Personvern 2.0: Forstå endringer i samsvarslandskapet
Innholdsfortegnelse:
Fremme av kunstig intelligens (AI), tilkoblede enheter og andre teknologier har ført til en dataeksplosjon. Faktisk er det det anslått at verden for tiden skaper nesten 330 millioner terabyte hver dag.
Ved å samle inn og bruke denne skattekisten av data, kan bedrifter bedre forstå og målrette kundene sine, og til slutt forbedre sine forretningsstrategier og produkttilbud. Etter hvert som datainnsamlingen øker, tar imidlertid myndighetene skritt for å beskytte den gjennom ny lovgivning. Når de gjør det, blir spørsmål som datagjennomsiktighet, portabilitet og sletting viktige prioriteringer for moderne virksomheter, med datamisbruk som setter dem i fare for store bøter og skade på omdømmet.
Etter hvert som teknologilandskapet fortsetter å utvikle seg, vil også databeskyttelsesforskrifter og retningslinjer endres.
Global databeskyttelseslov er i endring
I løpet av de neste månedene kan bedrifter forvente å se endringer i en rekke globale databeskyttelsesforskrifter – inkludert California Consumer Privacy Act (CCPA) i USA, den generelle databeskyttelsesforordningen (GDPR) i Europa og loven om beskyttelse av personopplysninger (PIPL) i Kina.
California Privacy Protection Agency lanserte denne måneden en egen nettside hvor innbyggerne kan lære mer om sine personvernrettigheter. Greg Clark, direktør for produktledelse ved OpenText Cybersecurity, forventer at byrået vil fortsette å øke innbyggernes rettigheter til personvern gjennom implementeringen av «strengere regler for bruk av personopplysninger og tilleggsplikter for å gjennomføre risikovurderinger og cybersikkerhetsrevisjoner».
Det er også store endringer i personvern for data i Europa. Clark spår at lovgivere vil utvide GDPR slik at den har "dypere røtter rundt databeskyttelse, internasjonale dataoverføringer og harmonisering av håndhevelsestiltak".
En annen stor endring i GDPR vil være formaliseringen av ePrivacy Regulation (ePR), som Clark sier vil bidra til å ivareta enkeltpersoners personvern i sammenheng med elektronisk kommunikasjon.
Europeiske lovgivere presser også på med sin AI-lov. Tim Wright, partner i Fladgate LLP, mener at den nye loven vil "betydelig forme retningslinjer for personvern og beste praksis for AI-systemer, ansiktsgjenkjenning og digitale ID-er i Europa". Beste praksis for disse løsningene vil sannsynligvis fokusere på samtykke, tilgangskontroller og dataminimering, legger han til.
Etter at Storbritannia forlot EU, ønsker Storbritannia å gå bort fra GDPR ved å utvikle sin egen databeskyttelsesforordning. Kong Charles skissert regjeringens planer for et lovforslag om databeskyttelse og digital informasjon (DPDI).
Andrew Bridges, DQ & governance manager i Sagacity, forklarer til ISMS.online: «Lovforslaget bør introdusere et klart forretningsvennlig rammeverk som inkluderer nøkkelelementer i Storbritannias GDPR, gi organisasjoner større tillit til hvordan og når de kan behandle personlig informasjon , og hvis samtykke kreves."
Kina har også utviklet et robust databeskyttelsesregime i form av personopplysningsloven (PIPL), datasikkerhetsloven (DS) og cybersikkerhetsloven (CSL). I følge OpenTexts Clark, er hovedmålet med disse lovene å beskytte registrerte rettigheter over hele Kina.
Men en annen intensjon til den kinesiske regjeringen med å utarbeide og håndheve disse lovene vil sannsynligvis forbedre dataflyten for å «hjelpe til internasjonale dataoverføringer, [sikre] sikker bruk av datadeling generelt og administrere hele datalivssyklusen fra innsamling til disponering». han legger til.
Forbedre brukerrettigheter
Når det gjelder å lage nye databeskyttelseslover og utvikle eksisterende lovgivning, ser det ut til at regjeringer fokuserer på områder som datatransparens, portabilitet og sletting.
Når det gjelder datatransparens, forklarer Protegrity VP, Alasdair Anderson, at lovgivere understreker viktigheten av "klar, tilgjengelig informasjon om hvordan personopplysninger brukes".
Det er nå større forventninger til organisasjoner om å forbedre åpenheten om hvordan de håndterer og bruker data. Mange organisasjoner tar skritt som å gi personvernerklæringer og avsløringer om datainnsamling og bruk, som en del av en "pågående operasjonell prosess med tilhørende kostnadsoverhead", forklarer Anderson.
Han sier til ISMS.online at lovgivere også gjør det enklere for folk å flytte dataene sine mellom tjenesteleverandører. Dette har forbedret interoperabiliteten mellom tjenester og gitt brukerne mer kontroll over dataene sine. Slike trender kan "drive en konvergens i standardene for datautveksling, lagring og kanskje til og med personvern," hevder Anderson.
Selv om datatransparens og portabilitetsrettigheter har kommet langt i nyere tid, innrømmer Anderson at retten til datasletting fortsatt er en betydelig utfordring for modne selskaper med distribuert infrastruktur og prosesser.
"Kostnadseffektiv operasjonell utførelse kan bare oppnås med en avansert teknologisk tilnærming til data- og personvernstyring," forklarer han. "Alternativet, som ikke er uhørt, er å la ansatte bruke betydelige ressurser på å prøve å finne brukerinformasjon."
Hvordan standarder kan hjelpe
For organisasjoner som ønsker å sikre kontinuerlig overholdelse av nye databeskyttelsesforskrifter og forbedre datasikkerheten, kan det være et godt første skritt å ta i bruk en anerkjent industristandard som ISO 27701.
OpenTexts Clark oppfordrer organisasjoner til å følge standarden, siden den vil gi dem "en grunnlinje for forbedret datavern". Han beskriver det som en forlengelse av ISO 27001 som etablerer "spesifikke kontroller" for beskyttelse av personopplysninger.
"Det skaper et felles rammeverk som bidrar til å sikre overholdelse av personvernforskrifter som GDPR og CCPA, redusere risikoen ved å administrere personopplysninger og styrke tilliten til eksterne og interne interessenter," forklarer han.
Etter hvert som truslene om nettsikkerhet øker, øker implementering av ISO 27701 kan også hjelpe organisasjoner med å styrke cybersikkerhet. Clark sier at dette er mulig fordi ISO 27701 angir "praksis for å identifisere og proaktivt vurdere risikoer og sårbarheter".
Ved å gjøre det kan det hjelpe bedrifter med å redusere sannsynligheten for økonomisk tap, skade på omdømmet og nedetid relatert til datainnbrudd, og forbedre den generelle effektiviteten til driften.
"Implementering av ISO 27701 hjelper til med å strømlinjeforme datahåndteringsprosedyrer og optimalisere ressursadministrasjon for databeskyttelse. Det oversetter til kostnadsbesparelser og forbedret operasjonell effektivitet i en organisasjon, legger han til.
Før han tar i bruk ISO 27701, råder Clark organisasjoner til å gjennomgå kravene i standarden og identifisere eventuelle hull i datapraksisen deres. Dette vil gjøre dem i stand til å lage et veikart for samsvar, oppdage synergier for cybersikkerhetspraksis og utnytte automatiseringsteknologier.
Datainnsamling har enorme fordeler for bedrifter, men uten riktige sikkerhetstiltak og retningslinjer på plass, kan det også representere en stor bedriftsrisiko. For å bruke data etisk og ansvarlig, må virksomheter forstå risikoene som er involvert og overholde bransjeforskrifter. Det som er klart er at ISO 27701 gjør dette mye enklere.
Unlocking Success: En guide til implementering av ISO 27701
Vi har laget et praktisk veikart på én side, delt inn i fem hovedfokusområder, for å nærme seg og oppnå ISO 27701 i virksomheten din. Det er ikke noe skjema å fylle ut. Last ned PDF-en i dag for en enkel kickstarter på reisen din mot mer effektivt personvern.
