Hvad regningen om databeskyttelse og digital information betyder for erhvervslivet
Indholdsfortegnelse:
Storbritanniens digitale økonomi var ifølge regeringen anslået 259 milliarder pund værd i 2021. Og den udgjorde 85 % af den samlede serviceeksport. Det er derfor, virksomheder har ventet spændt på en af de mest betydningsfulde stykker lovgivning i post-Brexit-æraen: Lovforslaget om databeskyttelse og digital information (DPDI). Lovgivningen blev først indført i sommeren 2022 og derefter sat på pause kort efter til konsultation med brancheeksperter og virksomhedsledere. bliver nu udråbt som en måde for britiske virksomheder at skære i papirarbejdet og reducere handelsbarrierer uden at kompromittere privatlivets fred og databeskyttelse.
Men kunne dens bestemmelser faktisk øge bureaukratiet for organisationer på et tidspunkt, hvor de allerede er overbelastet med nye overholdelsesmandater i USA?
Hvad står der i regningen?
Der er masser at pakke ud af, hvad der i bund og grund er Storbritanniens forsøg på at producere sin egen version af GDPR. Det er en blanding af præciseringer og udskæringer, der forsøger at gøre loven mere forretningsvenlig uden at påvirke Storbritanniens tilstrækkelighedsstatus, hvilket ville bringe datastrømme til og fra EU i fare.
En af overskriftens ændringer er at sikre, at kun organisationer, der beskæftiger sig med "højrisiko" databehandling, såsom dem, der håndterer store mængder sundhedsdata, skal føre journaler. Dette er designet til at reducere papirarbejdet for et stort antal virksomheder. De nye regler har også til formål at præcisere, hvornår organisationer kan behandle data uden at kræve samtykke, såsom når det er værdsat i offentlighedens interesse at dele personoplysninger for at forebygge kriminalitet.
Der er foretaget yderligere præciseringer for at øge tilliden til kunstig intelligens ved at angive, hvornår sikkerhedsforanstaltninger skal gælde for automatiseret beslutningstagning eller profilering, som er afgørende for mange forretningsmodeller. Og der er nye regler designet, så kommercielle organisationer kan nyde godt af samme beskyttelse som akademikere, når de udfører forskning. Det betyder enhver forskning, der "med rimelighed kan betegnes som videnskabelig". Målet er igen at reducere bureaukrati og juridiske omkostninger for forskere og samtidig drive mere videnskabelig forskning i den private sektor.
Andre afvigelser fra GDPR omfatter en ny ramme for valgfri digital verifikation, øgede bøder for generende opkald og sms-beskeder til op til 4 % af den globale omsætning eller £17.5 mio. og oprettelsen af en ny lovpligtig bestyrelse for regulator Information Commissioner's Office (ICO) ). Der er også forslag til at reducere antallet af samtykke-pop-ups, som internetbrugere ser online, hvilket effektivt betyder, at virksomheder vil være i stand til at bruge sporingsteknologier på websteder og apps uden forudgående slutbrugers samtykke til analyser.
Hvad regeringen lover
Det er ikke overraskende, at regeringen råber fra hustagene om de potentielle fordele, dens nye version af GDPR vil indlede. Den hævdede, at reformerne vil "låse op" £4.7 mia. i besparelser for britiske organisationer i løbet af det kommende årti uden at hæmme internationale datastrømme. Faktisk hævder regeringen, at ændringerne vil øge den globale tillid til dets reguleringsregime for at drive endnu mere international handel. Lovgivningen vil hjælpe med at lette den byrde, der pålægges små virksomheder, især af hvad regeringen beskriver som en ufleksibel, top-down europæisk lov.
Et andet tema er at øge virksomhedernes tillid – både om hvornår de kan behandle persondata uden samtykke og om at afklare hvornår der skal gælde sikkerhedsforanstaltninger ved brug af AI-teknologier.
Videnskabs-, innovations- og teknologisekretær, Michelle Donelan, var ivrig efter at understrege, at lovforslaget var blevet "samdesignet" med virksomheder fra starten.
"Vores system vil være lettere at forstå, nemmere at overholde og udnytte de mange muligheder i Storbritannien efter Brexit. Vores virksomheder og borgere behøver ikke længere at vikle sig rundt i den barrierebaserede europæiske GDPR,” sagde hun ved lanceringen.
"Vores nye love frigør britiske virksomheder fra unødvendig bureaukrati for at låse op for nye opdagelser, drive næste generations teknologier frem, skabe job og sætte skub i vores økonomi."
Kunne regningen øge bureaukrati?
Der er dog bekymring for, at lovgivningen langt fra fjerner bureaukrati, men faktisk kan øge den for nogle organisationer. Antonis Patrikios, en partner og global medformand for databeskyttelses- og cybersikkerhedspraksis hos Dentons, forklarer, at organisationer, der ikke ønsker at ændre deres eksisterende GDPR-overholdelsesramme, ikke behøver at gøre det med den nye lovgivning.
»Lovforslaget forudser, at organisationer fortsat kan overholde EU's GDPR, hvis de ønsker det, og dette vil blive anset for at opfylde kravene i den nye britiske databeskyttelseslov. Så organisationer, der ikke ønsker at blive påvirket af de ændringer, der indføres med lovforslaget, vil ikke være nødt til det,” siger han til ISMS.online.
Men selvom det ville reducere den potentielle overholdelsesbyrde, især for dem med europæiske operationer, ville det betyde, at disse organisationer ikke kan drage fordel af de meget omtalte fordele ved den nye lovgivning. De, der ønsker det, skal effektivt opretholde to separate overholdelsesrammer, en for deres EU-operationer (GDPR) og en for Storbritannien (DPDI).
Det indrømmer Patrikios.
"Af de organisationer, der gerne vil benytte sig af de strømlinede (og sandsynligvis nemmere at overholde) reviderede britiske lovkrav, vil de, der behandler både britiske personoplysninger og EU-personoplysninger, skulle tænke lidt mere over for at overveje omfanget af som de ønsker at stole på den reviderede britiske lov, og hvordan de i praksis vil håndtere samspillet mellem at anvende én standard (dvs. EU GDPR) for deres EU-data og en anden standard (dvs. den reviderede britiske databeskyttelseslov) for deres britiske data, " han siger.
Der er også et spørgsmålstegn ved, om det er i organisationernes bedste interesse at gøre compliance nemmere, især hvis det har utilsigtede konsekvenser. Fjernelsen af behovet for de fleste lavrisiko-databehandlere til at føre optegnelser er en sådan sag, ifølge Edward Machin, en senioradvokat i Ropes & Grays data-, privatlivs- og cybersikkerhedspraksis.
"Selvom ingen kommer til at klage over en reduktion i papirarbejdet, betyder det at fjerne kravet til de fleste virksomheder om at vedligeholde personlige datafortegnelser, at de måske har svært ved at forstå, hvordan og hvor de opbevarer data, hvilket ikke er til nogens fordel," argumenterer han.
Hvordan virksomheder kan håndtere den ekstra arbejdsbyrde
Enhver stigning i compliance-arbejdet for britiske organisationer vil komme på en travl tid. I år forventes det, at syv stater, herunder Colorado, Connecticut, Utah og Virginia, vil begynde at håndhæve nye GDPR-inspirerede vedtægter. Den ekstra arbejdsbyrde truer med at overvælde oversvømmede compliance-teams.
"Ud over reformen af den britiske databeskyttelseslovgivning og den amerikanske delstatsreform af privatlivslovgivningen er der nye love om beskyttelse af privatlivets fred og/eller udviklende vejledning og praksis på vigtige markeder som Kina, Indien og Canada. Vi bør heller ikke glemme pakken af cybersikkerhed (f.eks. NIS 2 og DORA) eller teknologireguleringslove (såsom AI-loven og DSA), der er på vej gennem EU-lovgivningsprocessen,” forklarer Patrikios.
"Organisationer bør overveje, hvilke af disse nye love, der gælder for dem, og derefter overveje, hvad den sandsynlige virkning vil være, og hvordan man bliver klar til det. I den forbindelse er det væsentligt at tale med eksterne specialrådgivere, fordi der er nye bestemmelser, hvoraf nogle ikke har præcedens, så de kan være svære at anvende i praksis. Hvis mere end én ny lov gælder, er det måske ikke ligetil at strømline compliance-indsatsen, og det kan være meget nyttigt i praksis at få styr på, hvad andre på markedet gør."
Det er her betroede partnere som ISMS.online kan hjælpe ved at tilbyde en centraliseret portal, hvor kunderne kan administrere alle deres overholdelsesindsats ét sted. Endnu bedre, hvor nogle opgaver og specifikationer ser ens ud på tværs af forskellige regulatoriske rammer, kan ISMS.online sikre, at teams ikke spilder tid på at duplikere deres indsats.
