Nyligt aftalt EU-US Data Privacy Framework løfter bureaukrati
Indholdsfortegnelse:
Eksperter har glædet sig over aftalen om nye privatlivsfokuserede regler om, hvordan persondata kan overføres mellem amerikanske og EU-virksomheder.
EU-US Data Privacy Framework blev udviklet til at erstatte Privacy Shield, som blev ugyldiggjort gennem en afgørelse fra EU-Domstolen i 2020.
Retten handlede på baggrund af bekymringer over mangel på tilstrækkelige sikkerhedsforanstaltninger i både Privacy Shield (og en tidligere safe harbor-aftale), hvilket betød, at personlige data, der forlader EU's grænser, kan blive genstand for omfattende amerikansk regeringsovervågning.
Rydset til at sende
EU-US Data Privacy Framework, som blev fremsat af den amerikanske regering sidste år, blev godkendt af Europa-Kommissionen i juli 2023 efter at have besluttet, at USA "sikrer et passende niveau af beskyttelse - sammenligneligt med EU's - for personlige data overført fra EU til amerikanske virksomheder under de nye rammer”.
Denne "tilstrækkelighedsbeslutning" betyder, at personoplysninger kan "strømme sikkert fra EU til amerikanske virksomheder, der deltager i rammen" uden behov for yderligere databeskyttelsesforanstaltninger, der kræves under foreløbige foranstaltninger forud for aftale.
Forpligtelser
DPF-programmets hjemmeside giver information om, hvordan virksomheder kan opdatere deres privatlivspolitikker og -procedurer og implementere sikkerhedsforanstaltninger, før de selv attesterer sig selv som kompatible og tilslutter sig DPF-programmet. Europæiske organisationer kan bruge det samme websted til at kontrollere en partners DPF-programforpligtelser.
Rammen giver EU-personer, hvis data bliver overført til deltagende virksomheder i USA, flere nye rettigheder, såsom retten til at få adgang til, rette og slette deres personlige data.
Den transatlantiske dataflow-aftale lover at fjerne eksisterende bureaukratiske forhindringer og usikkerheder.
Reduktion af usikkerheder
Becky White, en databeskyttelses- og privatlivsadvokat hos det britiske advokatfirma Harper James, sagde, at rammen lovede at forenkle forretninger mellem europæiske og amerikanske virksomheder, mens de advarede om, at nogle potentielle hindringer for implementeringen endnu ikke er overvundet.
"Selvom den foreslåede databro er velkommen nyhed for organisationer i både USA og Storbritannien, især i lyset af den vedvarende usikkerhed vedrørende internationale dataoverførsler, og burde betyde, at processen med at indgå kontrakter med leverandører eller kunder i USA bliver meget mere ligetil og mindre tidskrævende for britiske virksomheder har Storbritannien nogle kritiske hindringer, der skal overvindes, før det implementeres. Aspekter af politik og lovgivningsmæssig tilpasning på begge sider af Atlanten forbliver ufuldstændige, advarede White
"For det første vil det afhænge af den amerikanske udpegning af Storbritannien som en kvalificerende stat i henhold til præsident Bidens Executive Order 14086 (som etablerede databeskyttelsesgarantier for amerikanske signalefterretningstjenester)," forklarede White.
"Derudover er den britiske regerings foreslåede lov om databeskyttelse og digital information (DPDI 2) temmelig tæt på at blive vedtaget, og selvom regeringen fortsætter med at hævde, at de planlagte ændringer af den britiske databeskyttelsesordning ikke vil bringe EU's tilstrækkelighed i fare, ingen bekræftelse af som er lavet af EU."
Opbygning af cybersikkerhedsresiliens
Samling af intelligens og datadeling er afgørende for at opbygge robuste cybersikkerhedsforsvar.
Jon France, CISO ved cybersikkerhedsindustriens faglige udviklings- og certificeringsforening (ISC)², fortalte ISMS.online, at løft af hindringer for tværatlantisk datadeling vil forbedre cybersikkerhedssamarbejdet.
"Beslutningen om tilstrækkelighed af EU-US Data Privacy Framework introducerer betydelige forbedringer for virksomheder på begge sider af Atlanten," ifølge Frankrig. "Det er opmuntrende, at vi når en stat, hvor grænseoverskridende datastrøm er sikret, og virksomheder, der deltager i rammeværket, vil have frihed til at overføre data sikkert."
Frankrig fortsatte: "I sikkerhedsverdenen er adgang til data nøglen til opdagelse og afhjælpning af angreb. Evnen til at flytte sådanne data mellem transatlantiske parter, i både den offentlige og private sektor, vil forbedre forsvaret på tværs af begge kontinenter."
Løftet om forbedret sikkerhed, som rammen tilbyder, vil kun blive opfyldt, hvis organisationer får deres eget hus i orden, advarede Frankrig.
“Opretholdelse af privatlivets fred er afhængig af og kræver effektiv cybersikkerhed; de to går hånd i hånd,” ifølge Frankrig. "Organisationer har et ansvar for at opretholde et passende niveau af beskyttelse af personlige data, herunder strenge forpligtelser til deling med tredjeparter, og skal overholde privatlivsprincipper, såsom begrænsninger af dataopbevaring."
Frankrig konkluderede: "I deres kerne bør virksomheder vedtage robuste cybersikkerhedspraksis for at beskytte data og opbygge digital tillid."
Harmonisering af politik
Sam Peters, ISMS.online's CPO hilste aftalen velkommen som en nyttig hjælp til at navigere i forviklingerne af databeskyttelsesregler.
"Den nylige aftale om datatilstrækkelighed mellem EU og USA markerer en væsentlig milepæl i det internationale databeskyttelseslandskab," forklarede Peters. "Det skitserer en kritisk ramme, der ikke kun har til formål at beskytte personlige data, der overføres på tværs af Atlanten, men også at forbedre overholdelse, gennemsigtighed og ansvarlighed for amerikanske virksomheder."
Peters fortsatte: "Aftalen er ikke blot endnu en bureaukratisk forhindring, men et vigtigt værktøj til at navigere i forviklingerne af databeskyttelse i vores stadig mere indbyrdes forbundne digitale verden. Denne aftale præsenterer en solid ramme for harmonisering af dataoverførselspolitikker på tværs af Atlanten, og pålægger deltagende amerikanske virksomheder strenge privatlivsforpligtelser."
Grundsætninger
Aftalen tilbyder en ramme for at anvende bedste praksis for beskyttelse af privatlivets fred.
"Kernen i denne aftale er EU-US Data Privacy Framework," ifølge Peters. "Denne ordning gør det muligt for amerikanske virksomheder at validere deres forpligtelse til et omfattende sæt af privatlivsforpligtelser. Den kæmper for formålsbegrænsning, dataminimering og dataopbevaring og skitserer specifikke forpligtelser vedrørende datasikkerhed og deling med tredjeparter."
Peters tilføjede: "Sådanne foranstaltninger eksemplificerer aftalens hensigt om at styrke databeskyttelsen. Disse forpligtelser er ikke blot principper på papiret; de har direkte indflydelse på virksomhedernes operationelle strategier.”
Det amerikanske handelsministerium vil håndtere rammens administration, overvåge certificeringsansøgningsprocessen og overvåge deltagende virksomheders løbende overholdelse. US Federal Trade Commission håndhæver overholdelse, hvilket indikerer et "stærkt engagement i aftalens databeskyttelsesmål", ifølge ISMS.onlines Peters.
Data Bridge
Britiske datahåndteringsregler skal være i overensstemmelse med EU-reglerne for at undgå at forstyrre en hårfin balance.
Harper James' White advarede: "Hvis vedtagelsen af DPDI 2 omstøder den britiske EU-beslutning om tilstrækkelighed, kan dette til gengæld påvirke implementeringen af databroen mellem Storbritannien og USA, som generelt ses som en udvidelse af dataene mellem EU og USA. beskyttelse af privatlivets fred i øjeblikket, og en tilpasning af positionen under Storbritannien GDPR med EU GDPR for dataoverførsler fra Storbritannien til amerikanske organisationer, der certificerer til ordningen.
Gør dig klar
Beslutningen om tilstrækkelighed fik virkning fra dens vedtagelse den 10. juli. Der er ingen eksplicit tidslinje for overholdelse. Det er dog planen, at Europa-Kommissionen skal gennemgå effektiviteten af den amerikanske lovramme med jævne mellemrum, i første omgang et år efter indførelsen af rammen.
ISMS.onlines Peters advarede: "Det er vigtigt at bemærke, at beslutninger om tilstrækkelighed kan tilpasses eller trækkes tilbage, hvis udviklingen påvirker tredjelandets beskyttelsesniveau."
Virksomheder bør ikke spilde tid på at gennemgå deres politikker og procedurer for at opfylde bestemmelserne i rammebestemmelserne, rådede Peters.
"For at være forberedt på dette transformative landskab for databeskyttelse, skal virksomheder starte med at gennemgå deres nuværende datahåndteringspraksis grundigt," forklarede ISMS.onlines Peters. "At sikre overensstemmelse med rammens principper vil være afgørende for at validere overholdelse og undgå potentielle lovgivningsmæssige sanktioner."
Peters konkluderede: "Datatilstrækkelighedsaftalen mellem EU og USA tilføjer unægtelig en ny dimension til den globale databeskyttelsesarena. På kort sigt kan virksomhederne se dette som en ekstra reguleringsbyrde. Databeskyttelse og -sikkerhed er dog stadig vigtigere for forbrugere og virksomheder. I denne henseende katalyserer aftalen positive forandringer og håndhæver en global standard for databeskyttelse."
