Da vi markerer fem år siden indførelsen af ​​GDPR, ser vi på, hvordan det har påvirket dem, der udfører det arbejde, som det har påvirket mest. Dan Raywood taler med fem personer, der udfører forskellige roller omkring cybersikkerhed for at forstå den overordnede indvirkning på deres arbejde.

Jon Baines, DPO, Mishcon de Reya

Hvordan føler du, at GDPR har påvirket din rolle fra dag til dag i de sidste fem år?

Det, som mange mennesker savner ved GDPR, er, at det ikke ændrede den eksisterende lov så meget – de fleste af definitionerne, principperne, forpligtelserne og rettighederne eksisterede allerede under databeskyttelsesdirektivet fra 1995 (implementeret i Storbritannien af ​​Data Protection Act 1998). Det, der ændrede sig, var af to hovedårsager: 1) håndhævelsesordningen GDPR øgede de potentielle maksimale bøder massivt – i Storbritannien havde det tidligere maksimum været 500,000 GBP, og nu var det blevet til 20 mio. EUR eller 4 % af den globale årlige omsætning, og i nogle EU-lande havde deres tidligere love slet ikke tilladt bøder; 2) GDPR fik massiv omtale (med støtte fra betydelige EU-midler), hvilket førte til, at databeskyttelse blev et bestyrelseslokale-emne, hvilket det sjældent eller aldrig havde været før.

Konsekvensen for en som mig, der fungerer som rådgiver, er, at mine tjenester blev kaldt på en måde og med en hyppighed, jeg aldrig havde set før. Når man tilføjer de kompleksiteter, som Brexit dengang medførte, med bibeholdelsen af ​​GDPR som "UK GDPR", men et helt nyt indenlandsk regime at overveje, har de sidste fem år været hektiske og udfordrende (men enormt interessante!)

Det skabte naturligvis DPO-rollen. Hvad med anmodninger om emneadgang, er den eksterne del af din rolle lige så afgørende som den overordnede interne databeskyttelse internt?

DPO'er eksisterede før GDPR. Men du har ret i, at GDPR satte dem på et lovbestemt grundlag. Tilsvarende var SAR'er ikke noget nyt, og de havde haft lovbestemt status i Storbritannien siden 1984(!), og DPO'er og advokater var allerede godt vant til at håndtere dem, men af ​​de grunde, der blev anført i det første svar, blev SAR'er blevet til. meget mere kendt efter GDPR kom ind.

Desuden måtte organisationer ikke længere opkræve det lille gebyr, de tidligere havde kunnet. De modtagne tal er generelt steget for de fleste organisationer, og klager til informationskommissæren over dem har også gjort det.

Som en person, der rådgiver eksterne erhvervskunder om at reagere på dem, men også rådgiver enkeltpersoner om, hvordan man laver dem, ved jeg, hvor udfordrende de kan være at håndtere, hvor nyttige de kan være for dem, der laver dem, men også hvor frustrerende og dyr processen er. kan være for begge sider. De forsvinder ikke – det nuværende lovforslag om databeskyttelse og digital information vil beholde dem, med sandsynligvis mindre ændringer – og de skal nu ses som en del af de fleste, hvis ikke alle, organisationers almindelige forretning såvel som et værdifuldt værktøj til enkeltpersoner, når de søger at gøre deres rettigheder gældende.

Bronwyn Boyle, tidligere CISO og cybersikkerhedsspecialist i finansielle tjenester

Hvordan føler du, at GDPR har påvirket din rolle fra dag til dag i de sidste fem år?

Mens sikkerhed ofte historisk set blev opfattet som et teknisk problem, fungerede GDPR som en katalysator for at nedbryde siloer og drive en mere holistisk og kollaborativ tilgang til sikkerhed. Det hævede sikkerhedsprofilen, idet bestyrelser og C-Suites med rette krævede gennemsigtig indsigt i den løbende udførelse af sikkerhedskontrol og styring af relaterede risici.

Mange af os i sikkerhedsmiljøet var glade for at se et tydeligt skift i dynamikken. I stedet for at kæmpe for at få budskaberne hørt, blev CISO'er inviteret til at tage plads ved bordet og bidrage til organisatorisk strategi.

Hvor meget påvirkede denne databeskyttelses- og brugerbeskyttelsesforordning den overordnede informationssikkerhed?

GDPR har givet en fantastisk mulighed for at uddybe samarbejdet og forbedre den gensidige forståelse på tværs af organisationer. Forretnings- og sikkerhedsteams fortsætter med at arbejde tæt sammen og sikrer, at personlige data er beskyttet gennem hele deres livscyklus. Det er fantastisk at se hvordan GDPR kan fungere som en fælles ramme at samle de mange forskellige teams, der rører ved personlige data på forskellige punkter. Jeg er glad for at se, hvordan GDPR har drevet varig forandring i forbedring af tværfunktionelt samarbejde.

GDPR har fungeret som et kulturelt omdrejningspunkt: både medarbejdere og slutbrugere blev bedre bevidste om værdien af ​​deres data og behovet for at holde dem sikkert gennem sikker adfærd. Det fortsætter også med at fremme bedre virksomhedsadfærd, hvor virksomheder stilles til ansvar for at krænke de registreredes rettigheder. I det nuværende klima med datahungrende AI-eksperimenter og hurtig indførelse er denne form for beskyttelse nødvendig mere end nogensinde.

Eduardo Ustaran, global medleder for privatlivs- og cybersikkerhedspraksis, Hogan Lovells

Hvordan føler du, at GDPR har påvirket din rolle fra dag til dag i de sidste fem år?

Efter den indledende tsunami af arbejde efter implementeringen af ​​GDPR, har de seneste fem år set en konsolidering af problemer, der er blevet topprioriteterne fra et compliance-perspektiv. Nøglebestræbelser er blevet brugt på at få det grundlæggende i orden (fra lovlige grunde til gennemsigtighed), adressering af enkeltpersoners rettigheder og naturligvis internationale dataoverførsler.

Den måske mest spændende del af GDPR fra et dagligt perspektiv har været, hvordan man mestrer nogle af dets nyheder, som f.eks. konsekvensanalyser af databeskyttelse, hjælper DPO'er med deres ansvar og opfylder kravene til anmeldelse af databrud.

Tror du, at folk forstår, hvad det handler om, hvorfor det blev introduceret, og hvad det opnår?

Folk anerkender bestemt, at GDPR gør databeskyttelse virkelig. Alle ved om det og taler om det, selvom det er en anden sag, om alle forstår nuancerne og kompleksiteten i loven. Med sin internationale anerkendelse har dette været den største succes for GDPR.

Når man har risikobaseret regulering, er det udfordrende klart at forstå, hvad den regulering gør, fordi de samme forpligtelser gælder på forskellige måder afhængigt af omstændighederne. Frem for alt er der en ret universel anerkendelse af, at GDPR handler om at håndtere personoplysninger ansvarligt, og at det ikke kommer i vejen for at udvikle teknologi eller drive forretning.

Neil Thacker, CISO, Netskope

Hvordan føler du, at GDPR har påvirket din rolle fra dag til dag i de sidste fem år?

GDPR har direkte påvirket min rolle som CISO hos Netskope – men det startede for næsten syv år siden med hensyn til at forberede GDPR. Mens mange af de grundlæggende kontroller ikke ændrede sig drastisk i forhold til den britiske databeskyttelsesmyndighed, er vigtigheden af ​​databeskyttelse og dataforvaltning, især med hensyn til at vise modenhed og rapportering over denne periode, steget.

Denne betydning har ikke kun kunnet mærkes internt, men også på tværs af tredjepartsleverandører, der er involveret i behandlingen af ​​enhver form for persondata. Vi sikrer, at alle vores leverandører opfylder strenge krav for at sikre, at de, der fungerer som underdatabehandlere, også lever op til de høje standarder, vi anvender til databeskyttelse.

Det har været en meget positiv oplevelse, især da vi har automatiseret mange af de opgaver, der er involveret i at administrere leverandører, sikre nye datastrømme og beskytte personlige data i hvile og i bevægelse.

Dominic Vogel, grundlægger og chefstrateg, Cyber.sc

Føler du, at GDPR har påvirket din måde at arbejde på i de sidste fem år?

Det korte svar er absolut! Mit arbejde fokuserer primært på SMB'er i B2B-området, og det er en nat og dag forskel på, hvordan privatlivets fred prioriteres. Enhver af mine kunder, der ønsker at have en tilstedeværelse i Europa, bygger automatisk med privatliv i tankerne; selv organisationer, der ikke har nogen forretning i Europa, sælger muligvis til organisationer, der har det, og som et resultat af, hvordan GDPR har flettet sig sammen i en bredere forsyningskæde due diligence, finder disse organisationer sig selv nødt til at bevise GDPR-overholdelse.

Har der været en forståelse af, hvad GDPR havde til formål at opnå uden for Europa?

Til en vis grad varierer forståelsen bestemt fra sektor til sektor: Der er SMB'er nu, der har solide privatlivsprogrammer på plads og integrerer privatliv ved design. Sådan var det ikke før. GDPR startede en mere meningsfuld æra med privatlivsdiskussioner her i Nordamerika. Som følge heraf ser vi mere forbedret og moderniseret privatlivslovgivning og -love.

Nogle spekulationer er, at andre regler kunne oprettes for at kopiere GDPR. Kan du se nogen direkte beviser for, at det er sket?

Jeg vil ikke sige, at jeg har set nogen "direkte beviser", men da teknologien hurtigt ændrer sig og udvikler sig (AI nogen?), er der behov for at holde privatlivets fred som GDPR opdateret og opdateret. Vi kan ikke længere skrive privatlivslove, der kan forblive uændrede i årtier. De skal være mere adrætte og opdateres oftere for at holde trit med teknologien.

Afsluttende tanker

Når man reflekterer over virkningen af ​​GDPR, er det klart, at denne forordning har medført transformative ændringer i databeskyttelsespraksis verden over. GDPR har styrket enkeltpersoner, sat højere standarder og fremmet en global dialog om privatliv og datasikkerhed.

Harmoniseringen af ​​databeskyttelseslove på tværs af EU-medlemsstater har været en betydelig præstation, der giver en ensartet ramme for virksomheder og privatlivsprofessionelle. Det forenkler compliance-indsatsen og sikrer ensartede standarder på tværs af grænser og for virksomheder. Denne harmonisering bør tjene som model for yderligere standardisering, forbedring af håndhævelsen og muliggør bedre forståelse og anvendelse af regler.

Med over 140 databeskyttelse Forordninger, der nu fungerer globalt, er der dog kun lidt harmonisering for virksomheder, der skal overholde eller demonstrere overholdelse af disse mange forskellige regionale og landespecifikke regler uden for GDPR. I løbet af de næste fem år vil styring af compliance-kompleksitet være en vedvarende udfordring.

Selvom compliance-udfordringer kan virke skræmmende, er det vigtigt at anerkende værdien af ​​effektiv compliance management-software. Robust implementering af compliance software strømliner processer, eliminerer gentagne opgaver og gør det muligt for organisationer at fokusere på specifikke compliance divergenser. Ved at udnytte overholdelsessoftware kan virksomheder spare værdifuld tid og ressourcer, øge den interne effektivitet og give tilsynsmyndigheder bevis på overholdelse.

I den uge, hvor Meta modtog en bøde på 1.2 milliarder dollars for overtrædelser af GDPR, er det en rettidig påmindelse for organisationer om at prioritere overholdelse. Det sender også et klart budskab – få styr på dit hus! Organisationer, der udfører dette godt, vil frigøre fordele langt ud over lovgivningsoverholdelse. God infosec er god forretning.