Săptămâna trecută a fost importantă pentru dumneavoastră și pentru informațiile dvs. personale, indiferent dacă locuiți sau nu în UE.
GDPR, Regulamentul general privind protecția datelor, care stabilește orientări cu privire la modul în care informațiile personale ale cetățenilor UE sunt colectate și procesate, este acum oficial. Este o idee minunată - regulile uniforme despre cum sunt colectate informațiile, cum sunt stocate și cum poți să le returnezi, au fost întârziate. Au fost (și vor continua să fie) multe discuții cu privire la ceea ce este bun, rău și urât despre GDPR, dar majoritatea oamenilor care lucrează în securitatea informațiilor sunt de acord că obiectivele sunt bine intenționate și vor oferi tipul de protecții de care avem nevoie cu toții. secolul XXI.
O mulțime de site-uri web populare pur și simplu nu sunt disponibile pentru vizitatorii europeni, deoarece nu respectați GDPR.
Cu toate acestea, articolele individuale ale GDPR nu sunt atât de lăudate în mod universal. După ce au intrat în vigoare vineri, 25 mai, vedem deja căutarea: New York Daily News, Chicago Tribune, LA Times și alte site-uri web cu profil înalt nu sunt acum disponibile în țările acoperite de reglementările GDPR, deoarece nu erau pregătiți pentru noile reguli.. Multe alte site-uri web și servicii online au bombardat utilizatorii cu termeni noi de acord și au fost deja depuse reclamații împotriva gigantilor tehnologici notabili Google și Facebook, deoarece nu oferă servicii gratuite fără a permite utilizatorilor să renunțe la colectarea datelor.
Mai mult: Google facilitează înțelegerea și gestionarea datelor utilizatorului pe care le colectează {.cta.large}
Probleme ca acestea nu sunt surprinzătoare. Nici nu este sentimentul că serviciile bazate pe cloud vor pierde venituri și vor fi forțați să crească prețurile ca urmare a GDPR, ceea ce jumătate din participanții la Infosecurity Europe 2018 cred că se vor întâmpla în curând. De asemenea, consideră că GDPR va înăbuși inovația, deoarece organizațiile mici nu își vor permite infrastructura necesară pentru a fi conforme. Aceasta este o bună discuție a oamenilor care trebuie să discute despre asta. O mai bună confidențialitate merită orele de întoarcere și întoarcere necesare pentru a înțelege corect.
Dar cred că o să facă mai mult rău decât bine - o parte a GDPR - regula articolului 33 de 72 de ore de raportare. Puteți citi textul complet aici, dar esențialul este că o companie care păstrează identificarea personală a cetățenilor UE este pe deplin responsabilă pentru orice încălcare a securității, indiferent de motiv, și trebuie să furnizeze dezvăluire completă unui comitet de supraveghere în termen de 72 de ore. a unei încălcări. Nu este nimic grozav în legătură cu această regulă, dar două părți vor conduce la furnizorii de servicii care acoperă încălcările de date, în loc să le raporteze în mod responsabil.
Primul este comitetul de supraveghere. Diferite țări au moduri diferite de a-și guverna cetățenii, dar un lucru pe care îl au în comun este tratamentul preferențial atunci când vine vorba de crearea și personalul oricărui comitet oficial. Un prieten al unui prieten sau acel al treilea văr care nu se poate opri să ceară o înmânare sunt candidați primari pentru orice loc de comisie, iar atunci când obiectivul principal este protejarea datelor utilizatorilor, trebuie luate în considerare doar persoanele cele mai calificate. Să sperăm că asta este exact ceea ce s-a făcut aici și reglementările pot fi adaptate și aplicate de către persoanele care au interesul nostru cel mai important și sunt calificate.
Companiile mici fără resursele necesare pentru a face o investigație completă a încălcării pot alege să le acopere.
Un aspect mai mare este raportarea forțată de 72 de ore. Nici o organizație Fortune 500 cu personal complet nu va ști suficient despre o încălcare a datelor pentru a începe depunerea de rapoarte la o agenție guvernamentală. Având în vedere un timp atât de scurt, așteptați-vă puțin mai mult decât ofițerul de securitate informațională al companiei spunând că a existat o încălcare și încă nu suntem siguri de detalii. Asta înseamnă mai mult decât o pierdere de timp pentru toți cei implicați și aș prefera să petrecem acest timp încercând să aflu de ce, de cum, de când și de cei care înconjoară orice tip de încălcare a datelor.
O companie mai mică care ar putea deja să se lupte să îndeplinească conformitatea GDPR va fi tentată să investigheze dacă poate conține încălcarea și să diminueze daunele singure fără niciun raport. Când sunteți sub presiune și nu aveți capacitate de subacoperire, o acoperire poate suna ca opțiunea potrivită.
În mod clar, nu este niciodată. Dar companiile mari și mici au fost cunoscute să aleagă din nou opțiunea greșită, când vine vorba despre fir. Orice reglementare menită să protejeze utilizatorii de companii care iau decizii slabe este mai bună fără o regulă care îi poate împinge să facă exact acest lucru.
Raportarea responsabilă și promptă a unui istoric de date este o necesitate. Forțarea companiilor care recoltează și dețin datele noastre să facă ceea ce trebuie nu este de mare folos fără ea. Crearea comisiei de supraveghere potrivită cu oamenii potriviți pentru a revizui modul în care sunt tratate incidențele - sau chiar oferirea de asistență atunci când se întâmplă - ar face un drum lung pentru a face din GDPR un șablon pentru restul lumii.
