Når vi markerer fem år siden innføringen av GDPR, ser vi på hvordan det har påvirket de som gjør arbeidet som det har påvirket mest. Dan Raywood snakker med fem personer som har forskjellige roller rundt cybersikkerhet for å forstå den generelle innvirkningen på arbeidet deres.

Jon Baines, DPO, Mishcon de Reya

Hvordan føler du at GDPR har påvirket rollen din fra dag til dag de siste fem årene?

Det mange savner med GDPR er at den ikke endret den eksisterende loven så mye – de fleste av definisjonene, prinsippene, forpliktelsene og rettighetene eksisterte allerede under databeskyttelsesdirektivet fra 1995 (implementert i Storbritannia av Data Protection Act 1998). Det som endret seg var fokuset på to hovedårsaker: 1) håndhevingsordningen GDPR økte de potensielle maksimumsbøtene massivt – i Storbritannia hadde det forrige maksimumsgrensen vært 500,000 20 pund, og nå var det blitt 4 millioner euro eller 2 % av den globale årlige omsetningen, og i noen EU-land hadde deres tidligere lover ikke engang tillatt bøter i det hele tatt; XNUMX) GDPR fikk massiv publisitet (med støtte fra betydelig EU-finansiering) som førte til at databeskyttelse ble et styreromstema, noe det sjelden eller aldri hadde vært før.

Konsekvensen for en som meg, som fungerer som rådgiver, er at tjenestene mine ble tilkalt på en måte og med en frekvens jeg aldri hadde sett før. Når du legger til kompleksiteten som Brexit da førte med seg, med bevaring av GDPR som «UK GDPR», men et helt nytt nasjonalt regime å vurdere, har de siste fem årene vært hektiske og utfordrende (men enormt interessante!)

Det skapte åpenbart DPO-rollen. Hva med forespørsler om emnetilgang, er den eksterne delen av rollen din like viktig som generell intern databeskyttelse internt?

DPO-er eksisterte før GDPR. Men du har rett i at GDPR satte dem på et lovfestet grunnlag. Tilsvarende var ikke SAR-er noe nytt, og de hadde hatt lovfestet status i Storbritannia siden 1984(!), og DPO-er og advokater var allerede godt vant til å håndtere dem, men av grunnene gitt i det første svaret ble SAR-er mye mer kjent etter at GDPR kom inn.

Videre fikk organisasjoner ikke lenger kreve den lille avgiften de tidligere hadde kunnet. Antall mottatte har generelt økt for de fleste organisasjoner, og klager til informasjonssjefen på dem har også gjort det.

Som en som gir råd til eksterne bedriftskunder om å svare på dem, men også gir råd til enkeltpersoner om hvordan de kan lage dem, vet jeg hvor utfordrende de kan være å håndtere, hvor nyttige de kan være for de som lager dem, men også hvor frustrerende og kostbar prosessen kan være for begge sider. De forsvinner ikke – det gjeldende lovforslaget om databeskyttelse og digital informasjon vil beholde dem, med sannsynligvis mindre endringer – og de bør nå sees på som en del av den vanlige virksomheten til de fleste, om ikke alle, organisasjoner, samt et verdifullt verktøy for enkeltpersoner når de søker å hevde sine rettigheter.

Bronwyn Boyle, tidligere CISO og cybersikkerhetsspesialist i finansielle tjenester

Hvordan føler du at GDPR har påvirket rollen din fra dag til dag de siste fem årene?

Mens sikkerhet ofte historisk sett ble oppfattet som et teknologisk problem, fungerte GDPR som en katalysator for å bryte ned siloer og drive en mer helhetlig og samarbeidende tilnærming til sikkerhet. Det hevet sikkerhetsprofilen, med styrene og C-suiter som med rette krevde transparent innsikt i den pågående utførelsen av sikkerhetskontroller og håndtering av relaterte risikoer.

Mange av oss i sikkerhetsmiljøet var glade for å se et tydelig skifte i dynamikken. I stedet for å kjempe for å få meldinger hørt, ble CISOer invitert til å ta plass ved bordet og bidra til organisasjonsstrategi.

Hvor mye påvirket denne databeskyttelsen og brukernes personvernforordning den generelle informasjonssikkerheten?

GDPR har gitt en fantastisk mulighet til å utdype samarbeid og forbedre gjensidig forståelse på tvers av organisasjoner. Forretnings- og sikkerhetsteam fortsetter å jobbe tett og sikrer at personopplysninger ivaretas gjennom hele livssyklusen. Det er flott å se hvordan GDPR kan fungere som et delt rammeverk å samle de mange forskjellige teamene som berører personopplysninger på ulike punkter. Jeg er glad for å se hvordan GDPR har drevet varig endring i å forbedre tverrfunksjonelt samarbeid.

GDPR har fungert som et kulturelt omdreiningspunkt: både ansatte og sluttbrukere ble bedre klar over verdien av dataene deres og behovet for å holde dem trygge gjennom sikker oppførsel. Det fortsetter også å drive bedre bedriftsatferd, med selskaper som holdes ansvarlig for å krenke rettighetene til registrerte personer. I det nåværende klimaet med datahungrende AI-eksperimentering og rask adopsjon, er denne typen sikring nødvendig mer enn noen gang.

Eduardo Ustaran, global co-leder for personvern- og nettsikkerhetspraksis, Hogan Lovells

Hvordan føler du at GDPR har påvirket rollen din fra dag til dag de siste fem årene?

Etter den første tsunamien av arbeid etter implementeringen av GDPR, har de siste fem årene sett en konsolidering av saker som har blitt toppprioriteter fra et compliance-perspektiv. Nøkkelinnsats har blitt viet til å få det grunnleggende riktig (fra lovlig grunnlag til åpenhet), adressering av enkeltpersoners rettigheter og, selvfølgelig, internasjonale dataoverføringer.

Den kanskje mest spennende delen av GDPR fra et daglig perspektiv har vært hvordan man mestrer noen av nyhetene, som å distribuere konsekvensvurderinger for databeskyttelse, hjelpe DPOer med deres ansvar, og oppfylle kravene til varsling av datainnbrudd.

Tror du folk forstår hva det handler om, hvorfor det ble introdusert og hva det oppnår?

Folk erkjenner definitivt at GDPR gjør databeskyttelse reell. Alle vet om det og snakker om det, selv om alle forstår nyansene og kompleksiteten i loven er en annen sak. Med sin internasjonale anerkjennelse har dette vært den største suksessen til GDPR.

Når du har risikobasert regulering, er det utfordrende å tydelig forstå hva den reguleringen gjør fordi de samme forpliktelsene gjelder på ulike måter avhengig av omstendighetene. Fremfor alt er det en ganske universell erkjennelse av at GDPR handler om å håndtere personopplysninger på en ansvarlig måte, og at den ikke kommer i veien for å utvikle teknologi eller gjøre forretninger.

Neil Thacker, CISO, Netskope

Hvordan føler du at GDPR har påvirket rollen din fra dag til dag de siste fem årene?

GDPR har direkte påvirket rollen min som CISO i Netskope – men den startet for nesten syv år siden når det gjaldt å forberede GDPR. Mens mange av de grunnleggende kontrollene ikke endret seg drastisk fra UK DPA, har viktigheten av databeskyttelse og datastyring, spesielt for å vise modenhet og rapportering over den tidsperioden, økt.

Denne betydningen har blitt følt ikke bare internt, men også på tvers av tredjepartsleverandører som er involvert i behandling av enhver form for personopplysninger. Vi sørger for at alle våre leverandører oppfyller strenge krav for å sikre at de, i egenskap av underbehandlere, også oppfyller de høye standardene vi bruker for databeskyttelse.

Det har vært en veldig positiv opplevelse, spesielt ettersom vi har automatisert mange av oppgavene som er involvert i å administrere leverandører, sikre nye dataflyter og beskytte personopplysninger i hvile og i bevegelse.

Dominic Vogel, grunnlegger og sjefstrateg, Cyber.sc

Føler du at GDPR har påvirket måten du jobber på de siste fem årene?

Det korte svaret er absolutt! Arbeidet mitt fokuserer primært på SMB-er i B2B-området, og det er en natt og dag forskjell på hvordan personvern prioriteres. Enhver av mine klienter som ønsker å ha en tilstedeværelse i Europa bygger automatisk med personvern i tankene; til og med organisasjoner som ikke har noen virksomhet i Europa, kan selge til organisasjoner som har det, og som et resultat av hvordan GDPR har flettet sammen i en bredere leverandørkjede-due diligence, finner disse organisasjonene seg i behov for å bevise GDPR-overholdelse.

Har det vært en forståelse av hva GDPR hadde som mål å oppnå fra utenfor Europa?

Til en viss grad varierer forståelsen absolutt fra sektor til sektor: Det er SMB-er nå som har solide personvernprogrammer på plass og integrerer personvern ved design. Det var ikke tilfelle før. GDPR startet en mer meningsfull epoke med personverndiskusjoner her i Nord-Amerika. Som et resultat ser vi mer forbedret og modernisert personvernlovgivning og -lover.

Noen spekulasjoner er at andre forskrifter kan opprettes for å gjenskape GDPR. Ser du noen direkte bevis på at det har skjedd?

Jeg vil ikke si at jeg har sett noen "direkte bevis", men ettersom teknologien raskt endrer seg og utvikler seg (AI noen?), er det behov for å holde personvernlovgivningen som GDPR oppdatert og oppdatert. Vi kan ikke lenger skrive personvernlover som kan forbli uendret i flere tiår. De må være mer smidige og oppdateres oftere for å holde tritt med teknologien.

Final Thoughts

Når vi reflekterer over virkningen av GDPR, er det klart at denne forordningen har ført til transformative endringer i databeskyttelsespraksis over hele verden. GDPR har styrket enkeltpersoner, satt høyere standarder og fremmet en global personvern- og datasikkerhetsdialog.

Harmoniseringen av databeskyttelseslover på tvers av EUs medlemsland har vært en betydelig prestasjon, og gir et enhetlig rammeverk for bedrifter og personvernpersonell. Det forenkler etterlevelsesarbeid og sikrer konsistente standarder på tvers av landegrenser og for selskaper. Denne harmoniseringen bør tjene som en modell for ytterligere standardisering, bedre håndheving og muliggjør bedre forståelse og anvendelse av regelverk.

Med over 140 personvern regelverk som nå opererer globalt, men det er lite harmonisering for virksomheter som må overholde eller demonstrere samsvar med disse mange varierende regionale og landsspesifikke forskriftene utenfor GDPR. I løpet av de neste fem årene vil håndtering av compliance-kompleksitet være en kontinuerlig utfordring.

Selv om samsvarsutfordringer kan virke skremmende, er det viktig å anerkjenne verdien av effektiv programvare for samsvarsstyring. Robust gjennomføring av overholdelsesprogramvare effektiviserer prosesser, eliminerer repeterende oppgaver og gjør det mulig for organisasjoner å fokusere på spesifikke samsvarsavvik. Ved å utnytte overholdelsesprogramvare kan bedrifter spare verdifull tid og ressurser, forbedre intern effektivitet og gi regulatorer bevis på samsvar.

I uken Meta mottok en bot på 1.2 milliarder dollar for brudd på GDPR, er det en betimelig påminnelse for organisasjoner om å prioritere overholdelse. Det sender også et klart budskap – få orden på huset ditt! Organisasjoner som utfører dette godt, vil frigjøre fordeler langt utover overholdelse av regelverk. God infosec er god forretning.