När vi firar fem år sedan införandet av GDPR tittar vi på hur det har påverkat dem som gör det arbete som det har påverkat mest. Dan Raywood pratar med fem personer i olika roller kring cybersäkerhet för att förstå den övergripande inverkan på deras arbete.

Jon Baines, DPO, Mishcon de Reya

Hur upplever du att GDPR påverkat din roll från dag till dag under de senaste fem åren?

Det som många saknar med GDPR är att det inte förändrade den befintliga lagen så mycket – de flesta av definitionerna, principerna, skyldigheterna och rättigheterna fanns redan under 1995 års dataskyddsdirektiv (implementerat i Storbritannien genom Data Protection Act 1998). Det som förändrades var det av två huvudsakliga sammanhängande skäl: 1) verkställighetssystemet GDPR ökade kraftigt de potentiella maximiböterna – I Storbritannien hade det tidigare maxbeloppet varit 500,000 20 pund, och nu hade det blivit 4 miljoner euro eller 2 % av den globala årliga omsättningen, och i vissa EU-länder hade deras tidigare lagar inte ens tillåtit böter alls; XNUMX) GDPR fick massiv publicitet (med stöd av betydande EU-finansiering) vilket ledde till att dataskydd blev ett styrelseämne, vilket det sällan eller aldrig varit tidigare.

Konsekvensen för någon som mig, som agerar som rådgivare, är att mina tjänster anlitades på ett sätt och med en frekvens som jag aldrig sett förut. När man lägger till komplexiteten som Brexit sedan förde med sig, med bibehållandet av GDPR som "UK GDPR" men en helt ny inhemsk regim att överväga, har de senaste fem åren varit hektiska och utmanande (men enormt intressanta!)

Uppenbarligen skapade det DPO-rollen. Hur är det med förfrågningar om subjektsåtkomst, är den externa delen av din roll lika avgörande som det övergripande internt dataskyddet internt?

DPO:er fanns före GDPR. Men du har rätt i att GDPR satte dem på en lagstadgad grund. På samma sätt var SAR inte något nytt, och de hade haft lagstadgad status i Storbritannien sedan 1984(!), och DPO:er och advokater var redan väl vana vid att hantera dem, men av de skäl som angavs i det första svaret blev SAR:er mycket mer känt efter att GDPR kom in.

Dessutom fick organisationer inte längre ta ut den lilla avgift de tidigare kunnat ta ut. Antalet inkomna siffror har generellt sett ökat för de flesta organisationer, och klagomål till informationschefen om dem har också gjort det.

Som någon som ger råd till externa företagskunder om att svara på dem men också ger råd till privatpersoner om hur man gör dem, jag vet hur utmanande de kan vara att hantera, hur hjälpsamma de kan vara för dem som gör dem, men också hur frustrerande och kostsam processen. kan vara för båda sidor. De försvinner inte – den nuvarande lagförslaget om dataskydd och digital information kommer att behålla dem, med sannolikt mindre ändringar – och de bör nu ses som en del av den vanliga verksamheten för de flesta om inte alla organisationer, såväl som ett värdefullt verktyg för individer när de försöker hävda sina rättigheter.

Bronwyn Boyle, tidigare CISO och cybersäkerhetsspecialist inom finansiella tjänster

Hur upplever du att GDPR påverkat din roll från dag till dag under de senaste fem åren?

Medan säkerhet ofta historiskt sett uppfattades som en teknisk fråga, fungerade GDPR som en katalysator för att bryta ner silos och driva ett mer holistiskt och samarbetssätt för säkerhet. Det höjde säkerhetsprofilen, där styrelser och C-Suiter med rätta krävde transparent insikt i det pågående utförandet av säkerhetskontroller och hantering av relaterade risker.

Många av oss i säkerhetsgemenskapen var glada över att se en tydlig förändring i dynamiken. Istället för att kämpa för att få meddelanden hörda bjöds CISO:er in att ta plats vid bordet och bidra till organisationsstrategin.

Hur mycket påverkade denna dataskydds- och användarintegritetsförordning den övergripande informationssäkerheten?

GDPR har gett en fantastisk möjlighet att fördjupa samarbetet och förbättra den ömsesidiga förståelsen mellan organisationer. Affärs- och säkerhetsteam fortsätter att arbeta nära och se till att personuppgifter skyddas under hela dess livscykel. Det är fantastiskt att se hur GDPR kan fungera som ett delat ramverk för att sammanföra de många olika team som berör personuppgifter på olika punkter. Det gläder mig att se hur GDPR har drivit på en bestående förändring för att förbättra tvärfunktionellt samarbete.

GDPR har fungerat som en kulturell pivotpunkt: både anställda och slutanvändare blev bättre medvetna om värdet av deras data och behovet av att hålla den säker genom säkert beteende. Det fortsätter också att driva på bättre företagsbeteende, med företag som ställs till svars för att ha kränkt de registrerades rättigheter. I det nuvarande klimatet av datahungriga AI-experiment och snabb användning behövs denna typ av skydd mer än någonsin.

Eduardo Ustaran, global co-head för sekretess- och cybersäkerhetspraxis, Hogan Lovells

Hur upplever du att GDPR påverkat din roll från dag till dag under de senaste fem åren?

Efter den första tsunamin av arbete efter implementeringen av GDPR har de senaste fem åren sett en konsolidering av frågor som har blivit högsta prioritet ur ett efterlevnadsperspektiv. Viktiga ansträngningar har ägnats åt att få grunderna rätt (från lagliga grunder till transparens), att ta itu med individers rättigheter och, naturligtvis, internationella dataöverföringar.

Den kanske mest spännande delen av GDPR ur ett dagligt perspektiv har varit hur man bemästrar några av dess nyheter, som att implementera konsekvensbedömningar av dataskydd, hjälpa uppgiftsskyddsombud med deras ansvar och uppfylla kraven för anmälan om dataintrång.

Tror du att folk förstår vad det handlar om, varför det introducerades och vad det åstadkommer?

Människor erkänner definitivt att GDPR gör dataskydd verkligt. Alla vet om det och pratar om det, även om alla förstår lagens nyanser och komplexitet är en annan sak. Med sitt internationella erkännande har detta varit den största framgången för GDPR.

När man har riskbaserad reglering är det utmanande att tydligt förstå vad den regleringen gör eftersom samma skyldigheter gäller på olika sätt beroende på omständigheterna. Framför allt finns det ett ganska universellt erkännande av att GDPR handlar om att hantera personuppgifter ansvarsfullt och att det inte står i vägen för att utveckla teknik eller göra affärer.

Neil Thacker, CISO, Netskope

Hur upplever du att GDPR påverkat din roll från dag till dag under de senaste fem åren?

GDPR har direkt påverkat min roll som CISO på Netskope – men det började för nästan sju år sedan när det gäller att förbereda för GDPR. Även om många av de grundläggande kontrollerna inte förändrades drastiskt från den brittiska dataskyddsmyndigheten, har betydelsen av dataskydd och datastyrning, särskilt när det gäller att visa mognad och rapportering under den tidsperioden, ökat.

Denna betydelse har märkts inte bara internt utan även hos tredjepartsleverantörer som är involverade i behandlingen av någon form av personuppgifter. Vi säkerställer att alla våra leverantörer uppfyller stränga krav för att säkerställa att de, i egenskap av underbehandlare, också uppfyller de höga krav som vi tillämpar för dataskydd.

Det har varit en mycket positiv upplevelse, särskilt som vi har automatiserat många av de uppgifter som är involverade i att hantera leverantörer, säkra nya dataflöden och skydda personuppgifter i vila och i rörelse.

Dominic Vogel, grundare och chefsstrateg, Cyber.sc

Känner du att GDPR har påverkat ditt sätt att arbeta under de senaste fem åren?

Det korta svaret är absolut! Mitt arbete fokuserar främst på små och medelstora företag inom B2B-området, och det är en natt och dag skillnad i hur integritet prioriteras. Alla mina kunder som vill ha en närvaro i Europa bygger automatiskt med sekretess i åtanke; till och med organisationer som inte har någon verksamhet i Europa kan sälja till organisationer som har det, och som ett resultat av hur GDPR har flätats samman i en bredare due diligence i försörjningskedjan, finner dessa organisationer sig behöva bevisa att de följer GDPR.

Har det funnits en förståelse för vad GDPR syftar till att uppnå utanför Europa?

Till viss del varierar förståelsen verkligen beroende på sektor: det finns små och medelstora företag nu som har solida integritetsprogram på plats och integrerar integritet genom design. Så var det inte tidigare. GDPR startade en mer meningsfull era av integritetsdiskussioner här i Nordamerika. Som ett resultat ser vi mer förbättrad och moderniserad integritetslagstiftning och lagar.

Vissa spekulationer är att andra regler kan skapas för att replikera GDPR. Ser du några direkta bevis för att det har hänt?

Jag skulle inte säga att jag har sett några "direkta bevis", men eftersom tekniken snabbt förändras och utvecklas (AI någon?), finns det ett behov av att hålla integritetslagar som GDPR aktuella och uppdaterade. Vi kan inte längre skriva integritetslagar som kan förbli oförändrade i årtionden. De kommer att behöva vara smidigare och uppdateras oftare för att hålla jämna steg med tekniken.

Avslutande tankar

Med tanke på effekterna av GDPR är det tydligt att denna förordning har åstadkommit transformativa förändringar i dataskyddspraxis över hela världen. GDPR har bemyndigat individer, satt högre standarder och främjat en global integritets- och datasäkerhetsdialog.

Harmoniseringen av dataskyddslagar i EU:s medlemsländer har varit en betydande framgång, som tillhandahåller en enhetlig ram för företag och integritetspersonal. Det förenklar efterlevnadsinsatser och säkerställer konsekventa standarder över gränser och för företag. Denna harmonisering bör fungera som en modell för ytterligare standardisering, förbättra tillämpningen och möjliggöra bättre förståelse och tillämpning av bestämmelser.

Med över 140 dataintegritet förordningar som nu är verksamma globalt, men det finns lite harmonisering för företag som måste följa eller visa att de följer dessa många varierande regionala och landsspecifika regler utanför GDPR. Under de kommande fem åren kommer det att vara en ständig utmaning att hantera efterlevnadskomplexiteten.

Även om efterlevnadsutmaningar kan verka skrämmande, är det viktigt att inse värdet av effektiv programvara för efterlevnadshantering. Robust implementering av efterlevnad programvara effektiviserar processer, eliminerar repetitiva uppgifter och gör det möjligt för organisationer att fokusera på specifika efterlevnadsavvikelser. Genom att utnyttja efterlevnadsprogramvara kan företag spara värdefull tid och resurser, förbättra intern effektivitet och ge tillsynsmyndigheter bevis på efterlevnad.

Under veckan som Meta fick böter på 1.2 miljarder dollar för GDPR-intrång, är det en läglig påminnelse för organisationer att prioritera efterlevnad. Det sänder också ett tydligt budskap – få ordning på ditt hus! Organisationer som utför detta väl kommer att låsa upp fördelar långt utöver regelefterlevnad. Bra infosec är bra affär.