Yksityisyys 2.0: Muutosten ymmärtäminen vaatimustenmukaisuusmaisemassa
Sisällysluettelo:
Tekoälyn (AI), yhdistettyjen laitteiden ja muiden teknologioiden kehittyminen on johtanut dataräjähdykseen. Itse asiassa se on arvioidaan että maailma tuottaa tällä hetkellä lähes 330 miljoonaa teratavua joka päivä.
Keräämällä ja käyttämällä tätä aarrearkkua yritykset voivat paremmin ymmärtää ja kohdistaa asiakkaitaan ja viime kädessä parantaa liiketoimintastrategioitaan ja tuotetarjontaansa. Kuitenkin tiedonkeruun lisääntyessä hallitukset ryhtyvät toimiin suojellakseen sitä uudella lainsäädännöllä. Tietojen läpinäkyvyyden, siirrettävyyden ja poistamisen kaltaisista kysymyksistä on tulossa tärkeitä prioriteetteja nykyaikaisille yrityksille, ja tietojen väärinkäytöstä uhkaa valtavia sakkoja ja mainevaurioita.
Teknologiaympäristön kehittyessä myös tietosuojasäännökset ja -ohjeet muuttuvat.
Globaali tietosuojalaki muuttuu
Seuraavien kuukausien aikana yritykset voivat odottaa näkevänsä muutoksia useisiin maailmanlaajuisiin tietosuojasäännöksiin – mukaan lukien California Consumer Privacy Act (CCPA) Yhdysvalloissa, yleinen tietosuoja-asetus (GDPR) Euroopassa ja henkilötietojen suojalaki (PIPL) Kiinassa.
Kalifornian tietosuojavirasto käynnisti tässä kuussa a omistettu verkkosivusto jossa kansalaiset voivat oppia lisää yksityisyysoikeuksistaan. Greg Clark, OpenText Cybersecurityn tuotehallinnan johtaja, odottaa viraston jatkavan kansalaisten tietosuojaoikeudet toteutuksen kautta "tiukemmat säännöt henkilötietojen käytöstä ja lisävelvollisuudet riskinarviointien ja kyberturvallisuusauditoinnin suorittamiseksi".
Myös Euroopassa on meneillään suuria tietosuojamuutoksia. Clark ennustaa, että lainsäätäjät laajentavat GDPR:ää niin, että sillä on "syvempi juuret tietosuojan, kansainvälisen tiedonsiirron ja täytäntöönpanotoimien yhdenmukaistamisen ympärillä".
Toinen suuri muutos GDPR:ään tulee olemaan sähköisen viestinnän tietosuoja-asetuksen (ePR) virallistaminen, mikä Clarkin mukaan auttaa turvaamaan yksilöiden yksityisyyden sähköisen viestinnän yhteydessä.
Myös eurooppalaiset lainsäätäjät jatkavat tekoälylakiaan. Tim Wright, Fladgate LLP:n kumppani, uskoo, että uusi laki "muovaa merkittävästi tekoälyjärjestelmien, kasvojentunnistuksen ja digitaalisten tunnistusten tietosuojaohjeita ja parhaita käytäntöjä Euroopassa". Näiden ratkaisujen parhaat käytännöt keskittyvät todennäköisesti suostumukseen, kulunvalvonta ja tiedon minimointi, hän lisää.
EU:sta erottuaan Britannia aikoo siirtyä pois GDPR:stä kehittämällä oman tietosuojalainsäädäntönsä. Kuningas Kaarle hahmoteltu hallituksen suunnitelmat tietosuoja- ja digitaalitietolakiksi (DPDI).
Andrew Bridges, Sagacityn DQ- ja hallintopäällikkö, selittää ISMS.online-sivustolle: "Lakiehdotuksen pitäisi ottaa käyttöön selkeä yritysystävällinen kehys, joka sisältää Yhdistyneen kuningaskunnan GDPR:n keskeiset elementit ja antaa organisaatioille enemmän luottamusta siihen, kuinka ja milloin ne voivat käsitellä henkilötietoja ja jos suostumus vaaditaan."
Kiina on myös kehittänyt vankan tietosuojajärjestelmän henkilötietojen suojalain (PIPL), tietoturvalain (DS) ja kyberturvallisuuslain (CSL) muodossa. OpenTextin Clarkin mukaan näiden lakien päätavoitteena on suojata rekisteröityjen oikeuksia kaikkialla Kiinassa.
Mutta toinen Kiinan hallituksen aikomus näiden lakien laatimisessa ja täytäntöönpanossa parantaa tiedonkulkua "auttaakseen kansainvälistä tiedonsiirtoa, [varmistaa] tiedon jakamisen turvallinen käyttö yleensä ja hallita koko tietojen elinkaarta keräämisestä hävittämiseen". hän lisää.
Käyttäjäoikeuksien parantaminen
Kun on kyse uusien tietosuojalakien luomisesta ja nykyisen lainsäädännön kehittämisestä, hallitukset näyttävät keskittyvän sellaisiin alueisiin kuin tietojen avoimuus, siirrettävyys ja poistaminen.
Tietojen läpinäkyvyyden osalta Protegrity VP, Alasdair Anderson, selittää, että lainsäätäjät korostavat "selkeän ja helposti saatavilla olevan tiedon merkitystä henkilötietojen käytöstä".
Organisaatioiden odotetaan nyt lisäävän tiedon käsittelyn ja käytön avoimuutta. Monet organisaatiot ryhtyvät toimiin, kuten antamaan tietosuojailmoituksia ja ilmoituksia tiedonkeruusta ja -käytöstä osana "jatkuvaa toimintaprosessia ja siihen liittyviä yleiskustannuksia", Anderson selittää.
Hän kertoo ISMS.online-sivustolle, että lainsäätäjät helpottavat ihmisten tietojen siirtämistä palveluntarjoajien välillä. Tämä on parantanut palvelujen yhteentoimivuutta ja antanut käyttäjille enemmän hallintaa heidän tietoihinsa. Anderson väittää, että tällaiset suuntaukset voivat "juoksua tiedonvaihdon, tallennuksen ja ehkä jopa yksityisyyden suojan standardien lähentymistä".
Vaikka tiedon läpinäkyvyys ja siirrettävyys ovat edenneet pitkälle viime aikoina, Anderson myöntää, että oikeus tietojen poistamiseen on edelleen merkittävä haaste kypsille yrityksille, joilla on hajautettu infrastruktuuri ja prosessit.
"Kustannustehokas toiminnallinen toteutus voidaan saavuttaa vain edistyneen teknologian lähestymistavalla tietojen ja yksityisyyden hallinnassa", hän selittää. "Vaihtoehto, joka ei ole ennenkuulumaton, on se, että henkilökunta käyttää huomattavia resursseja käyttäjätietojen etsimiseen."
Kuinka standardit voivat auttaa
Organisaatioille, jotka haluavat varmistaa kehittyvien tietosuojamääräysten jatkuvan noudattamisen ja parantaa tietoturvaa, tunnustetun teollisuusstandardin, kuten ISO 27701, käyttöönotto voisi olla hyvä ensimmäinen askel.
OpenTextin Clark rohkaisee organisaatioita noudattamaan standardia, koska se tarjoaa niille "perustan parannetun tietosuojan". Hän kuvailee sitä jatkeeksi ISO 27001 jossa määritellään "erityiset valvontatoimenpiteet" henkilötietojen suojalle.
"Se luo yhteisen viitekehyksen, joka auttaa varmistamaan tietosuojasäädösten, kuten GDPR:n ja CCPA:n, noudattamisen, vähentämään henkilötietojen hallinnan riskejä ja vahvistamaan luottamusta ulkoisiin ja sisäisiin sidosryhmiin", hän selittää.
Kun verkkoturvallisuusuhat lisääntyvät, ISO 27701:n käyttöönotto voisi myös auttaa organisaatioita vahvistamaan kyberturvallisuutta. Clark sanoo, että tämä on mahdollista, koska ISO 27701 määrittelee "käytännöt riskien ja haavoittuvuuksien tunnistamiseksi ja ennakoimiseksi".
Näin tehdessään se voi auttaa yrityksiä vähentämään tietomurron aiheuttamien taloudellisten menetysten, mainevaurioiden ja seisokkien todennäköisyyttä sekä parantamaan toiminnan yleistä tehokkuutta.
”ISO 27701:n käyttöönotto auttaa tehostamaan tiedonkäsittelyprosesseja ja optimoimaan resurssien hallinnan tietosuojaa varten. Se merkitsee kustannussäästöjä ja parempaa toiminnan tehokkuutta organisaatiossa”, hän lisää.
Ennen ISO 27701:n käyttöönottoa Clark neuvoo organisaatioita tarkistamaan standardin asettamat vaatimukset ja tunnistamaan mahdolliset puutteet tietokäytännöissään. Tämä antaa heille mahdollisuuden luoda vaatimustenmukaisuussuunnitelman, havaita kyberturvallisuuskäytäntöjen synergiaetuja ja hyödyntää automaatiotekniikoita.
Tiedonkeruusta on valtavia etuja yrityksille, mutta ilman asianmukaisia suojatoimia ja käytäntöjä se voi olla myös valtava yritysriski. Käyttääkseen tietoja eettisesti ja vastuullisesti yritysten on ymmärrettävä niihin liittyvät riskit ja noudatettava alan säädöksiä. Selvää on, että ISO 27701 tekee tästä paljon helpompaa.
Menestyksen avaaminen: opas ISO 27701:n käyttöönottoon
Olemme luoneet käytännöllisen yksisivuisen tiekartan, joka on jaettu viiteen keskeiseen painopistealueeseen ISO 27701 -standardin saavuttamiseksi ja saavuttamiseksi yrityksessäsi. Lomaketta ei tarvitse täyttää. Lataa PDF-tiedosto jo tänään saadaksesi yksinkertaisen käynnistyksen matkallesi kohti tehokkaampaa tietosuojaa.
