Sekretess 2.0: Förstå förändringar i efterlevnadslandskapet
Innehållsförteckning:
Framstegen inom artificiell intelligens (AI), uppkopplade enheter och annan teknik har lett till en dataexplosion. Det är det faktiskt beräknad att världen för närvarande skapar nästan 330 miljoner terabyte varje dag.
Genom att samla in och använda denna skattkammare av data kan företag bättre förstå och rikta in sig på sina kunder och i slutändan förbättra sina affärsstrategier och produkterbjudanden. Men när datainsamlingen ökar, vidtar regeringar åtgärder för att skydda den genom ny lagstiftning. När de gör det blir frågor som datatransparens, portabilitet och radering viktiga prioriteringar för moderna företag, med datamissbruk som riskerar att få rejäla böter och skada på ryktet.
När det tekniska landskapet fortsätter att utvecklas kommer även dataskyddsbestämmelser och riktlinjer att förändras.
Den globala dataskyddslagstiftningen håller på att förändras
Under de närmaste månaderna kan företag förvänta sig att se förändringar av ett antal globala dataskyddsbestämmelser – inklusive California Consumer Privacy Act (CCPA) i USA, den allmänna dataskyddsförordningen (GDPR) i Europa och lagen om skydd av personuppgifter (PIPL) i Kina.
California Privacy Protection Agency lanserade denna månad en särskild webbplats där medborgarna kan lära sig mer om sina integritetsrättigheter. Greg Clark, chef för produkthantering på OpenText Cybersecurity, förväntar sig att byrån fortsätter att öka medborgarnas rättigheter för datasekretess genom genomförandet av "strängare regler för användning av personuppgifter och ytterligare skyldigheter för att genomföra riskbedömningar och cybersäkerhetsrevisioner".
Det är också stora förändringar av dataintegritet på gång i Europa. Clark förutspår att lagstiftare kommer att utvidga GDPR så att den har "djupare rötter kring dataskydd, internationella dataöverföringar och harmoniserande tillämpningsåtgärder".
En annan stor förändring av GDPR kommer att vara formaliseringen av ePrivacy Regulation (ePR), som Clark säger kommer att bidra till att skydda individers integritet i samband med elektronisk kommunikation.
Europeiska lagstiftare pressar också på med sin AI-lag. Tim Wright, partner på Fladgate LLP, tror att den nya lagen kommer "avsevärt att forma integritetsriktlinjer och bästa praxis för AI-system, ansiktsigenkänning och digitala ID:n i Europa". Bästa metoder för dessa lösningar kommer sannolikt att fokusera på samtycke, åtkomstkontroller och dataminimering, tillägger han.
Sedan Storbritannien lämnade EU vill Storbritannien gå bort från GDPR genom att utveckla sin egen dataskyddsförordning. Kung Charles skisse regeringens planer på en proposition om dataskydd och digital information (DPDI).
Andrew Bridges, DQ & governance manager på Sagacity, förklarar för ISMS.online: "Propositionen bör införa ett tydligt affärsvänligt ramverk som innehåller nyckelelement i Storbritanniens GDPR, ge organisationer större förtroende om hur och när de kan behandla personlig information , och om samtycke krävs."
Kina har också utvecklat ett robust dataskyddssystem i form av lagen om personlig informationsskydd (PIPL), datasäkerhetslagen (DS) och cybersäkerhetslagen (CSL). Enligt OpenTexts Clark är huvudsyftet med dessa lagar att skydda registrerades rättigheter i hela Kina.
Men en annan avsikt från den kinesiska regeringen med att utarbeta och genomdriva dessa lagar kommer sannolikt att förbättra dataflödet för att "hjälpa till internationella dataöverföringar, [säkerställa] säker användning av datadelning i allmänhet och hantera hela datalivscykeln från insamling till bortskaffande". han lägger till.
Förbättra användarrättigheter
När det gäller att skapa nya dataskyddslagar och utveckla befintlig lagstiftning verkar regeringar fokusera på områden som datatransparens, portabilitet och radering.
När det gäller datatransparens förklarar Protegrity VP, Alasdair Anderson, att lagstiftare betonar vikten av "tydlig, tillgänglig information om hur personuppgifter används".
Det finns nu större förväntningar på att organisationer ska förbättra transparensen i hur de hanterar och använder data. Många organisationer vidtar åtgärder som att tillhandahålla integritetsmeddelanden och avslöjande om datainsamling och användning, som en del av en "pågående operativ process med tillhörande kostnadsoverhead", förklarar Anderson.
Han säger till ISMS.online att lagstiftare också gör det lättare för människor att flytta sina data mellan tjänsteleverantörer. Detta har förbättrat interoperabiliteten mellan tjänster och gett användarna mer kontroll över sina data. Sådana trender kan "driva en konvergens i standarderna för datautbyte, lagring och kanske till och med integritetsskydd", hävdar Anderson.
Även om rättigheter för datatransparens och portabilitet har kommit långt på senare tid, medger Anderson att rätten till dataradering fortfarande är en betydande utmaning för mogna företag med distribuerad infrastruktur och processer.
"Kostnadseffektivt operativt utförande kan endast uppnås genom en avancerad teknik för data- och integritetshantering", förklarar han. "Alternativet, som inte är ovanligt, är att låta personalen spendera betydande resurser för att försöka hitta användarinformation."
Hur standarder kan hjälpa
För organisationer som vill säkerställa kontinuerlig efterlevnad av förändrade dataskyddsbestämmelser och förbättra datasäkerheten kan det vara ett bra första steg att anta en erkänd industristandard som ISO 27701.
OpenTexts Clark uppmuntrar organisationer att följa standarden, eftersom den kommer att ge dem "en baslinje för förbättrad datasekretess". Han beskriver det som en förlängning av ISO 27001 som upprättar "specifika kontroller" för skydd av personuppgifter.
"Det skapar ett gemensamt ramverk som hjälper till att säkerställa efterlevnad av dataskyddsbestämmelser som GDPR & CCPA, minska riskerna med att hantera personuppgifter och stärka förtroendet med externa och interna intressenter", förklarar han.
När onlinesäkerhetshoten intensifieras, ökar implementering av ISO 27701 kan också hjälpa organisationer att stärka cybersäkerheten. Clark säger att detta är möjligt eftersom ISO 27701 anger "praxis för att identifiera och proaktivt bedöma risker och sårbarheter".
Genom att göra det kan det hjälpa företag att minska sannolikheten för ekonomisk förlust, skada på rykte och stillestånd i samband med dataintrång, och förbättra den övergripande effektiviteten i verksamheten.
"Att implementera ISO 27701 hjälper till att effektivisera datahanteringsprocedurer och optimera resurshantering för dataskydd. Det leder till kostnadsbesparingar och förbättrad operativ effektivitet i en organisation”, tillägger han.
Innan de antar ISO 27701, råder Clark organisationer att se över kraven i standarden och identifiera eventuella luckor i deras datapraxis. Detta kommer att göra det möjligt för dem att skapa en färdplan för efterlevnad, upptäcka synergier inom cybersäkerhet och utnyttja automationsteknik.
Datainsamling har enorma fördelar för företag, men utan ordentliga skyddsåtgärder och policyer på plats kan det också representera en enorm företagsrisk. För att använda data etiskt och ansvarsfullt måste företag förstå riskerna och följa branschföreskrifter. Det som är tydligt är att ISO 27701 gör detta mycket enklare.
Unlocking Success: En guide till implementering av ISO 27701
Vi har skapat en praktisk färdplan på en sida, uppdelad i fem viktiga fokusområden, för att närma dig och uppnå ISO 27701 i din verksamhet. Det finns inget formulär att fylla i. Ladda ner PDF-filen idag för en enkel kickstart på din resa mot effektivare datasekretess.
