Sisällysluettelo:
- 1. Amerikkalaisten yritysten on noudatettava
- 2. Toukokuu 25 tarkoittaa toukokuuta 25
- 3. Älä odota laajennusta
- 4. Mitä sinun tulee tehdä noudattaaksesi
- 5. Yhdysvaltain asiakkaat
Video: GDPR two years on... (Marraskuu 2024)
Tästä päivästä, 25. toukokuuta 2018 alkaen, Euroopan unionin (EU) yleisestä tietosuojaasetuksesta (GDPR) tulee tosiasiallisesti globaali laki, kun kyse on kysymyksistä siitä, miten yritysten on käsiteltävä henkilötietoja. Vaikka voisit ajatella, että Euroopassa ratifioitu tietosuojalaki koskisi vain eurooppalaisia, olet väärässä. Tämä johtuu siitä, että GDPR suojaa kaikkia EU: n kansalaisia riippumatta siitä, missä he asuvat ja riippumatta siitä, kenen kanssa he tekevät liiketoimintaa, mikä tarkoittaa, että amerikkalaisille yrityksille, joilla on EU: n asiakkaita, sovelletaan BKT: n vaatimuksia ja, mikä pahempaa, seuraamuksia. Pahempaa, koska Crowd Research Partners -yhtiön viimeaikaisen raportin mukaan vain 7 prosenttia yrityksistä on tiellä, jotta ne voisivat noudattaa GDPR-määräyksiä tänään asetetussa määräajassa.
Ja vaikka on joitain toimenpiteitä, jotka voit tehdä jo tänäänkin, pitämään yrityksesi ainakin jonkin verran GDPR-turvassa, täydellisen noudattamisen saavuttaminen ei ole kevyt projekti. Tietojen keräämisprosessien on oltava merkityksellisiä sen suhteen, miten yritystä tietoja käytetään (esimerkiksi kuluttajien ostokset, mutta ei sähköisen kaupan yrityksiä koskevat sairaushistorialliset tiedot). Yritysten tulisi olla halukkaita ja kykeneviä selittämään tarkalleen, mitä tietoja on kerätty ja miksi. Turvallisuuskäytäntöjen on osoitettava selkeä kyky suojautua häviämiseltä, vaurioilta ja tuhoutumiselta, ja tietoja ei tule säilyttää pidempään kuin on tarpeen. Jokaiselle yritykselle, joka ei noudata asetusta, menetetään 4 prosenttia vuotuisista tuloistaan.
"Tämä ei ole hampaaton sääntöjä ja määräyksiä", sanoi tiedonhallintajärjestelmien toimittajan Alfrescon strategisten ratkaisujen johtaja Ankur Laroia. Laroia toteaa, että useat asetuksen säännöissä mainitut seikat vaikeuttavat yrityksiä pysymään noudattamisessa. Esimerkiksi muutamiin asioihin sisältyy abstraktisti kirjoitetut säännöt siitä, miksi tietoja kerätään, asiakkaiden tietojen hankkimista koskevia vaatimuksia ylittäviä vaatimuksia ja joidenkin yritysten tarve uudistaa turvallisuusmenettelyt kokonaan pelkästään vaatimustenmukaisuuden varmistamiseksi. Laroia ei silti usko, että EU sekoittaa asiaa.
"EU aikoo seurata rikoksentekijöitä", hän ennustaa. "Jos tämä olisi annettu, Equifax olisi joutunut paljon vaikeuksiin."
Vaikka GDPR keskittyy pääasiassa EU: n kansalaisiin, se tarjoaa myös painajaisen skenaarion amerikkalaisille yritysomistajille., erittelemme, mitä amerikkalaisten on tiedettävä aloittaakseen matkan kohti GDPR: n noudattamista.
1. Amerikkalaisten yritysten on noudatettava
Jos äiti-ja pop-kirjakauppasi ei ole koskaan lähettänyt pakettia kotikaupunkisi ulkopuolelle, sinun ei todennäköisesti tarvitse huolehtia GDPR: stä. Jos sinulla on edes yksi EU: n asiakas, sinun on aloitettava prosessi, josta tulee GDPR-yhteensopiva välittömästi. Säännöstön mukaan EU: n kansalaisten tiedot on suojattava, ja sinun on annettava kansalaiselle nämä tiedot, jos hän sitä pyytää. Vielä tärkeämpää on, että sinua voidaan joutua puhdistamaan kyseiset tiedot järjestelmistäsi, kun ja kun kansalainen esittää pyynnön. Jos et ja GDPR-vahtikoira selviää, menetät 4 prosenttia vuosituloistasi.
"Vaikka se on EU-direktiivi, se vaikuttaa kaikkiin yrityksiin ympäri maailmaa, joilla on EU: n asukkaita asiakkaina", kertoi IDC: n turvallisuustutkimuksen varajohtaja Pete Lindstrom. "Jos sinulla on osoitekenttiä ja he ovat eurooppalaisia osoitteita, niitä todennäköisesti pidetään eurooppalaisina."
EU: n pääkonttorin tai Skokien kaltaisessa kaupungissa Illinoisissa sijaitsevan yrityksen välillä ei ole eroa. Sen sijaan laki keskittyy henkilötietoihin (PII) ja siihen, missä tietoihin liittyvä henkilö asuu. Jokaisen, jolla on minkäänlaista yksityisyyden suojaa koskevaa tietoa eurooppalaisesta asiakkaasta, on noudatettava sitä.
Vaikka yritykselläsi olisi muutama EU: ssa toimiva asiakas, on erittäin epätodennäköistä, että paikallista kirjakauppaa tarkastavat GDPR-vartijat. Mutta suuret yritykset, kuten Facebook ja Yahoo, eivät voi väittää Yhdysvaltojen uskollisuutta tapana peittää GDPR.
"Jos olet äiti ja pop ja sinulla on rikkomus, olet oikeudellisesti vastuussa", sanoi Laroia. "On vaikea sanoa, tulevatko he realistisesti sinun jälkeensi… jokaisella EU: n jäsenvaltiolla on vaatimustenmukaisuustoimisto. Tämä toimisto alkaa pyytää kaikkien noudattamisjärjestelmää. He luovat luettelon yrityksistä, jotka harjoittavat liiketoimintaa maantieteellisillä alueillaan. He tarkistavat isommat kaverit ja alkavat kysyä kysymyksiä."
Amerikkalaisten yritysten, jotka eivät noudata sääntöjä, ei pitäisi odottaa Yhdysvaltain hallituksen suojaavan heitä, kun GDPR: n tukemat EU-valtiot yrittävät kerätä menetettyjä tuloja. "Yhdysvaltain hallitus on pakko varmistaa, että tuomiot pannaan täytäntöön", sanoi Laroia. "Se, pannaanko ne täytäntöön, on vielä nähtävissä, mutta EU: n hallituksen on taisteltava."
2. Toukokuu 25 tarkoittaa toukokuuta 25
Vaikka asetus tulee voimaan tänään, 25. toukokuuta 2018, EU: n parlamentti ratifioi lain 14. huhtikuuta 2016. Tämä tarkoittaa EU: n kannalta, että yrityksillä on ollut paljon aikaa asettaa GDPR-vaatimusten mukaiset käytännöt paikalleen. Joten jos yritystäsi huomenna kohtaa massiivinen kyberhyökkäys ja jos asiakkaat, verkkosivustojen kävijät ja jopa yhteistyökumppanit ovat keränneet tietojasi, ne pääsevät pahaen pimeään verkkoon, et voi väittää, että "riittämätön aika" tekosyy EU: n kansalaisten tietojen paljastamiseksi.
"Perussääntö tuli voimaan", sanoi Laroia. "Sinua voidaan pyytää osoittamaan matkasi vaatimustenmukaisuuteen jo. Oletko inventoinut? Mikä on pöytäkirjasi, jonka avulla EU-kansalainen voi kysyä tiedoistasi? Näiltä yrityksiltä voidaan kysyä tätä tietoa heti. Ne alkavat sakottaa ensi vuonna, jos he eivät voi osoittaa noudattavansa toukokuun jälkeen."
3. Älä odota laajennusta
Toisin kuin suurin osa Yhdysvaltojen oikeudellisista sääntelytaisteluista (esimerkiksi verkon neutraalisuus), kukaan EU: ssa ei astunut 24. toukokuuta 2018 haastamaan GDPR: ää ja lykätä siten asetusta määräämättömäksi ajaksi. Eurooppalaiset halusivat tämän ja nyt heillä on se.
"Tämä on kauneus tapaan, jolla säännökset on laadittu", sanoi Laroia. "Koska he antoivat yrityksille vuoden ajan toimiakseen oikein, riita-asioiden näkökulmasta ei ole ollut siellä haasteita. Jos olisimme nähneet sen, se olisi jo tapahtunut. Voisiko joku tehdä sen, kun heitä on nostettu oikeuteen? Olen varma, että he yrittävät, mutta se näyttää heille heikosti siinä vaiheessa."
4. Mitä sinun tulee tehdä noudattaaksesi
Koska asetus vaatii, joudut laittamaan jonkun vastaavan vaatimustenmukaisuusprosessin hallinnasta. Tämä henkilö, jonka GDPR-laki nimittää "tietosuojavastaavaksi" (DPO), on kohtahenkilö, joka vastaa GDPR: n valvontaryhmän kuljettamisesta tapailla, joilla yrityksesi on turvannut tietonsa. Tämä henkilö on myös vastuussa erilaisten liiketoiminta-alueiden yhdistämisestä yrityksesi sisällä tuottaa menetelmä, jolla saadaan GDPR-yhteensopiva ja pysyy siinä.
Lyhyesti sanottuna tietosuojavaltuutetun tehtävät jakautuvat neljään pääluokkaan:
- Ensinnäkin heidän on tunnettava tarpeeksi GDPR-tiedot, jotta ne voivat toimia pistehenkilönä paitsi alkuperäisessä vaatimustenmukaisuusprosessissa myös kaikissa tulevaisuuden GDPR-tietojenkäsittelykysymyksissä, ja varmasti riittävän, jotta he voivat kentällä molemmat vanhemmat kysymykset avainhenkilöt ja tietojenkäsittely-IT-operaattorit paikan päällä.
- Toiseksi heidän on kyettävä seuraamaan kaikkia organisaatiossa meneillään olevia tietojenkäsittelyprosesseja ja arvioimaan niiden tehokkuutta henkilötietojen turvallisuuteen nähden.
- Kolmanneksi, heillä on oltava tarkastus- ja seurantavalmiudet kaikilla yrityksesi alueilla, joihin GDPR saattaa vaikuttaa, ja arvioitava niiden noudattamista säännöllisesti.
- Ja viimeiseksi, heidän on oltava yhteydessä teollisuudestasi GDPR-viranomaisiin, tehdä yhteistyötä heidän kanssaan ja toimia pistehenkilönä kaikilta kyseisen viranomaisen esittämiltä pyynnöiltä.
Kaikki tämä kuuluu henkilölle, joka ymmärtää tietovirrat, tietosuojatoimenpiteet ja tekniikat sekä GDPR-lainsäädännön yksityiskohtien lisäksi myös tiedon asiaan liittyvästä ja asiaankuuluvasta EU-lainsäädännöstä, kuten sen sähköisen yksityisyyden suojaa koskevasta direktiivistä. Näiden taitojen todennäköinen puute on luonut jotain vihreän kentän mahdollisuudesta yritys- ja tietotekniikkakonsultteille, mutta jos haluat kehittää tätä kykyä sisäisesti, kannattaa etsiä englanninkielisiä, eurooppalaisia verkkooppimisresursseja, joista monet ovat kehittäneet GDPR DPO -kurssiohjelmiston tätä tarkoitusta varten. Lisäksi on olemassa monikansallisia teollisuusjärjestöjä, kuten IAPP, kuten International Association of Privacy Professionals, jotka tarjoavat GDPR-koulutusohjelmia ja sertifikaatteja.
Teknisemmässä huomautuksessa, jotta pysyt yhteensopivana, sinun on käytettävä vähintään yhtä salausmenetelmää fyysisille palvelimille, verkkoon liitetylle tallennusvälineelle (NAS), levyille ja asemille sekä verkkoon pääsylle. Sinun on vahvistettava työntekijöiden henkilöllisyys ja käynnistettävä monitekijäinen todennus (Mfa), kun käytät henkilökohtaista tunnistetietoa ja tapahtumia, jotka sisältävät henkilökohtaisia tietoja. Sinun on poistettava käytännöt, joissa tietoja käytetään tai käsitellään luvattomiin tarkoituksiin, tarkkailla ja tarkistaa tietoja jatkuvasti relevanssin varmistamiseksi ja puhdistaa asiakastiedot kokonaan ja peruuttamattomasti pyydettäessä. Organisaatioiden on suoritettava täydet riskinarvioinnit ja tehtävä yhteistyötä kumppaneiden kanssa, etenkin sovellusohjelmointirajapintojen (API) kautta kytkettyjen kanssa, jatkuvan vaatimustenmukaisuuden varmistamiseksi.
Lopuksi, jos organisaatiosi tietoja rikotaan, sinun on ilmoitettava siitä välittömästi assosioituneelle GDPR-valvojalle kuvailemaan rikkomus ja sen seuraukset kokonaisuudessaan. Ja sinun on ilmoitettava rikkomuksen seuraukset vaikutteisiin asiakkaille.
5. Yhdysvaltain asiakkaat
Laroia sanoi, että on viime kädessä hyvää liiketoimintaa järkevää suojata ja olla hyvä asiakastietojen hoitaja. "Sinun on tarkasteltava tätä loppukäyttäjän näkökulmasta", sanoi Laroia. "Ne ovat syy näiden yritysten liiketoimintaan. Kyllä, vaikka yritykselle on tuskallista, yritykset eivät ole investoineet tekniikkaan tai pysyneet innovaatioiden vauhdissa."
Valitettavasti vastaavia Yhdysvaltojen määräyksiä ei ole kirjoissa. New Yorkissa liiketoimintaa harjoittavat yritykset, jotka kuuluvat New Yorkin rahoituspalveluiden osaston kyberturvallisuusvaatimusten alaisuuteen, katetaan jossain määrin. Tämä asetus vaatii New Yorkiin sijoittautuneita yrityksiä toteuttamaan ja ylläpitämään kirjallista politiikkaa tai politiikkoja, jotka on hyväksynyt vanhempi virkamies tai piiriin kuuluvan yksikön hallitus (tai sen asianmukainen komitea) tai vastaava hallintoelin. Siinä esitetään katetun yksikön politiikat ja menettelyt sen tietojärjestelmien ja näihin tietojärjestelmiin tallennetun julkisen tiedon suojaamiseksi kirjallisen lain mukaisesti.
Muut valtiot, kuten Colorado, ovat keskustelleet samanlaisten asetusten täytäntöönpanosta. Yhdysvaltojen liittovaltion lakia ei kuitenkaan ole. Mutta Laroia on optimistinen, että Yhdysvallat on seuraava. "Amerikkalaisilla ei ole sellaisia oikeuksia", hän sanoi. "Mutta anna sille viisi vuotta."