Kun vietämme viisi vuotta GDPR:n käyttöönotosta, tarkastelemme, kuinka se on vaikuttanut niihin, jotka tekevät työtä, johon se on vaikuttanut eniten. Dan Raywood keskustelee viiden ihmisen kanssa, jotka työskentelevät eri tehtävissä kyberturvallisuuden parissa ymmärtääkseen kokonaisvaikutuksen heidän työhönsä.

Jon Baines, DPO, Mishcon de Reya

Miten GDPR on mielestäsi vaikuttanut rooliisi päivästä toiseen viimeisen viiden vuoden aikana?

Asia, jota monet ihmiset kaipaavat GDPR:stä, on se, että se ei muuttanut nykyistä lakia niin paljon – suurin osa määritelmistä, periaatteista, velvollisuuksista ja oikeuksista oli jo olemassa vuoden 1995 tietosuojadirektiivin (jota Yhdistyneessä kuningaskunnassa toteutettiin vuoden 1998 tietosuojalailla) Painopiste muuttui kahdesta pääasiallisesta syystä: 1) täytäntöönpanojärjestelmä GDPR korotti massiivisesti mahdollisia enimmäissakkoja – Isossa-Britanniassa aiempi enimmäismäärä oli ollut 500,000 20 puntaa, ja nyt siitä oli tullut 4 miljoonaa euroa eli 2 % maailmanlaajuisesta vuosiliikevaihdosta, ja joissakin EU-maissa niiden aiemmat lait eivät olleet sallineet sakkoja ollenkaan; XNUMX) GDPR sai valtavasti julkisuutta (merkittävän EU-rahoituksen tuella), mikä johti siihen, että tietosuojasta tuli neuvotteluhuoneen aihe, jota se oli harvoin, jos koskaan ennen ollut.

Seurauksena jollekulle minun kaltaiselleni, joka toimii neuvonantajana, on se, että palvelujani käytettiin tavalla ja tiheydellä, jota en ollut koskaan ennen nähnyt. Kun lisäät brexitin tuomat monimutkaisuudet, kun GDPR säilytettiin "Yhdistyneen kuningaskunnan GDPR:nä" mutta täysin uusi kotimainen järjestelmä harkittavaksi, viimeiset viisi vuotta ovat olleet hektisiä ja haastavia (mutta valtavan mielenkiintoisia!)

Ilmeisesti se loi tietosuojavastaavan roolin. Entä Subject Access Requests, onko tämä ulkoinen osa roolisi yhtä tärkeää kuin yleinen sisäinen tietosuoja?

Tietosuojavastaavia oli olemassa ennen GDPR:ää. Mutta olet oikeassa, että GDPR asetti ne lakisääteiselle pohjalle. Samoin SAR:t eivät olleet mitään uutta, ja niillä oli ollut lakisääteinen asema Yhdistyneessä kuningaskunnassa vuodesta 1984(!), ja tietosuojavastaavat ja asianajajat olivat jo tottuneet käsittelemään niitä, mutta ensimmäisessä vastauksessa esitetyistä syistä SAR:t muuttuivat paljon paremmin tiedossa GDPR:n voimaantulon jälkeen.

Organisaatiot eivät myöskään saaneet enää periä pientä maksua, jonka ne olivat aiemmin voineet. Vastaanotetut määrät ovat yleensä lisääntyneet useimmissa organisaatioissa, ja myös tiedotusvaltuutetuille tehdyt valitukset ovat kasvaneet.

Koska henkilö, joka neuvoo ulkopuolisia yritysasiakkaita vastaamaan niihin, mutta myös neuvoo yksilöitä niiden tekemisessä, tiedän kuinka haastavaa he voivat olla käsitellä, kuinka hyödyllisiä he voivat olla niitä tekeville, mutta myös kuinka turhauttavaa ja kallis prosessi on. voi olla molemmille osapuolille. Ne eivät katoa – nykyinen tietosuoja- ja digitaalitietolaki säilyttää ne todennäköisesti pienin muutoksin – ja ne pitäisi nyt nähdä osana useimpien ellei kaikkien organisaatioiden säännöllistä liiketoimintaa sekä arvokas työkalu yksilöitä, kun he yrittävät puolustaa oikeuksiaan.

Bronwyn Boyle, entinen CISO ja kyberturvallisuuden asiantuntija rahoituspalveluissa

Miten GDPR on mielestäsi vaikuttanut rooliisi päivästä toiseen viimeisen viiden vuoden aikana?

Vaikka turvallisuus on usein pidetty teknologiaongelmana, GDPR toimi katalysaattorina siilojen hajottamiseksi ja kokonaisvaltaisemman ja yhteistyöhön perustuvan lähestymistavan edistämiseksi turvallisuuteen. Se nosti tietoturvan profiilia, kun Boards ja C-Suites vaativat oikeutetusti läpinäkyvää näkemystä turvavalvonnan jatkuvasta toiminnasta ja niihin liittyvien riskien hallinnasta.

Monet meistä turvallisuusyhteisöstä olivat iloisia nähdessään selvän dynamiikan muutoksen. Sen sijaan, että taisteltiin saadakseen viestit kuuluviin, CISO:t kutsuttiin istumaan pöytään ja osallistumaan organisaatiostrategiaan.

Kuinka paljon tämä tietosuoja- ja käyttäjien yksityisyyssääntö vaikutti yleiseen tietoturvaan?

GDPR on tarjonnut loistavan mahdollisuuden syventää yhteistyötä ja parantaa keskinäistä ymmärrystä organisaatioiden välillä. Liiketoiminta- ja turvallisuustiimit jatkavat tiivistä yhteistyötä ja varmistavat, että henkilötiedot on suojattu koko niiden elinkaaren ajan. On hienoa nähdä kuinka GDPR voi toimia yhteisenä viitekehyksenä tuoda yhteen monet erilaiset tiimit, jotka koskettavat henkilötietoja eri kohdissa. Olen iloinen nähdessäni, kuinka GDPR on saanut aikaan pysyvän muutoksen toimintojen välisen yhteistyön parantamisessa.

GDPR on toiminut kulttuurisena kääntöpisteenä: niin työntekijät kuin loppukäyttäjätkin ovat ymmärtäneet paremmin tietojensa arvon ja tarpeen pitää se turvassa turvallisella käytöksellä. Se myös edistää edelleen parempaa yrityskäyttäytymistä, ja yritykset joutuvat vastuuseen rekisteröityjen oikeuksien loukkaamisesta. Nykyisessä datanhimoisessa tekoälykokeilussa ja nopeassa käyttöönotossa tämän tyyppistä suojaa tarvitaan enemmän kuin koskaan.

Eduardo Ustaran, Hogan Lovellsin tietosuoja- ja kyberturvallisuuskäytännön kansainvälinen johtaja

Miten GDPR on mielestäsi vaikuttanut rooliisi päivästä toiseen viimeisen viiden vuoden aikana?

GDPR:n täytäntöönpanoa seuranneen ensimmäisen tsunamin jälkeen viimeisten viiden vuoden aikana on vakiintunut asioita, joista on noussut vaatimustenmukaisuuden kannalta tärkeimpiä prioriteetteja. Keskeisiä ponnisteluja on panostettu perusasioiden saamiseen oikein (laillisista perusteista avoimuuteen), yksilöiden oikeuksien huomioimiseen ja tietysti kansainväliseen tiedonsiirtoon.

Ehkäpä GDPR:n jännittävin osa päivittäisestä näkökulmasta on ollut se, kuinka hallita joitakin sen uutuuksia, kuten käyttöönotto. tietosuojavaikutusten arvioinnit, auttaa tietosuojavastaavia heidän velvollisuuksissaan ja täyttää tietoturvaloukkauksista ilmoittamisvaatimukset.

Luuletko, että ihmiset ymmärtävät, mistä siinä on kyse, miksi se otettiin käyttöön ja mitä sillä saavutetaan?

Ihmiset tietävät ehdottomasti, että GDPR tekee tietosuojasta todellista. Kaikki tietävät sen ja puhuvat siitä, vaikka se, ymmärtävätkö kaikki lain vivahteet ja monimutkaisuudet, on eri asia. Kansainvälisellä tunnustuksellaan tämä on ollut GDPR:n suurin menestys.

Kun sinulla on riskiperusteinen sääntely, on haastavaa ymmärtää selkeästi, mitä sääntely tekee, koska samoja velvoitteita sovelletaan eri tavoin olosuhteista riippuen. Ennen kaikkea on olemassa melko yleinen tunnustus, että GDPR tarkoittaa henkilötietojen vastuullista käsittelyä ja että se ei estä teknologian kehittämistä tai liiketoimintaa.

Neil Thacker, CISO, Netskope

Miten GDPR on mielestäsi vaikuttanut rooliisi päivästä toiseen viimeisen viiden vuoden aikana?

GDPR on vaikuttanut suoraan rooliini CISO:na Netskopessa – mutta se alkoi lähes seitsemän vuotta sitten GDPR:ään valmistautumisesta. Vaikka monet perustavanlaatuisista valvontatoimista eivät muuttuneet radikaalisti Yhdistyneen kuningaskunnan tietosuojaviranomaisesta, tietosuojan ja tietojen hallinnan merkitys, erityisesti kypsyysasteen osoittamisessa ja raportoinnissa kyseisenä ajanjaksona, on kasvanut.

Tämä merkitys on tuntunut paitsi sisäisesti myös kolmansien osapuolien toimittajilta, jotka ovat mukana kaikenlaisten henkilötietojen käsittelyssä. Varmistamme, että kaikki toimittajamme täyttävät tiukat vaatimukset varmistaaksemme, että he myös alikäsittelijöinä täyttävät korkeat tietosuojastandardimme.

Kokemus on ollut erittäin myönteinen, varsinkin kun olemme automatisoineet monia toimittajien hallintaan, uusien tietovirtojen turvaamiseen ja henkilötietojen suojaamiseen liittyviä tehtäviä lepotilassa ja liikkeessä.

Dominic Vogel, perustaja ja päästrategi, Cyber.sc

Onko GDPR mielestäsi vaikuttanut tapaasi työskennellä viimeisen viiden vuoden aikana?

Lyhyt vastaus on ehdottomasti! Työni keskittyy ensisijaisesti pk-yrityksiin B2B-tilassa, ja yksityisyyden priorisoinnissa on yön ja päivän ero. Kaikki asiakkaani, jotka haluavat olla läsnä Euroopassa, rakentavat automaattisesti yksityisyyttä ajatellen; jopa organisaatiot, joilla ei ole liiketoimintaa Euroopassa, saattavat myydä organisaatioille, joilla on, ja koska GDPR on kietoutunut laajempaan toimitusketjun due diligence -tarkastukseen, näiden organisaatioiden on todistettava GDPR-vaatimustenmukaisuus.

Onko Euroopan ulkopuolelta saatu ymmärrystä siitä, mitä GDPR:llä pyritään saavuttamaan?

Tietyssä määrin ymmärrys varmasti vaihtelee sektoreittain: nyt on pk-yrityksiä, joilla on vankat tietosuojaohjelmat ja jotka integroivat yksityisyyden sisäänrakennetun sisällön. Näin ei ollut ennen. GDPR aloitti merkityksellisemmän tietosuojakeskustelujen aikakauden täällä Pohjois-Amerikassa. Tämän seurauksena näemme entistä parempia ja modernisoituja tietosuojalainsäädäntöä ja lakeja.

Jotkut spekulaatiot ovat, että muita säännöksiä voitaisiin luoda GDPR:n jäljittelemiseksi. Näetkö mitään suoria todisteita siitä, että näin tapahtuu?

En sanoisi, että olisin nähnyt mitään "suoraa näyttöä", mutta koska tekniikka muuttuu ja kehittyy nopeasti (AI kuka tahansa?), tietosuojalait, kuten GDPR, on pidettävä ajan tasalla ja ajan tasalla. Emme voi enää kirjoittaa tietosuojalakeja, jotka voivat pysyä muuttumattomina vuosikymmeniä. Niiden on oltava ketterämpiä ja päivitettävä useammin pysyäkseen tekniikan tahdissa.

Loppuajatukset

GDPR:n vaikutusta pohdittaessa on selvää, että tämä asetus on tuonut muutoksia tietosuojakäytäntöihin maailmanlaajuisesti. GDPR on vahvistanut yksilöitä, asettanut korkeampia standardeja ja edistänyt maailmanlaajuista tietosuoja- ja tietoturvavuoropuhelua.

Tietosuojalainsäädännön yhdenmukaistaminen EU:n jäsenmaissa on ollut merkittävä saavutus, joka tarjoaa yhtenäisen kehyksen yrityksille ja yksityisyydensuoja-alan ammattilaisille. Se yksinkertaistaa vaatimustenmukaisuutta ja varmistaa yhdenmukaiset standardit yli rajojen ja yrityksille. Tämän yhdenmukaistamisen pitäisi toimia mallina standardoinnin jatkamiselle, täytäntöönpanon parantamiselle ja säännösten paremman ymmärtämisen ja soveltamisen mahdollistamiselle.

Yli 140 Tietosuoja Nyt maailmanlaajuisesti toimivia säännöksiä ei kuitenkaan ole juurikaan yhdenmukaistettu yrityksille, joiden on noudatettava tai osoitettava noudattavansa näitä monia erilaisia ​​alue- ja maakohtaisia ​​säännöksiä GDPR:n ulkopuolella. Seuraavien viiden vuoden aikana vaatimustenmukaisuuden monimutkaisuuden hallinta on jatkuva haaste.

Vaikka vaatimustenmukaisuushaasteet saattavat tuntua pelottavilta, on tärkeää tunnustaa tehokkaan vaatimustenmukaisuuden hallintaohjelmiston arvo. Vankka toteutus vaatimustenmukaisuusohjelmisto virtaviivaistaa prosesseja, eliminoi toistuvia tehtäviä ja antaa organisaatioille mahdollisuuden keskittyä tiettyihin vaatimustenmukaisuuseroihin. Hyödyntämällä vaatimustenmukaisuusohjelmistoja yritykset voivat säästää arvokasta aikaa ja resursseja, parantaa sisäistä tehokkuutta ja toimittaa sääntelyviranomaisille todisteita vaatimustenmukaisuudesta.

Viikon aikana, jolloin Meta sai 1.2 miljardin dollarin sakon GDPR-rikkomuksista, se on ajankohtainen muistutus organisaatioille priorisoida noudattamista. Se lähettää myös selkeän viestin – laita kotisi kuntoon! Organisaatiot, jotka suorittavat tämän hyvin, saavat etuja paljon muutakin kuin säännösten noudattamista. Hyvä infosec on hyvää bisnestä.