的寿命和对其创造者的保护而制定的环境立法。