Gdpr bugün başlıyor! ne bilmek istiyorsun

25 Mayıs 2018’ten itibaren bugünden itibaren, Avrupa Birliği’nin (AB) Genel Veri Koruma Yönetmeliği (GDPR) mevzuatı, kişisel verilerin işletmeler tarafından nasıl kullanılması gerektiği sorusuna gelince etkin bir şekilde küresel bir yasa haline gelecektir. Avrupa'da onaylanan bir veri koruma yasasının sadece Avrupalılara uygulanacağını düşünebilirsiniz, ancak yanılıyorsunuz. Bunun nedeni, GDPR'nin nerede yaşadıklarına ve kiminle iş yaptıklarına bakılmaksızın tüm AB vatandaşlarını korudukları, yani AB müşterileri olan Amerikan şirketlerinin GDPR gerekliliklerine ve daha da kötüsü cezalara tabi oldukları anlamına geliyor. Daha da kötüsü, Crowd Research Partners’ın yakın tarihli bir rapora göre, şirketlerin yalnızca yüzde 7’si bugünün son tarihine kadar GSYİH’ye uygun olma yolunda ilerliyor.

Ve şirketinizi en azından bir miktar GSYİH güvenliğinde tutmak için bugün bile atabileceğiniz adımlar olsa da, tam bir uyum sağlamak, hafif bir proje değildir. Veri toplama süreçleri, verilerin şirket tarafından nasıl kullanılacağıyla ilgili olmalıdır (örneğin, tüketici alışveriş verileri ancak e-ticaret şirketleri için tıbbi geçmiş verileri değil). Şirketler tam olarak hangi verilerin toplandığını ve nedenlerini açıklayabilmeli ve istekli olmalıdır. Güvenlik uygulamaları, kayıp, hasar ve yıkıma karşı korunma konusunda açık bir yetenek göstermeli ve veriler gerekenden daha uzun tutulmamalıdır. Yönetmeliğe uymayan herhangi bir şirket, yıllık gelirlerinin yüzde 4'ünün kaybedilmesine tabi olacaktır.

Bilgi yönetimi sistemi sağlayıcısı Alfresco'nun Stratejik Çözümler Lideri Ankur Laroia, "Bu, dişsiz bir kurallar ve düzenlemeler kümesi değildir" dedi. Laroia, düzenlemenin tüzüklerindeki bazı sorunların şirketlerin uyumlu kalmasını zorlaştıracağı iddiasını ortaya koyuyor. Örneğin, birkaç sorun arasında, verilerin neden toplandığına dair soyut yazılı kurallar, talep edildiğinde müşteri verilerinin temizlenmesi için gereklilikleri aşmak ve bazı şirketlerin sadece uyum sağlamak amacıyla güvenlik prosedürlerini tamamen yenileme gereği vardır. Yine de, Laroia AB'nin uğraştığını düşünmüyor.

“AB suçluların peşinden gidecek” diye öngörüyor. “Bu yasa çıkarılsaydı, Equifax başını belaya sokardı.”

GDPR, öncelikle AB vatandaşlarına odaklanırken, Amerikalı işletme sahipleri için de bir kabus senaryosu sunuyor. Amerikalıların GDPR'ye uyum yolunda başlamak için bilmeleri gerekenleri parçalayacağız.

1. Amerikan Şirketlerinin Uyması Gerekenler

Anne ve baba kitabeviniz, bulunduğunuz şehir dışında bir paket göndermediyse, muhtemelen GSYİH ile ilgilenmenize gerek kalmayacak. Ancak, bir AB merkezli müşteriniz varsa, o zaman derhal GSYİH uyumlu olma sürecine başlamanız gerekir. Tüzük uyarınca, AB vatandaş verileri korunmalı ve talep etmesi halinde vatandaşa söz konusu verileri sağlamalısınız. Daha da önemlisi, vatandaşın isteğini yerine getirmesi durumunda bu verileri sisteminizden temizlemeniz gerekebilir. Siz yapmazsanız ve GSYİH bekçisi öğrenirse, yıllık gelirinizin yüzde 4'ünü kaybedersiniz.

IDC Güvenlik Araştırmaları Başkan Yardımcısı Pete Lindstrom, "Her ne kadar bir AB yönergesi olsa da, AB sakinleri müşteri olarak dünyadaki herhangi bir şirketi etkiliyor" dedi. "Adres alanlarınız varsa ve bunlar bir Avrupa adresiyse, muhtemelen Avrupalı ​​olarak kabul edilirler."

AB merkezli bir şirket veya Skokie, Illinois gibi bir şehir arasında bir ayrım yoktur. Kanun bunun yerine kişisel olarak tanımlanabilir bilgilere (PII) ve verilerle ilişkili kişinin bulunduğu yere odaklanır. Avrupalı ​​bir müşteriyle ilgili herhangi bir PII verisine sahip olan herkes uymak zorunda kalacaktır.

Şirketinizin AB merkezli birkaç müşterisi olsa bile, yerel kitapçılarınızın GDPR gözlemcilerince denetlenmesi pek olası değildir. Ancak, Facebook ve Yahoo gibi büyük şirketler Amerikan sadakatini GDPR'ye etmenin bir yolu olarak iddia edemeyecekler.

Laroia, "Eğer bir anne ve baba olursanız ve bir ihlaliniz varsa, yasal olarak sorumlusunuz" dedi. “Sizden sonra gerçekçi bir şekilde geleceklerse söylemek zor… Her AB üye devleti bir uyum ofisine sahip olacak. Bu ofis herkesin uyum planını sormaya başlayacak. Coğrafyalarında iş yapan şirketlerin bir envanterini oluşturacaklar. Büyük adamları kontrol edip sorular sormaya başlayacaklar. "

Buna uymayan Amerikan şirketleri, GDPR destekli AB devletleri bu kaybedilen geliri toplamayı denediğinde ABD hükümetinin onları korumasını beklememelidir. Laroia, "ABD hükümeti bu kararların uygulandığından emin olmak zorunda kaldı." Dedi. “Zorla yaptırılıp yaptırılmadıkları henüz görülmedi, ancak AB’deki hükümetin savaşması gerekecek.”

2. 25 Mayıs 25 Mayıs

Düzenleme bugün yürürlüğe girmesine rağmen, 25 Mayıs 2018, yasa 14 Nisan 2016 tarihinde AB Parlamentosu tarafından onaylandı. Bu, AB’nin endişesine gelince, şirketlerin GSYİH’ye uyumlu uygulamaları yerine getirmek için bolca zamanları olduğu anlamına geliyor. . Bu nedenle, şirketiniz yarın büyük bir siber saldırıya maruz kalırsa ve müşteriler, web sitesi ziyaretçileri ve hatta iş ortakları hakkında topladığınız verilerden kurtulursa, kötü karanlık ağa sızarsa, o zaman "yetersiz zaman" olarak kabul edemezsiniz. AB vatandaşı verilerini ifşa etmek için bahane.

Laroia, "Tüzük yürürlüğe girdi" dedi. “Sizden yolculuğa daha önce uyum sağlamanız istenebilir. Envanteri aldınız mı? AB vatandaşlarından verilerinizi sorma protokolünüz nedir? Bu şirketlerden şu anda bu bilgiler istenebilir. Gelecek yıl para cezası almaya başlayacaklar. Mayıstan sonra uyumu gösteremezler. "

3. Bir Uzatma Beklemeyin

ABD’de (örneğin, Net Tarafsızlık) yaptığımız yasal düzenleme savaşlarının çoğunun aksine, AB’de hiç kimse 24 Mayıs 2018’de GDPR’ye itiraz etmek ve böylece düzenlemeyi süresiz olarak ertelemek için adım atmadı. Avrupalılar bunu istedi ve şimdi anladılar.

Laroia, "Bu, düzenlemelerin oluşturulma şeklinin güzelliğidir" dedi. “Şirketlere hareketlerini doğru yapmalarını sağlamak için bir yıl verdikleri için, dava açılışı açısından orada herhangi bir zorluk yaşanmadı. Bunu görecek olsaydık, çoktan olacaktı. Biri dava açtıktan sonra bunu yapabilir miydi? Eminim deneyecekler, ancak bu noktada onlara kötü bakacak. "

4. uymak için yapmanız gerekenler

Düzenlemenin gerektirdiği gibi uyum sürecini yönetmekten sorumlu birini koymanız gerekir. GDPR kanunu "Veri Koruma Görevlisi" (DPO) olarak adlandırılan bu kişi, şirketinizin verilerini güvence altına alması için GDPR gözetim ekibinin yürümesinden sorumlu olan kişi olacaktır. Bu kişi aynı zamanda şirketinizdeki farklı iş kollarını bir araya getirmekle ve GSYİH'ya uyumlu kalmak ve kalmak için bir metodoloji üretmekle sorumlu olacaktır.

Özet olarak, DPO'nun görevleri dört ana kategoriye ayrılacak:

• Öncelikle, yalnızca ilk uyumluluk süreci için değil, gelecekteki GDPR ile ilgili tüm veri işleme soruları için hedef kişi olarak hareket etmek için GSYİH detaylarına yeterince aşina olmaları ve kesinlikle her iki kıdemli tarafından soruları cevaplayabilmeleri için yeterli olması gerekir IT operatörleri yerdeki yöneticileri ve veri işleme.
• İkincisi, kuruluşunuzdaki devam eden tüm veri işleme süreçlerini izleyebilmeleri ve kişisel veri güvenliği ile ilgili etkilerini değerlendirebilmeleri gerekir.
• Üçüncüsü, işletmenizin GDPR tarafından etkilenebilecek herhangi bir alanı üzerinde denetim ve izleme yeteneklerine sahip olmaları ve bunları düzenli olarak uygunluk açısından değerlendirmeleri gerekir.
• Ve son olarak, sektörünüz için GSYİH makamlarıyla temas halinde olmaları, onlarla işbirliği yapmaları ve o makamdan gelen talepler için önemli kişiler olarak davranmaları gerekir.

Bunların hepsi, veri akışlarını ve veri koruma önlemlerini ve teknolojilerini anlamanın yanı sıra, yalnızca GSYİH mevzuatı ayrıntılarının bilgisini değil, aynı zamanda E-Gizlilik Direktifi gibi ilgili ve ilgili AB mevzuatını da bilen bir kişi anlamına geliyor. Bu becerilerin yetersizliği, işletme ve BT danışmanlıkları için yeşil alan fırsatı yarattı, ancak bu yeteneği şirket içinde geliştirmek istiyorsanız, İngilizce konuşan, Avrupalı ​​çevrimiçi öğrenim kaynaklarını aramak, birçoğu bu amaçla GDPR DPO eğitim yazılımını geliştirmiştir. Ek olarak, Uluslararası Gizlilik Uzmanları Derneği (IAPP) gibi GDPR eğitim eğitim yazılımı ve sertifikalarını sunan çok uluslu sanayi kuruluşları da bulunmaktadır.

Daha teknik bir notta, uyumlu kalmak için fiziksel sunucular, ağa bağlı depolama (NAS), diskler ve sürücüler ve ağ erişimi için en az bir şifreleme yöntemi kullanmanız gerekir. PII'ye erişirken ve PII verilerini içeren işlemler için çalışan kimliklerini doğrulamanız ve çok faktörlü kimlik doğrulaması (MFA) kurmanız gerekir. Yetkisiz amaçlar için verilere erişen veya işleyen uygulamaları kesmeniz, uygunluğu sağlamak için verileri sürekli izlemeniz ve doğrulamanız ve istendiğinde müşteri verilerini tamamen ve geri alınamaz şekilde temizlemeniz gerekir. Kuruluşların, sürekli uyum sağlamak için tam risk değerlendirmeleri yapmaları ve özellikle uygulama programlama arayüzleri (API'ler) ile bağlı olanlar ile ortaklarla çalışmaları gerekecektir.

Son olarak, kuruluşunuzun verileri ihlal edilirse, ihlal ve sonuçlarını tam olarak açıklamak için ilgili GDPR amirinize derhal bildirmeniz gerekir. Ayrıca, ihlalin etkilerini etkilenen müşterilere iletmeniz gerekir.

5. ABD Müşterileri

Laroia, müşteri bilgilerinin korunmasının ve iyi müşterileri olmanın nihayetinde iyi bir iş anlayışı olduğunu söyledi. Laroia, "Buna son müşterinin görüş noktasından bakmalısın." Dedi. “Bu şirketlerin iş yapmasının sebebi onlar. Evet, bu iş için acı verici olsa da, şirketler teknolojiye yatırım yapmamış ya da yeniliklerin hızına ayak uyduramamışlardır.”

Ne yazık ki, benzer ABD düzenlemeleri kitaplarda yok. New York'ta Finansal Hizmetler Departmanı Siber Güvenlik Gereksinimleri kapsamında New York'ta iş yapan şirketler bir dereceye kadar kaplıdır. Bu düzenleme, New York merkezli işletmelerin, bir Kıdemli Memur veya Kapalı Kurumun yönetim kurulu (veya uygun bir komitesi) veya eşdeğer bir yönetim kurulu tarafından onaylanan yazılı bir politika veya politikaları uygulama ve sürdürmelerini gerektirir. Bu, Kapalı Kurumun, yazılı kanuna göre, Bilgi Sistemlerinde ve bu Bilgi Sistemlerinde depolanan Kamusal Olmayan Bilgilerin korunmasına ilişkin politika ve prosedürlerini ortaya koymaktadır.

Colorado gibi diğer devletler de benzer düzenlemelerin uygulanmasını tartıştılar. Bununla birlikte, ABD’nin federal yasası konusunda bir süpürge bulunmamaktadır. Ancak Laroia, ABD'nin bir sonraki olacağı konusunda iyimser. “Amerikalıların böyle bir hakkı yok” dedi. "Ama ona beş yıl ver."