Gdpr begynner i dag! hva du trenger å vite

Fra og med i dag, 25. mai 2018, vil EUs (EU) General Data Protection Regulation (GDPR) lovgivning effektivt bli global lov når det gjelder spørsmål om hvordan personopplysninger må håndteres av virksomheter. Selv om du kanskje tror at en lov om databeskyttelse som ble ratifisert i Europa, bare skulle gjelde europeere, ville du ta feil. Det er fordi GDPR beskytter alle EU-borgere uansett hvor de bor og uansett hvem de gjør forretninger med, noe som betyr at amerikanske selskaper med EU-kunder er i henhold til GDPR-krav og, verre, straffer. Verre fordi det ifølge en fersk rapport fra Crowd Research Partners er bare 7 prosent av selskapene på vei til å være GDPR-kompatible innen dagens frist.

Og selv om det er skritt du kan ta selv i dag for å holde selskapet ditt i det minste noe GDPR-trygt, er det ikke et lett prosjekt å oppnå full overensstemmelse. Prosessene for å samle inn data må være relevante for hvordan dataene vil bli brukt av selskapet (for eksempel forbrukerhandeldata, men ikke sykehistoriske data for netthandelsbedrifter). Bedrifter skal være villige og i stand til å forklare nøyaktig hvilke data som er samlet inn og hvorfor. Sikkerhetspraksis må vise en klar evne til å beskytte mot tap, skade og ødeleggelse, og data skal ikke holdes lenger enn nødvendig. Ethvert selskap som ikke overholder forskriften, vil bli pålagt 4 prosent tapping av sine årlige inntekter.

"Dette er ikke et tannløst sett med regler og forskrifter, " sa Ankur Laroia, leder for strategiske løsninger hos leverandøren av informasjonshåndteringssystem Alfresco. Laroia gjør gjeldende at flere spørsmål innenfor forskriftens vedtekter vil gjøre det vanskelig for selskaper å forbli kompatible. For eksempel inkluderer noen få spørsmål abstrakt skrevne regler for hvorfor data blir samlet inn, overordnede krav til å skrubbe kundedata når det blir bedt om det, og behovet for at noen selskaper totalt oppdaterer sikkerhetsrutiner utelukkende med det formål å sikre samsvar. Fortsatt tror ikke Laroia at EU rotet rundt.

"EU kommer til å gå etter lovbrytere, " spår han. "Hadde dette blitt vedtatt, ville Equifax fått mye problemer."

GDPR, mens den først og fremst fokuserer på EU-borgere, presenterer også et mareritt-scenario for amerikanske bedriftseiere., vil vi fordele det amerikanere trenger å vite for å begynne reisen mot GDPR-etterlevelse.

1. Amerikanske selskaper vil måtte overholde

Hvis mamma-og-pop-bokhandelen aldri har sendt en pakke utenfor hjembyen, trenger du sannsynligvis ikke å bekymre deg for GDPR. Imidlertid, hvis du til og med har en EU-basert kunde, må du begynne prosessen med å bli GDPR-kompatibel umiddelbart. I henhold til vedtektene skal EU-borgerdata være beskyttet, og du må gi innbyggerne nevnte data hvis han eller hun ber om det. Enda viktigere er det at du kan bli pålagt å rense data fra systemene dine hvis og når innbyggeren fremsetter forespørselen. Hvis du ikke gjør det og GDPR-vakthunden finner ut av det, vil du miste 4 prosent av den årlige omsetningen.

"Selv om det er et EU-direktiv, påvirker det ethvert selskap over hele verden som har EU-innbyggere som kunder, " sa Pete Lindstrom, visepresident for sikkerhetsforskning ved IDC. "Hvis du har adressefelt og de er en europeisk adresse, vil de sannsynligvis bli ansett som europeiske."

Det skilles ikke mellom et selskap med hovedkontor i EU eller i en by som Skokie, Illinois. Loven fokuserer i stedet på personlig identifiserbar informasjon (PII) og hvor personen tilknyttet dataene er bosatt. Alle som har noen form for PII-data om en europeisk kunde, må følge dette.

Selv om selskapet ditt har noen få EU-baserte kunder, er det høyst usannsynlig at din lokale bokhandel blir revidert av GDPR-vakthunder. Men store selskaper, som Facebook og Yahoo, vil ikke kunne hevde amerikansk troskap som en måte å skjørt på GDPR.

"Hvis du er mamma og pop og har et brudd, er du juridisk ansvarlig, " sa Laroia. "Det er vanskelig å si om de realistisk kommer etter deg… hvert EU-land vil ha et kontor for samsvar. Dette kontoret vil begynne å be om alles etterlevelsesordning. De vil lage en oversikt over selskaper som driver forretninger i sine geografier. De kommer til å sjekke de større karene og begynne å stille spørsmål."

Amerikanske selskaper som ikke følger, bør ikke forvente at den amerikanske regjeringen vil skjerme dem når de EUP-støttede EU-statene prøver å samle inn de innspiste inntektene. "Den amerikanske regjeringen er tvunget til å sørge for at disse dommene blir fullbyrdet, " sa Laroia. "Hvorvidt de blir håndhevet er ennå ikke å se, men regjeringen i EU vil måtte kjempe."

2. 25. mai Betyr 25. mai

Selv om forskriften trer i kraft i dag, 25. mai 2018, ble loven ratifisert av EU-parlamentet 14. april 2016. Dette betyr så langt det gjelder EUs selskaper, selskaper har hatt god tid til å sette på plass GDPR-kompatibel praksis. Så hvis selskapet ditt blir rammet av et massivt cyberattack i morgen og mangfoldige data du har samlet på kunder, besøkende på nettstedet, og til og med partnere, kommer ut på den skumle mørke nettet, kan du ikke kreve "utilstrekkelig tid" som en unnskyldning for å røpe EU-borgerdata.

"Vedtektene trådte i kraft, " sa Laroia. "Du kan bli bedt om å vise din reise til overholdelse allerede. Har du funnet opp? Hva er protokollen din for en EU-borger til å spørre om dataene dine? Disse selskapene kan bli bedt om denne informasjonen akkurat nå. De begynner å bli bøtelagt neste år hvis de kan ikke demonstrere etterlevelse etter mai."

3. Ikke forvent en utvidelse

I motsetning til de fleste av de lovlige reguleringskampene vi har i USA (for eksempel Net Neutrality), gikk ingen i EU inn 24. mai 2018 for å utfordre GDPR og derved utsette forskriften på ubestemt tid. Europeerne ønsket dette, og nå har de fått det til.

"Dette er skjønnheten i måten regelverket er satt opp, " sa Laroia. "Fordi de ga selskaper et år for å få handlingen sin riktig, har det ikke vært noen utfordringer derfra fra et rettstvistperspektiv. Hvis vi skulle se det, ville det allerede ha skjedd. Kan noen gjøre det etter at de ble saksøkt? Jeg er sikker på at de vil prøve, men det vil se dårlig ut på dem på det tidspunktet."

4. Hva du trenger å gjøre for å overholde

Som forskriften krever, må du sette noen som er ansvarlig for å administrere overholdelsesprosessen. Denne personen, som GDPR-loven kaller "Data Protection Officer" (DPO), vil være poengpersonen som er ansvarlig for å gå gjennom GDPR-tilsynsteamet gjennom måtene ditt selskap har sikret sine data på. Denne personen vil også være ansvarlig for å trekke sammen de forskjellige forretningsområdene i selskapet ditt for å produsere en metodikk for å få og forbli GDPR-kompatibel.

Kort sagt skal DPOs oppgaver deles inn i fire viktige kategorier:

• For det første må de være kjent nok med GDPR-detaljer til å fungere som poengperson ikke bare for den innledende etterlevelsesprosessen, men for alle GDPR-relaterte datahåndteringsspørsmål i fremtiden, og absolutt nok slik at de kan stille spørsmål av både senior ledere og datahåndterende IT-operatører på bakken.
• For det andre må de være i stand til å overvåke alle pågående datahåndteringsprosesser i organisasjonen din og evaluere effektiviteten deres med hensyn til personopplysningssikkerhet.
• For det tredje må de ha revisjons- og overvåkingsfunksjoner over ethvert område av virksomheten din som kan bli påvirket av GDPR og evaluere dem for etterlevelse regelmessig.
• Og sist må de være i kontakt med GDPR-myndigheter for din bransje, samarbeide med dem og fungere som en poengperson for alle forespørsler som kommer fra den myndigheten.

Alt dette koker ned til en person som forstår datastrømmer, og databeskyttelsestiltak og teknologier, så vel som ikke bare kunnskap om GDPR-lovgivning, men også kunnskap om relatert og relevant EU-lovgivning, for eksempel direktivet om personvern. Den sannsynlige mangelen på disse ferdighetene har skapt noe av et grønt feltmulighet for forretnings- og IT-konsulentfirmaer, men hvis du ønsker å utvikle dette talentet i egen regi, er det en god mulighet å søke engelskspråklige, europeiske online læringsressurser, mange av disse har utviklet GDPR DPO kursutstyr til dette formålet. I tillegg er det multinasjonale bransjeorganisasjoner, som International Association of Privacy Professionals (IAPP), som tilbyr GDPR-kurs og -sertifiseringer.

På en mer teknisk merknad, for å være kompatibel, må du bruke minst en krypteringsmetode for fysiske servere, nettverkstilkoblet lagring (NAS), disker og stasjoner og nettverkstilgang. Du må bekrefte medarbeideridentiteter og innstille multifaktorautentisering (MFA) når du får tilgang til PII og for transaksjoner som inkluderer PII-data. Du må kutte ut all praksis som får tilgang til eller behandle data for uautoriserte formål, kontinuerlig overvåke og verifisere data for å sikre relevans og fullstendig og irreversibelt rense kundedata når du blir bedt om å gjøre det. Organisasjoner vil være pålagt å foreta full risikovurderinger og samarbeide med partnere, spesielt de som er koblet via applikasjonsprogrammeringsgrensesnitt (API), for å sikre kontinuerlig etterlevelse.

Til slutt, hvis organisasjonens data blir brutt, må du varsle den tilknyttede GDPR-veilederen umiddelbart for å beskrive bruddet og dets konsekvenser i sin helhet. Og du må kommunisere konsekvensene av bruddet til berørte kunder.

5. Amerikanske kunder

Laroia sa at det til syvende og sist er god forretningssans å ivareta og være gode forvaltere av kundeinformasjon. "Du må se på dette fra sluttkundens utsiktspunkt, " sa Laroia. "De er grunnen til at disse selskapene driver virksomhet. Ja, selv om det er smertefullt for virksomheten, har ikke selskaper investert i teknologi eller holdt følge med innovasjonshastigheten."

Dessverre finnes ikke lignende amerikanske forskrifter på bøkene. Selskaper som driver virksomhet i New York under kravene til cybersikkerhet i New York Department of Financial Services, dekkes til en viss grad. Denne forskriften krever at New York-baserte virksomheter iverksetter og opprettholder en skriftlig policy eller retningslinjer, godkjent av en senioroffiser eller Covered Entitys styre (eller et passende utvalg derav) eller tilsvarende styringsorgan. Dette angir dekket enheters policyer og prosedyrer for beskyttelse av dets informasjonssystemer og ikke-offentlig informasjon som er lagret på disse informasjonssystemene, i henhold til den skriftlige loven.

Andre stater, for eksempel Colorado, har diskutert implementering av lignende regler. Imidlertid eksisterer ingen feiende amerikansk føderal lov. Men Laroia er optimistisk til at USA vil være neste. "Amerikanere har ingen slike rettigheter, " sa han. "Men gi det fem år."