Hva regningen om databeskyttelse og digital informasjon betyr for virksomheten
Innholdsfortegnelse:
Storbritannias digitale økonomi var verdt anslagsvis 259 milliarder pund i 2021, ifølge regjeringen. Og den utgjorde 85 % av den totale tjenesteeksporten. Det er grunnen til at bedrifter har ventet spent på en av de mest betydningsfulle lovgivningene i post-Brexit-tiden: The Data Protection and Digital Information Bill (DPDI). Lovverket ble først introdusert sommeren 2022 og deretter pauset kort tid etter for konsultasjon med bransjeeksperter og bedriftsledere. nå spioneringen som en måte for britiske firmaer å kutte i papirarbeid og redusere handelsbarrierer uten å kompromittere personvern og databeskyttelse.
Men kan bestemmelsene faktisk øke byråkrati for organisasjoner i en tid da de allerede er overbelastet med nye overholdelsesmandater i USA?
Hva står i regningen?
Det er mye å pakke ut fra det som egentlig er Storbritannias forsøk på å produsere sin egen versjon av GDPR. Det er en blanding av avklaringer og utskjæringer som forsøker å gjøre loven mer forretningsvennlig uten å påvirke Storbritannias tilstrekkelighetsstatus, noe som vil sette datastrømmer til og fra EU i fare.
En av overskriftsendringene er å sikre at bare organisasjoner som driver med "høyrisiko" databehandling, som de som håndterer store mengder helsedata, trenger å føre journaler. Dette er designet for å kutte papirarbeid for et stort antall virksomheter. De nye reglene skal også tydeliggjøre når organisasjoner kan behandle data uten å kreve samtykke, for eksempel når det er verdig i allmennhetens interesse å dele personopplysninger for å forebygge kriminalitet.
Ytterligere avklaringer er gjort for å øke tilliten til AI ved å angi når sikkerhetstiltak må gjelde for automatisert beslutningstaking eller profilering, som er avgjørende for mange forretningsmodeller. Og det er nye regler utformet slik at kommersielle organisasjoner kan dra nytte av samme beskyttelse som akademikere når de driver forskning. Det betyr enhver forskning som "med rimelighet kan beskrives som vitenskapelig". Målet er igjen å redusere byråkrati og juridiske kostnader for forskere og samtidig drive mer vitenskapelig forskning i privat sektor.
Andre avvik fra GDPR inkluderer et nytt rammeverk for valgfri digital verifisering, økte bøter for plagsomme samtaler og tekstmeldinger til opptil 4 % av den globale omsetningen eller 17.5 millioner pund, og opprettelsen av et nytt lovpålagt styre for regulator, Information Commissioner's Office (ICO) ). Det er også forslag om å redusere antallet popup-vinduer for samtykke som internettbrukere ser på nettet, noe som effektivt betyr at firmaer vil kunne bruke sporingsteknologier på nettsteder og apper uten forutgående samtykke fra sluttbrukeren for analyser.
Hva regjeringen lover
Ikke overraskende roper regjeringen fra hustakene om de potensielle fordelene den nye versjonen av GDPR vil innlede. Den hevdet at reformene vil "låse opp" £4.7 milliarder i besparelser for britiske organisasjoner i løpet av det kommende tiåret uten å hindre internasjonale dataflyter. Faktisk hevder regjeringen at endringene vil øke den globale tilliten til deres reguleringsregime for å drive enda mer internasjonal handel. Lovgivningen vil bidra til å lette byrden som legges på små bedrifter, spesielt av det regjeringen beskriver som en lite fleksibel, ovenfra-og-ned europeisk lov.
Et annet tema er å øke bedriftens tillit – både om når de kan behandle personopplysninger uten samtykke og om å avklare når sikkerhetstiltak må gjelde ved bruk av AI-teknologier.
Sekretær for vitenskap, innovasjon og teknologi, Michelle Donelan, var opptatt av å understreke at lovforslaget hadde blitt "samdesignet" med bedrifter fra starten.
«Vårt system vil være lettere å forstå, lettere å etterleve, og dra nytte av de mange mulighetene til Storbritannia etter Brexit. Bedriftene og innbyggerne våre trenger ikke lenger å vikle seg rundt den barrierebaserte europeiske GDPR, sa hun ved lanseringen.
"Våre nye lover frigjør britiske virksomheter fra unødvendig byråkrati for å låse opp nye funn, drive frem neste generasjons teknologier, skape arbeidsplasser og øke økonomien vår."
Kan regningen øke byråkrati?
Det er imidlertid bekymring for at lovgivningen, langt fra å fjerne byråkrati, faktisk kan øke den for noen organisasjoner. Antonis Patrikios, en partner og global medformann for datavern og cybersikkerhetspraksis hos Dentons, forklarer at organisasjoner som ikke ønsker å endre sitt eksisterende GDPR-samsvarsrammeverk ikke trenger å gjøre det med den nye lovgivningen.
«Lovforslaget legger opp til at organisasjoner kan fortsette å overholde EUs GDPR hvis de ønsker det, og dette vil anses å oppfylle kravene i den nye britiske databeskyttelsesloven. Så, organisasjoner som ikke ønsker å bli påvirket av endringene som introduseres av lovforslaget, vil ikke trenge det, sier han til ISMS.online.
Men selv om det vil redusere den potensielle etterlevelsesbyrden, spesielt for de med europeiske operasjoner, vil det bety at disse organisasjonene ikke kan dra nytte av de mye omtalte fordelene med den nye lovgivningen. De som ønsker det, må effektivt opprettholde to separate overholdelsesrammeverk, ett for deres EU-operasjoner (GDPR) og ett for Storbritannia (DPDI).
Patrikios innrømmer det.
"Av de organisasjonene som ønsker å benytte seg av de strømlinjeformede (og sannsynligvis lettere å overholde) reviderte britisk lovkrav, vil de som behandler både britiske personopplysninger og EU-personopplysninger måtte tenke litt mer for å vurdere omfanget av som de ønsker å stole på den reviderte britiske loven og hvordan de i praksis vil håndtere samspillet mellom å anvende én standard (dvs. EU GDPR) for sine EU-data og en annen standard (dvs. den reviderte britiske databeskyttelsesloven) for sine britiske data, " han sier.
Det er også et spørsmålstegn ved om det er i organisasjonenes beste å gjøre etterlevelse enklere, spesielt hvis det får utilsiktede konsekvenser. Fjerningen av behovet for de fleste lavrisikodatabehandlere for å føre journaler er et slikt tilfelle, ifølge Edward Machin, senioradvokat i Ropes & Grays praksis for data, personvern og nettsikkerhet.
"Selv om ingen kommer til å klage på en reduksjon i papirarbeidet, betyr det å fjerne kravet til de fleste bedrifter om å opprettholde persondatabeholdninger at de kan slite med å forstå hvordan og hvor de holder data, noe som ikke er til noens fordel," argumenterer han.
Hvordan bedrifter kan håndtere den ekstra arbeidsmengden
Enhver økning i overholdelsesarbeid for britiske organisasjoner vil komme på en travel tid. I år er det forventet at syv stater, inkludert Colorado, Connecticut, Utah og Virginia, vil begynne å håndheve nye GDPR-inspirerte vedtekter. Den ekstra arbeidsmengden truer med å overvelde oversvømmede overholdelsesteam.
«I tillegg til den britiske databeskyttelseslovreformen og prosesser for reform av personvernloven i USA, er det nye personvernlover og/eller utviklende veiledning og praksis i viktige markeder som Kina, India og Canada. Vi bør heller ikke glemme pakken med cybersikkerhet (f.eks. NIS 2 og DORA) eller teknologireguleringslover (som AI Act og DSA) som er på vei gjennom EUs lovgivningsprosess,” forklarer Patrikios.
"Organisasjoner bør vurdere hvilke av disse nye lovene som gjelder for dem, og deretter vurdere hva den sannsynlige virkningen kommer til å bli og hvordan de kan forberede seg på det. Ved å gjøre dette er det viktig å snakke med eksterne spesialistrådgivere fordi det er nye bestemmelser, hvorav noen ikke har presedens, så de kan være vanskelige å anvende i praksis. Hvis mer enn én ny lov gjelder, kan det hende at det ikke er enkelt å strømlinjeforme etterlevelsesarbeidet, og det kan være svært nyttig i praksis å få styr på hva andre i markedet gjør.»
Det er her pålitelige partnere som ISMS.online kan hjelpe ved å tilby en sentralisert portal der kundene kan administrere alle sine overholdelsestiltak på ett sted. Enda bedre, der noen oppgaver og spesifikasjoner ser like ut på tvers av ulike regulatoriske rammer, kan ISMS.online sikre at team ikke kaster bort tid på å duplisere innsatsen.
