Technológia

Az ipar a GDPR három évére reflektál

Az elmúlt évben kiemelkedően korrekt lenne azt mondani, hogy a kiberbiztonsági ipar nem feltétlenül a Általános adatvédelmi rendelet (GDPR). Inkább a fenyegetések megugrása, valamint a sok jelentős és hatásos kibertámadás miatt könnyen belátható, miért esett másutt a figyelem.

Ám a GDPR folyamatosan tartja a lépést, és amikor május 25-én eléri harmadik évfordulóját, az adatvédelmi szakértők ismét felmérik a széles körű szabályozások hatásait.

Rob Elliss, Thales Az EMEA adatvédelmi alelnöke szerint sokan még mindig megkérdőjelezik, hogy a jogszabályok hatékonyak voltak-e, de összességében elégedettnek nyilvánította az általános álláspontot.

“Világos, hogy néhány olyan vállalkozást, amelyet indokoltan fogtak ki, nagy pénzbírságokkal sújtanak, amelyek vitathatatlanul lefeküdték ezeket a” fogakkal “kapcsolatos kérdéseket” – mondta. „Ráadásul a GDPR az innováció mozgatórugója volt azáltal, hogy az adatok láthatósága és védelme révén javította a vállalkozások kiberbiztonsági helyzetét, valamint egységesítette a folyamatot az EU digitális piacán.

„Ez egy olyan jogszabály, amely lehetővé tette, hogy az ügyfélközpontú kiberbiztonság megjelenjen a digitális korszakban a magánélet védelme érdekében folytatott párbeszédben – és amely inspirálja a világ többi részét, nevezetesen az Egyesült Államokat.

„A GDPR első megalkotásakor azonban a jogszabály nem feltétlenül vette figyelembe az új technológiák bevezetését és a világjárványba történő gyors vándorlást, amelyet a járvány idézett elő. Ebben a távmunkás korszakban a vállalkozásoknak szinte egyik napról a másikra digitálisan kellett átalakulniuk, csak azért, hogy világítsanak, anélkül, hogy szükségszerűen beépítették volna a biztonságot az új rendszerek és folyamatok tervezésébe.

Az Egyesült Királyságban 2020-21 a GDPR-hírekben figyelemre méltó volt az információk biztosának hivatala (ICO) által végzett nyomozások és pénzbírságok ideiglenes enyhítése, enyhítő intézkedés a világjárvány fényében, de olyan lehet, amely a teljes megfelelés szempontjából átütő hatást gyakorolhat, legalábbis Oliver Cronk, a Tanium.

„Mivel a [ICO] bejelentést tettek, nagyon valószínű, hogy a GDPR betartása egyes szervezetek számára kevésbé fókuszált ”- mondta. “Ha ezt összekapcsolja azzal a ténnyel, hogy sok szervezet figyelmét más prioritásokra hívta fel a világjárvány idején, úgy gondolom, hogy előfordulhat olyan tévedés, amely a következő egy-két évben nagy GDPR-bírságot von maga után.”

A járvány további hatása új adattípusok terjedése volt, amelyek nagy része a közegészségügyre vonatkozott – ilyenek például a Covid-19 teszt eredményei, antitest tesztek és az utóbbi időben az oltás állapota. IntSight’s Chris Strand, a megfelelésért felelős vezérigazgató elmondta: “Az adatok hibás felhasználásának, kitettségének vagy hasznosításának a kockázata a GDPR szerinti adathasználat megsértése miatti büntetések mérésére és végrehajtására használt végrehajtási mechanizmusok további finomítását eredményezheti.”

Végre a Brexit? Egyesült Királyság továbbra is nyugalomban van

Az Egyesült Királyság olvasói számára az elmúlt 12 hónap további változásokat hozott, mivel az átmeneti időszak véget ért január 1-jén éjfélkor, ami az Egyesült Királyság végleges kilépését az EU-ból.

Összefoglalva, bár az Egyesült Királyság ezt megtette megfelelőségi döntést biztosított az EU-27 új határán áthaladó adatok biztonságának fenntartása érdekében a következő hónapon belül felülvizsgálati döntés várható erről az ítéletről.

De a folyamatban lévő járvány bizonyos mértékig elfedte a Brexit teljes hatásainak egy részét – és sok más nem biztos, hogy hónapokig vagy évekig érezhető -, és ez alól a GDPR valódi hatása sem kivétel – mondta Elizabeth Schweyen, Druvaé a globális adatvédelem és a megfelelés vezetője.

“Az Egyesült Királyság a Brexit utáni átmeneti időszakban van, amikor a várakozások szerint várják, hogy mely átadási mechanizmusok kerülnek bevezetésre, és hogy a vállalkozásoknak hogyan kell megváltoztatniuk a gyakorlatukat válaszként” – mondta. „Mindazonáltal egyértelmű, hogy függetlenül attól, hogy pontosan milyen intézkedést hoznak, az adatvédelem továbbra is kulcsfontosságú marad.

„Az Egyesült Királyság GDPR-je és az EU GDPR-je nagyon hasonló, így van esély arra, hogy az adatátviteleket ez ne befolyásolja. Az is lehetséges, hogy a szabályozók által kiszabott új bírságok pontosan rávilágítanak arra, hogyan értelmezik a GDPR-törvények előrelépését. Ezért a vállalkozásoknak fel kell készülniük az esetleges változtatásokra, amelyeket végre kell hajtaniuk, az EU vagy az Egyesült Királyság döntéshozóinak egyértelmű útmutatása előtt.

„Függetlenül attól, hogy mi következik, nyugodtan mondhatjuk, hogy a vállalkozásoknak folyamatosan felül kell tartaniuk az adatvédelmi hatóságok által megosztott ajánlásokat és információkat. Mivel az Egyesült Királyság, valamint az Egyesült Államok különálló államai változatos adatvédelmi szabályozásokat dolgoznak ki, egyre nagyobb számban vannak olyan törvények és irányelvek, amelyeket a vállalkozások várhatóan betartanak és betartanak az elkövetkező években. “

A következő 12 hónap

Amint a világ kezd kibontakozni a világjárványból, Tanium Cronk azt tanácsolja a szervezeteknek, hogy a következő hónapok előnyeit kihasználva értékeljék újra működésüket annak biztosítására, hogy az elmúlt évben elfogadott új folyamatok és munkamódszerek teljes mértékben megfeleljenek a „új normális”.

“Az irányelvek helyes követése érdekében a vállalkozásoknak együtt kell működniük az adatvédelmi tisztviselőikkel, hogy támogatást nyújtsanak az egész szervezet számára” – mondta. “Különösen akkor, ha sok esetben egyik napról a másikra új működési modelleket és folyamatokat kellett bevezetni.

“Példák ezekre a változásokra olyan ágazatok, mint a vendéglátás, amelyek az új pandémiával kapcsolatos folyamatok miatt most minden eddiginél több személyes információt gyűjtenek az ügyfelektől, és könnyű abba a csapdába esni, hogy nem egyértelműen deklarálják, mire használják az adatokat, hogyan dolgozzák fel és meddig fogják megőrizni. A szervezeteknek ügyelniük kell arra, hogy a pandémiát követő folyamatok betartását ne hagyják figyelmen kívül, vagy a jövőben csúnya meglepetések, például pénzbírságok érhetik őket. ”

Thales Elliss hozzátette: „A szervezeteknek tisztában kell lenniük az általuk alkalmazott távmunka-politikák megfelelési következményeivel. Az adatvédelmi tisztviselőknek óriási szerepe van abban, hogy vállalataik megértsék ezeket a szabályozásokat, és hol kell alkalmazkodniuk. Ellenkező esetben azt láthatnánk, hogy a GDPR egyszerűbb hibákkal ragadja meg a törvénytisztelőbb vállalatokat, nem pedig az a valódi feladata, hogy olyan vállalatokat találjon, amelyek szándékosan veszélyeztetik az ügyféladatokat. ”

Egy ilyen helyzetet találóan kiemelt a közelmúltbeli esés az adatvédelmi pajzsról szóló Schrems II, potenciálisan problémákat vet fel azok számára, akik ragaszkodtak a törvényhez. Elliss elmondta: “Mivel a GDPR vezeti az utat, és az Egyesült Államok követi ezt, a megfelelés megértése soha nem volt olyan fontos.”