Privacy 2.0: Forstå skift i overholdelseslandskabet
Indholdsfortegnelse:
Fremme af kunstig intelligens (AI), tilsluttede enheder og andre teknologier har ført til en dataeksplosion. Faktisk er det anslået at verden i øjeblikket skaber næsten 330 millioner terabyte hver dag.
Ved at indsamle og bruge denne skattekiste af data kan virksomheder bedre forstå og målrette deres kunder og i sidste ende forbedre deres forretningsstrategier og produkttilbud. Men efterhånden som dataindsamlingen øges, tager regeringerne skridt til at beskytte dem gennem ny lovgivning. Når de gør det, bliver spørgsmål som datagennemsigtighed, portabilitet og sletning vigtige prioriteter for moderne virksomheder, hvor datamisbrug risikerer store bøder og skader på omdømmet.
Efterhånden som teknologilandskabet fortsætter med at udvikle sig, vil databeskyttelsesforskrifter og retningslinjer også ændre sig.
Den globale databeskyttelseslov ændrer sig
I løbet af de næste par måneder kan virksomheder forvente at se ændringer i en række globale databeskyttelsesforordninger – herunder California Consumer Privacy Act (CCPA) i USA, den generelle databeskyttelsesforordning (GDPR) i Europa og loven om beskyttelse af personlige oplysninger (PIPL) i Kina.
California Privacy Protection Agency lancerede i denne måned en dedikeret hjemmeside hvor borgerne kan lære mere om deres privatlivsrettigheder. Greg Clark, direktør for produktstyring hos OpenText Cybersecurity, forventer, at agenturet vil fortsætte med at øge borgernes databeskyttelsesrettigheder gennem implementeringen af "strengere regler for brug af persondata og yderligere pligter til at udføre risikovurderinger og cybersikkerhedsrevisioner".
Der er også store databeskyttelsesændringer på vej i Europa. Clark forudser, at lovgivere vil udvide GDPR, så den har "dybere rødder omkring databeskyttelse, internationale dataoverførsler og harmoniserende håndhævelsesforanstaltninger".
En anden stor ændring af GDPR vil være formaliseringen af ePrivacy Regulation (ePR), som Clark siger vil hjælpe med at beskytte enkeltpersoners privatliv i forbindelse med elektronisk kommunikation.
Europæiske lovgivere presser også på med deres AI-lov. Tim Wright, partner hos Fladgate LLP, mener, at den nye lov "i væsentlig grad vil forme retningslinjer for privatliv og bedste praksis for AI-systemer, ansigtsgenkendelse og digitale ID'er i Europa". Bedste praksis for disse løsninger vil sandsynligvis fokusere på samtykke, adgangskontroller og dataminimering, tilføjer han.
Siden Storbritannien forlod EU, søger Storbritannien at bevæge sig væk fra GDPR ved at udvikle sin egen databeskyttelsesforordning. Kong Charles skitseret regeringens planer om et lovforslag om databeskyttelse og digital information (DPDI).
Andrew Bridges, DQ & governance manager hos Sagacity, forklarer til ISMS.online: "Lovforslaget bør introducere en klar forretningsvenlig ramme, der inkorporerer nøgleelementer fra UK GDPR, give organisationer større tillid til, hvordan og hvornår de kan behandle personlige oplysninger , og hvis samtykke er påkrævet."
Kina har også udviklet et robust databeskyttelsesregime i form af loven om beskyttelse af personlige oplysninger (PIPL), loven om datasikkerhed (DS) og loven om cybersikkerhed (CSL). Ifølge OpenTexts Clark er hovedformålet med disse love at beskytte de registreredes rettigheder i hele Kina.
Men en anden intention fra den kinesiske regering med at udarbejde og håndhæve disse love vil sandsynligvis forbedre datastrømmen for at "hjælpe til internationale dataoverførsler, [sikre] sikker brug af datadeling generelt og styre hele datalivscyklussen fra indsamling til bortskaffelse". tilføjer han.
Forbedring af brugerrettigheder
Når det kommer til at skabe nye databeskyttelseslove og udvikle eksisterende lovgivning, ser regeringerne ud til at fokusere på områder som datagennemsigtighed, portabilitet og sletning.
Hvad angår datagennemsigtighed, forklarer Protegrity VP, Alasdair Anderson, at lovgivere understreger vigtigheden af "klare, tilgængelige oplysninger om, hvordan persondata bliver brugt".
Der er nu større forventninger til, at organisationer forbedrer gennemsigtigheden af, hvordan de håndterer og bruger data. Mange organisationer tager skridt såsom at give fortrolighedsmeddelelser og offentliggørelser om dataindsamling og -brug, som en del af en "igangværende operationel proces med tilhørende omkostningsoverhead", forklarer Anderson.
Han fortæller til ISMS.online, at lovgivere også gør det nemmere for folk at flytte deres data mellem tjenesteudbydere. Dette har forbedret interoperabiliteten mellem tjenester og givet brugerne mere kontrol over deres data. Sådanne tendenser kan "drive en konvergens i standarderne for dataudveksling, lagring og måske endda privatlivsbeskyttelse," hævder Anderson.
Selvom datatransparens og portabilitetsrettigheder er nået langt i nyere tid, indrømmer Anderson, at retten til datasletning fortsat er en væsentlig udfordring for modne virksomheder med distribueret infrastruktur og processer.
"Omkostningseffektiv operationel udførelse kan kun opnås ved en avanceret teknologisk tilgang til data- og privatlivsstyring," forklarer han. "Alternativet, som ikke er uhørt, er at få personalet til at bruge betydelige ressourcer på at forsøge at finde brugeroplysninger."
Hvordan standarder kan hjælpe
For organisationer, der ønsker at sikre kontinuerlig overholdelse af nye databeskyttelsesforskrifter og forbedre datasikkerheden, kunne vedtagelsen af en anerkendt industristandard som ISO 27701 være et godt første skridt.
OpenTexts Clark opfordrer organisationer til at følge standarden, da den vil give dem "en baseline for forbedret databeskyttelse". Han beskriver det som en forlængelse af ISO 27001 der etablerer "specifik kontrol" til beskyttelse af persondata.
"Det skaber en fælles ramme, der hjælper med at sikre overholdelse af databeskyttelsesforskrifter som GDPR & CCPA, mindsker risiciene ved håndtering af personlige data og styrker tilliden til eksterne og interne interessenter," forklarer han.
Efterhånden som online sikkerhedstrusler intensiveres, bliver implementering af ISO 27701 kunne også hjælpe organisationer med at styrke cybersikkerheden. Clark siger, at dette er muligt, fordi ISO 27701 angiver "praksis til at identificere og proaktivt vurdere risici og sårbarheder".
På den måde kan det hjælpe virksomheder med at mindske sandsynligheden for økonomisk tab, skade på omdømmet og nedetid relateret til databrud og forbedre den overordnede effektivitet af driften.
"Implementering af ISO 27701 hjælper med at strømline datahåndteringsprocedurer og optimere ressourcestyring til databeskyttelse. Det omsættes til omkostningsbesparelser og forbedret driftseffektivitet i en organisation,” tilføjer han.
Før han vedtager ISO 27701, råder Clark organisationer til at gennemgå kravene i standarden og identificere eventuelle huller i deres datapraksis. Dette vil sætte dem i stand til at skabe en overholdelses-køreplan, spotte cybersikkerhedspraksis synergier og udnytte automatiseringsteknologier.
Dataindsamling har enorme fordele for virksomheder, men uden ordentlige sikkerhedsforanstaltninger og politikker på plads, kan det også udgøre en enorm virksomhedsrisiko. For at bruge data etisk og ansvarligt skal virksomheder forstå de involverede risici og overholde industriens regler. Det, der står klart, er, at ISO 27701 gør dette meget nemmere.
Unlocking Success: En guide til implementering af ISO 27701
Vi har lavet en praktisk køreplan på én side, opdelt i fem nøglefokusområder, for at tilgå og opnå ISO 27701 i din virksomhed. Der er ingen formular at udfylde. Download PDF'en i dag for en simpel kickstarter på din rejse til mere effektiv databeskyttelse.
