פון ינסעפּשאַן צו עוואַלושאַן: פינף עקספּערץ דיסקוטירן פינף יאָר פון GDPR
אינהאַלט פון אינהאַלט:
- 1) Jon Baines, DPO, Mishcon de Reya
- 2) Bronwyn Boyle, געוועזענער CISO און סייבערסעקוריטי מומכע אין פינאַנציעל באַדינונגס
- 3) Eduardo Ustaran, גלאבאלע קאָ-קאָפּ פון די פּריוואַטקייט און סייבערסעקוריטי פיר, Hogan Lovells
- 4) Neil Thacker, CISO, Netskope
- 5) דאָמיניק וואָגעל, גרינדער און הויפּט סטראַטעגיסט, Cyber.sc
- 6) סאַם פּעטערס, קטאָ, ISMS.online
ווען מיר צייכן פינף יאָר זינט די הקדמה פון די GDPR, מיר קוקן אין ווי עס האט ימפּאַקטיד די וואָס טאָן די אַרבעט וואָס עס האט די מערסט אַפעקטאַד. Dan Raywood רעדט מיט פינף מענטשן וואָס טאָן פאַרשידענע ראָלעס אַרום סייבערסעקוריטי צו פֿאַרשטיין די קוילעלדיק פּראַל אויף זייער אַרבעט.
Jon Baines, DPO, Mishcon de Reya
ווי טאָן איר פילן אַז די GDPR ימפּאַקטיד דיין ראָלע פון טאָג צו טאָג אין די לעצטע פינף יאָר?
די זאַך וואָס פילע מענטשן פאַרפירן וועגן GDPR איז אַז עס האט נישט טוישן די יגזיסטינג געזעץ אַזוי פיל - רובֿ פון די דעפֿיניציע, פּרינסאַפּאַלז, אַבלאַגיישאַנז און רעכט שוין עקסיסטירט אונטער די 1995 דאַטאַ פּראַטעקשאַן דירעקטיוו (ימפּלאַמענאַד אין די וק דורך די דאַטאַ פּראַטעקשאַן אקט 1998 וואָס האט געביטן איז די פאָקוס וואָס איז געווען פֿאַר צוויי הויפּט פארבונדן סיבות: 1) די ענפאָרסמאַנט סכעמע אונטער GDPR האט מאַסיוו ראַמפּאַד די פּאָטענציעל מאַקסימום פינעס - אין די וק, די פריערדיקע מאַקסימום איז געווען £ 500,000, און איצט עס איז געווארן € 20 מיליאָן אָדער 4% פון די גלאבאלע יערלעך ויסקער, און אין עטלעכע אי.יו. 2) GDPR פארדינט מאַסיוו פּירסעם (מיט די שטיצן פון באַטייטיק אי.יו. פאַנדינג) וואָס געפֿירט צו דאַטן שוץ געווארן אַ באָרדרום טעמע, וואָס עס איז געווען ראַרעלי אויב אלץ געווען פריער.
די קאַנסאַקוואַנס פֿאַר עמעצער ווי מיר, אַקטינג ווי אַ אַדווייזער, איז אַז מיין סערוויסעס זענען גערופן אויף אַ וועג און מיט אַ אָפטקייַט איך קיינמאָל געזען פריער. ווען איר לייגט צו די קאַמפּלעקסיטיז וואָס ברעקסיט דעמאָלט געבראכט, מיט די ריטענשאַן פון די GDPR ווי די "UK GDPR" אָבער אַ גאַנץ נייַ דינער רעזשים צו באַטראַכטן, די לעצטע פינף יאָר זענען העקטיק און טשאַלאַנדזשינג (אָבער מאַסיוו טשיקאַווע!)
דאָך, עס באשאפן די דפּאָ ראָלע. וואָס וועגן טעמע אַקסעס ריקוועס, איז דער פונדרויסנדיק טייל פון דיין ראָלע ווי קריטיש ווי די קוילעלדיק ינערלעך דאַטן שוץ ינערלעך?
דפּאָ ס עקסיסטירט איידער GDPR. אָבער איר האָט רעכט אַז GDPR שטעלן זיי אויף אַ סטאַטשאַטאָרי פוטער. סימילאַרלי, SARs זענען נישט עפּעס נייַ, און זיי האָבן געהאט סטאַטשאַטאָרי סטאַטוס אין די וק זינט 1984(!), און דפּאָ ס און אַדוואָקאַטז זענען שוין געזונט געוויינט צו האַנדלען מיט זיי, אָבער, פֿאַר די סיבות געגעבן אין דער ערשטער ענטפער, SARs געווארן פיל מער באַוווסט נאָך GDPR געקומען אין.
װײטע ר האב ן זי ך שוי ן ניש ט דערלויב ט ארגאניזאצי ע צ ו שטעל ן ד י קלײנ ע אפצאל , װא ם ז ײ האב ן פריע ר געקענ ט . באקומט צאלן זענען בכלל פארמערט געווארן פאר רוב ארגאניזאציעס, און קלאגעס צום אינפארמאציע קאמיסאר איבער זיי האבן אויך געטון.
ווי עמעצער וואָס אַדווייזיז פונדרויסנדיק פֿירמע קלייאַנץ צו ריספּאַנד צו זיי אָבער אויך אַדווייזיז מענטשן ווי צו מאַכן זיי, איך וויסן ווי טשאַלאַנדזשינג זיי קענען זיין צו האַנדלען מיט, ווי נוציק זיי קענען זיין פֿאַר די וואָס מאַכן זיי, אָבער אויך ווי פראַסטרייטינג און טייַער דער פּראָצעס קענען זיין פֿאַר ביידע זייטן. זיי וועלן נישט גיין אַוועק - די קראַנט דאַטאַ פּראַטעקשאַן און דיגיטאַל אינפֿאָרמאַציע ביל וועט ריטיין זיי, מיט מסתּמא מינערווערטיק אַמענדמאַנץ - און זיי זאָל איצט זיין געזען ווי אַ טייל פון די רעגולער געשעפט פון רובֿ אויב ניט אַלע אָרגאַנאַזיישאַנז, ווי געזונט ווי אַ ווערטפול געצייַג פֿאַר מענטשן ווען זיי זוכן צו באַשטעטיקן זייער רעכט.
Bronwyn Boyle, געוועזענער CISO און סייבערסעקוריטי מומכע אין פינאַנציעל באַדינונגס
ווי טאָן איר פילן אַז די GDPR ימפּאַקטיד דיין ראָלע פון טאָג צו טאָג אין די לעצטע פינף יאָר?
כאָטש זיכערהייט איז אָפט כיסטאָריקלי באמערקט ווי אַ טעק אַרויסגעבן, GDPR אַקטאַד ווי אַ קאַטאַליסט צו ברעכן אַראָפּ סילאָ און פירן אַ מער האָליסטיק און קאַלאַבערייטיוו צוגאַנג צו זיכערהייט. עס האט אויפגעהויבן די פּראָפיל פון זיכערהייט, מיט באָאַרדס און C-Suites רעכט פארלאנגט טראַנספּעראַנט ינסייט אין די אָנגאָינג פאָרשטעלונג פון זיכערהייט קאָנטראָלס און פאַרוואַלטונג פון פֿאַרבונדענע ריסקס.
פילע פון אונדז אין די זיכערהייט קהל זענען דילייטיד צו זען אַ קלאָר יבעררוק אין דינאַמיק. אַנשטאָט פייטינג צו באַקומען אַרטיקלען געהערט, CISOs זענען פארבעטן צו נעמען אַ אַוועקזעצן בייַ די טיש און ביישטייערן צו אָרגאַנאַזיישאַנאַל סטראַטעגיע.
ווי פיל האט דעם דאַטן שוץ און באַניצער פּריוואַטקייט רעגולירן אַפעקטאַד קוילעלדיק אינפֿאָרמאַציע זיכערהייט?
GDPR האט צוגעשטעלט אַ פאַנטאַסטיש געלעגנהייט צו דיפּאַן מיטאַרבעט און פֿאַרבעסערן קעגנצייַטיק פארשטאנד אַריבער אָרגאַנאַזיישאַנז. געשעפט און זיכערהייט טימז פאָרזעצן צו אַרבעטן ענג און ענשור אַז פערזענלעכע דאַטן זענען באַוואָרענען איבער זיין לעבן. עס איז גרויס צו זען ווי GDPR קענען שפּילן ווי אַ שערד פריימווערק צו ברענגען צוזאַמען די פילע פאַרשידענע טימז וואָס פאַרבינדן פערזענלעכע דאַטן אין פאַרשידן פונקטן. איך בין דילייטיד צו זען ווי GDPR האט געטריבן בלייַביק ענדערונגען אין ימפּרוווינג קרייַז-פאַנגקשאַנאַל מיטאַרבעט.
GDPR האט אַקטאַד ווי אַ קולטור דרייפּונקט פונט: עמפּלוייז און סוף יוזערז געווארן בעסער אַווער פון די ווערט פון זייער דאַטן און די נויט צו האַלטן עס זיכער דורך זיכער נאַטור. עס אויך האלט צו פירן בעסער פֿירמע נאַטור, מיט קאָמפּאַניעס וואָס זענען געהאלטן צו חשבון פֿאַר ינפרינדזשינג אויף די רעכט פון דאַטן סאַבדזשעקץ. אין דעם קראַנט קלימאַט פון דאַטן-הונגעריק אַי יקספּעראַמאַנטיישאַן און גיך אַדאַפּשאַן, דעם טיפּ פון באַוואָרעניש איז דארף מער ווי אלץ.
Eduardo Ustaran, גלאבאלע קאָ-קאָפּ פון די פּריוואַטקייט און סייבערסעקוריטי פיר, Hogan Lovells
ווי טאָן איר פילן אַז די GDPR ימפּאַקטיד דיין ראָלע פון טאָג צו טאָג אין די לעצטע פינף יאָר?
נאָך דער ערשט צונאַמי פון אַרבעט נאָך די ימפּלאַמענטיישאַן פון די GDPR, די לעצטע פינף יאָר האָבן געזען אַ קאַנסאַלאַדיישאַן פון ישוז וואָס האָבן ווערן די שפּיץ פּרייאָראַטיז פֿון אַ העסקעם פּערספּעקטיוו. שליסל השתדלות זענען געטרייַ צו באַקומען די באַסיקס רעכט (פון לעגאַל גראָונדס צו דורכזעיקייַט), אַדרעסינג די רעכט פון יחידים און, פון קורס, אינטערנאַציאָנאַלע דאַטן טראַנספערס.
טאָמער די מערסט יקסייטינג טייל פון די GDPR פֿון אַ טאָג-צו-טאָג פּערספּעקטיוו איז געווען ווי צו בעל עטלעכע פון זייַן נייַקייַט, ווי דיפּלויינג דאַטן שוץ פּראַל אַסעסמאַנץ, העלפּינג דפּאָ ס מיט זייער ריספּאַנסאַבילאַטיז, און טרעפן די רעקווירעמענץ פֿאַר דאַטן בריטש אָנזאָג.
צי איר טראַכטן מענטשן פֿאַרשטיין וואָס עס איז וועגן, וואָס עס איז געווען באַקענענ, און וואָס עס אַטשיווז?
מענטשן באשטימט באַשטעטיקן אַז GDPR מאכט דאַטן שוץ פאַקטיש. יעדער ווייסט דערפון און רעדט דערפון, כאטש צי יעדער פארשטייט די נואנסן און קאמפליציטעטן פונעם געזעץ איז אן אנדערע זאך. מיט זיין אינטערנאַציאָנאַלע דערקענונג, דאָס איז געווען די גרעסטע הצלחה פון די GDPR.
ווען איר האָבן ריזיקירן-באזירט רעגולירן, עס איז טשאַלאַנדזשינג צו קלאר פֿאַרשטיין וואָס די רעגולירן טוט ווייַל די זעלבע אַבלאַגיישאַנז אַפּלייז אין פאַרשידענע וועגן דיפּענדינג אויף די צושטאנדן. אויבן אַלע, עס איז אַ שיין וניווערסאַל דערקענונג אַז די GDPR איז וועגן האַנדלינג פערזענלעכע אינפֿאָרמאַציע ריספּאַנסאַבלי און אַז עס איז נישט אין די וועג פון דעוועלאָפּינג טעכנאָלאָגיע אָדער טאן געשעפט.
Neil Thacker, CISO, Netskope
ווי טאָן איר פילן אַז די GDPR ימפּאַקטיד דיין ראָלע פון טאָג צו טאָג אין די לעצטע פינף יאָר?
די GDPR האט גלייך ימפּאַקטיד מיין ראָלע ווי CISO אין Netskope - אָבער עס סטאַרטעד כּמעט זיבן יאָר צוריק אין טערמינען פון פּריפּערינג פֿאַר די GDPR. כאָטש פילע פונדאַמענטאַל קאָנטראָלס האָבן נישט דראַסטיקלי געביטן פֿון די UK DPA, די וויכטיקייט פון דאַטן שוץ און דאַטן גאַווערנאַנס, ספּעציעל אין ווייזן צייַטיקייַט און ריפּאָרטינג איבער די צייט, איז געוואקסן.
די וויכטיקייט איז פּעלץ ניט בלויז ינערלעך אָבער אויך צווישן דריט-פּאַרטיי סאַפּלייערז וואָס זענען ינוואַלווד אין פּראַסעסינג קיין פאָרעם פון פערזענלעכע דאַטן. מיר ענשור אַז אַלע אונדזער סאַפּלייערז טרעפן שטרענג רעקווירעמענץ צו ענשור אַז זיי, אַקטינג ווי סאַב-פּראַסעסערז, אויך טרעפן די הויך סטאַנדאַרדס וואָס מיר צולייגן צו דאַטן שוץ.
דאָס איז געווען אַ זייער positive דערפאַרונג, ספּעציעל ווייַל מיר האָבן אָטאַמייטיד פילע פון די טאַסקס ינוואַלווד אין אָנפירונג סאַפּלייערז, סיקיורינג נייַ דאַטן פלאָוז און פּראַטעקטינג פערזענלעכע דאַטן אין רו און אין באַוועגונג.
דאָמיניק וואָגעל, גרינדער און הויפּט סטראַטעגיסט, Cyber.sc
צי איר פילן אַז די GDPR האט ימפּאַקטיד די וועג איר אַרבעט אין די לעצטע פינף יאָר?
דער קורץ ענטפער איז לעגאַמרע! מייַן אַרבעט פאָוקיסיז בפֿרט אויף SMBs אין די B2B פּלאַץ, און עס איז אַ נאַכט און טאָג חילוק אין ווי פּריוואַטקייט איז פּרייאָראַטייזד. יעדער פון מיין קלייאַנץ וואָס פאַרלאַנג צו האָבן אַ בייַזייַן אין אייראָפּע אויטאָמאַטיש בויען מיט פּריוואַטקייט אין זינען; אפילו אָרגאַנאַזיישאַנז וואָס טאָן ניט האָבן קיין געשעפט אין אייראָפּע קען זיין סעלינג צו אָרגאַנאַזיישאַנז וואָס טאָן דאָס, און ווי אַ רעזולטאַט פון ווי GDPR איז ינטערטוויינד אין אַ ברייט צושטעלן קייט רעכט דיליץ, די אָרגאַנאַזיישאַנז דאַרפֿן צו באַווייַזן די GDPR העסקעם.
איז עס געווען אַ פארשטאנד פון וואָס די GDPR אַימעד צו דערגרייכן פֿון אַרויס אייראָפּע?
צו אַ גראַד, פארשטאנד אַוואַדע וועריז לויט סעקטאָר: עס זענען איצט סמבס וואָס האָבן האַרט פּריוואַטקייט מגילה אין פּלאַץ און ויסשטימען פּריוואַטקייט דורך פּלאַן. דאָס איז נישט געווען דער פאַל פריער. GDPR קיקט אַוועק אַ מער מינינגפאַל תקופה פון פּריוואַטקייט דיסקוסיעס דאָ אין צפון אַמעריקע. ווי אַ רעזולטאַט, מיר זען מער ימפּרוווד און מאַדערנייזד פּריוואַטקייט געסעצ - געבונג און געזעצן.
עטלעכע ספּעקולאַציע איז אַז אנדערע רעגיאַליישאַנז קען זיין באשאפן צו רעפּלאַקייט די GDPR. צי איר זען קיין דירעקט זאָגן פון דעם געשעעניש?
איך וואָלט נישט זאָגן אַז איך ווע געזען קיין "דירעקט זאָגן", אָבער ווי טעכנאָלאָגיע איז ראַפּאַדלי טשאַנגינג און יוואַלווינג (אַי ווער עס יז?), עס איז אַ נויט צו האַלטן פּריוואַטקייט געזעצן ווי GDPR קראַנט און דערהייַנטיקט. מיר קענען ניט מער שרייַבן פּריוואַטקייט געזעצן וואָס קענען בלייַבן אַנטשיינדזשד פֿאַר דעקאַדעס. זיי וועלן דאַרפֿן צו זיין מער פלינק און דערקוויקט מער אָפט צו האַלטן גאַנג מיט טעכנאָלאָגיע.
לעצט טאָץ
סאַם פּעטערס, קטאָ, ISMS.online
ריפלעקטינג אויף די פּראַל פון GDPR, עס איז קלאָר אַז די רעגולירן האט געבראכט טראַנספערמאַטיווע ענדערונגען אין דאַטן שוץ פּראַקטיסיז ווערלדווייד. GDPR האט ימפּאַוערד מענטשן, שטעלן העכער סטאַנדאַרדס און פאָסטערד אַ גלאבאלע פּריוואַטקייט און דאַטן זיכערהייט דיאַלאָג.
די כאַרמאַניזיישאַן פון דאַטן שוץ געזעצן אַריבער אי.יו. מיטגליד שטאַטן איז געווען אַ באַטייטיק דערגרייה, פּראַוויידינג אַ יונאַפייד פריימווערק פֿאַר געשעפטן און פּריוואַטקייט פּראָפעססיאָנאַלס. עס סימפּלאַפייז העסקעם השתדלות און ינשורז קאָנסיסטענט סטאַנדאַרדס אַריבער געמארקן און פֿאַר קאָמפּאַניעס. די כאַרמאַניזיישאַן זאָל דינען ווי אַ מאָדעל פֿאַר ווייַטער סטאַנדערדיזיישאַן, ימפּרוווינג ענפאָרסמאַנט און געבן בעסער פארשטאנד און אַפּלאַקיישאַן פון רעגיאַליישאַנז.
מיט איבער קסנומקס data privacy רעגיאַליישאַנז איצט אַפּערייטינג גלאָובאַלי, אָבער, עס איז קליין כאַרמאַניזיישאַן פֿאַר געשעפטן וואָס מוזן נאָכקומען אָדער באַווייַזן העסקעם מיט די פילע וועריינג רעגיאָנאַל און לאַנד-ספּעציפיש רעגיאַליישאַנז אַרויס די פון די GDPR. אין די קומענדיקע פינף יאָר, די אָנפירונג פון קאַמפּלעקסיטי פון העסקעם וועט זיין אַ אָנגאָינג אַרויסרופן.
כאָטש העסקעם טשאַלאַנדזשיז קען ויסקומען דאָנטינג, עס איז יקערדיק צו דערקענען די ווערט פון עפעקטיוו העסקעם פאַרוואַלטונג ווייכווארג. שטאַרק ימפּלאַמענטיישאַן פון העסקעם ווייכווארג סטרימליינז פּראַסעסאַז, ילימאַנייץ ריפּעטיטיוו טאַסקס, און ינייבאַלז אָרגאַנאַזיישאַנז צו פאָקוס אויף ספּעציפיש העסקעם דיווערדזשאַנסיז. דורך לעווערידזשינג העסקעם ווייכווארג, געשעפטן קענען שפּאָרן ווערטפול צייט און רעסורסן, פֿאַרבעסערן ינערלעך עפעקטיווקייַט און צושטעלן רעגיאַלייטערז זאָגן פון העסקעם.
אין דער וואָך אַז מעטאַ באקומען אַ $ 1.2 ביליאָן שטראַף פֿאַר GDPR ינפרינדזשמאַנץ, עס איז אַ צייט דערמאָנונג פֿאַר אָרגאַנאַזיישאַנז צו פּרייאָראַטייז העסקעם. עס אויך סענדז אַ קלאָר אָנזאָג - באַקומען דיין הויז אין סדר! אָרגאַנאַזיישאַנז וואָס ויספירן דעם געזונט וועט ופשליסן בענעפיץ ווייַט ווייַטער פון רעגולאַטאָרי העסקעם. גוט ינפאָסעק איז גוט געשעפט.
