ווען די פֿאַראייניקטע קעניגרייך האָט אײַנגעפֿירט די דאַטן נוצן און צוטריט געזעץ (DUAA), א גרויס טייל פון די פריע קאמענטארן האבן זיך קאנצענטרירט אויף די דיווערגענץ וואס עס האט אריינגעברענגט. איז דאס געווען א פארווייכערונג פון די פאראייניגטע קעניגרייך'ס דאטן שוץ רעזשים? א באוואוסטזיניגע אפטרעטונג פון בריסל? א פרא-וואוקס ריקאליבראציע? אבער דאס גאנצע אויסארבעטונג פארפעלט די מער קאנסעקווענטע פארשיבונג.
די DUAA פארדיןט נישט אחריות. עס פארטיילט עס איבער, און מאכט פארשריפטלעכע אינטערפרעטאציע אין גאַווערנאַנס וואָס קען קלאָר דעמאָנסטרירט ווערן. דורך פארבעסערן אנערקענטע לעגיטימע אינטערעסן, איבערקאליברירן סוביעקט צוטריט רעכטן, צופּאַסן אויטאָמאַטישע באַשלוס-מאכן פּראָוויזיעס און פארשטארקן דורכפירונג אונטער PECR, רעדוצירט דער אקט שטרענגקייט אין געוויסע געביטן בשעת עס אויך פארגרעסערט די ערוואַרטונג אַז אָרגאַניזאַציעס קענען באַרעכטיקן ווי זיי נוצן דיסקרעציע.
איין זאך וואָס איז גאָר קלאָר איז אַז די רעגולאַטאָרישע לאַסט איז נישט פאַרשוואונדן. זי איז, אין פאַקט, געוואָרן מער סטרוקטורעל. די אָרגאַניזאַציעס וואָס וועלן נאַוויגירן די DUAA מיט הצלחה זענען נישט די וואָס דערהייַנטיקן פּאָליטיק שנעלסט. עס וועלן זיין די וואָס קענען באַווייַזן ווי באַשלוסן ווערן געמאַכט, איבערגעקוקט און פֿאַרבעסערט מיט דער צייט, און טאָן דאָס קאָנסיסטענט.
פּראָפּאָרציאָנאַליטעט אונטער די DUAA איז נישט לײַדנשאַפט; עס איז דיסציפּלין
איינע פון די צענטראלע טעמעס פון די DUAA איז פּראָפּאָרציאָנאַליטעט. עס באַוועגט אַז מען קען זיך פֿאַרלאָזן אויף אנערקענטע לעגיטימע אינטערעסן אָן אַ פֿולשטענדיקן באַלאַנסיר-טעסט אין באַשטימטע סצענאַרן. פֿאַרלאַנגען פֿאַר צוטריט צו אינפֿאָרמאַציע קענען ווערן אָפּגעזאָגט אָדער מאַדערירט ווען זיי זענען "שוועריג אָדער איבערגעטריבן". און, אויטאָמאַטישע באַשלוס-מאכן כּללים זענען געוואָרן פֿאַרבעסערט.
אבער פראפארציאנאליטעט איז נישט קיין נידעריגער מאכן די שטאנדארטן. למשל, וואו אן ארגאניזאציע פארלאזט זיך אויף אנערקענטע לעגיטימע אינטערעסן, וועט דער רעגולאטאר נאך אלץ ערווארטן צו זען:
- קלאָרע אידענטיפיקאציע פון די פאַראַרבעטונג ציל
- ריזיקע אנאליז וואס שפיגלט אפ די ווירקונג אויף יחידים
- באַטראַכטונג פון זיכערהייטס-מיטלען
- דאָקומענטאַציע פון באַשלוס-מאכן
- באַווייַז פון קאָנסיסטענט אַפּלאַקיישאַן
אזוי אויך, די רעפארמען צו דאטן סוביעקט צוטריט פארלאנגען (DSAR) באהאנדלונג שאפן נישט קיין דיסקרעציע אליין. זיי פארלאנגען סטרוקטורירטע קריטעריעס פארן אפשאצן איבערגעטריבענע זאכן, דעפינירטע עסקאלאציע רוטעס און דאקומענטירטע באגרינדונג. אין פראקטיק, דאס באוועגט די קאמפלייענס לאסט אוועק פון פארמולע טעסטן און צו דעמאנסטרירבארער גאווערנענס מאטוריטעט.
איך מיין אז ס'איז אויך ווערט צו דערמאָנען אז די ICO'ס דורכפירונג טענדענץ אין די לעצטע צייטן האט שוין אפגעשפיגלט דעם טויש. אויספארשונגען באטראכטן מער און מער סיסטעמישע קאנטראל דורכפעלער, נישט גענוג אויפזיכט, און נישט גענוג דאקומענטאציע, אנשטאט נאר צי א ספעציפישע קלאוז איז טעכניש געווען פארלעצט. אין דעם זין, פארשנעלערט די DUAA דעם טויש אין פאקוס.
דער אקט ענטפּלעקט פראַגמענטירטע רעגירונג
אויף אַ טאַקע פונדאַמענטאַלן לעוועל, די DUAA שניידט אַריבער אינפֿאָרמאַציע זיכערהייט, פּריוואַטקייט אָפּעראַציעס, פֿאַרקויף קאָנפאָרמאַטי, קינסטלעכע אינטעליגענץ גאַווערנאַנס, און אינטערנאַציאָנאַלע דאַטן אַריבערפירן פאַנגקשאַנז.
אין פילע אָרגאַניזאַציעס בלייבן די דאָמעינען סטרוקטורעל אפגעטיילט.
זיכערהייט קען אפערירן אונטער א טעכנישן ריזיקע פריימווערק. פריוואטקייט קען זיין פאליסי-געפירט און לעגאל-צענטרירט. מארקעטינג קען זיין קאמערציעל געטריבן. קינסטלעכע אינטעליגענץ דיפּלוימאַנט קען זיצן אין אינאָוואַציע אָדער פּראָדוקט טימז. סאַפּלייער גאַווערנאַנס קען זיין פּראַקורמענט-געפירט. די DUAA רעספּעקטירט נישט די אינערלעכע גרענעצן.
א קינסטלעך-אינטעליגענטע מארקעטינג געצייג, וואס ווערט דעפלויד דורך א פראסעסאר באזירט אין די פאראייניגטע שטאטן, למשל, קען גלייכצייטיג זיך באטייליקן אין:
- זיכערהייט פון פּראַסעסינג פליכטן
- לעגאַלע באַזע אַסעסמאַנץ
- אויטאָמאַטישע באַשלוס-מאכן זיכערהייטן
- PECR פֿאַרקויף כּללים
- אינטערנאציאנאלע טראנספער ריזיקע מענעדזשמענט
אויב יעדער עלעמענט ווערט רעגירט אַנדערש און נישט קאָנסיסטענט דאָקומענטירט, ווערט אַן אָרגאַניזאַציעס מעגלעכקייט צו פֿאַרטיידיקן באַשלוס-מאכן שוואַכער. כּדי צו זײַן קלאָר, דער געזעץ פֿאָדערט נישט עקספּליציט אינטעגראַציע. אָבער זײַן פּראַקטישער עפֿעקט מאַכט פֿראַגמענטירטע גאַווערנאַנס שווערער צו האַלטן. דאָס איז פאַרוואָס עס איז קלאָר פֿאַר רובֿ אַז אין דעם סביבה, זענען פאַרוואַלטונג סיסטעמען וויכטיק.
פארוואס אינטערנאציאנאלע סטאַנדאַרדן ווערן סטראַטעגיש אין אַ היגע רעפאָרם
כאָטש די DUAA ענדערט נאָר די UK GDPR און PECR, בלייבן UK געשעפטן אויסגעשטעלט צו EU GDPR, סעקטאָראַלע רעגולאַציעס, און אויפקומענדיקע AI געזעצגעבונג ווען זיי האַנדלען אינטערנאַציאָנאַל.
אין דעם קאנטעקסט, דינען אינטערנאציאנאלע סטאנדארטן צוויי קריטישע פונקציעס:
- זיי שאַפֿן אַ געמיינזאַמע גאַווערנאַנס שפּראַך אַריבער לעגאַלע, טעכנישע און עקסעקוטיוו טימז.
- זיי צושטעלן אַן אוידיטאַבלען פאַרטרעטער פֿאַר סטרוקטורירט ריזיקירן פאַרוואַלטונג אין דער אַוועק פון פּרעסקריפּטיוו געזעצלעך דעטאַל.
אַלזאָ, עס איז זיכער פֿאַרשטענדלעך אַז כאָטש די אינטעגרירטע אַפּליקאַציע פֿון יסאָ קסנומקס, יסאָ קסנומקס און יסאָ קסנומקס עס פאַרבייט נישט רעגולאַטאָרישע העסקעם, עס טוט אָפּעראַציאָנאַליזירן עס.
וואו די DUAA ערוואַרטעט פּראָפּאָרציאָנעלע ריזיקאָ אַסעסמענט, דעפינירן די סטאַנדאַרדן ווי ריזיקאָ ווערט אידענטיפיצירט, עוואַלויִרט, באַהאַנדלט און אָפּגעקוקט. וואו דער געזעץ שטאַרקט דורכפירונג, שטעלן זיי אַרײַן אָדיטאַביליטי און קאָרעקטיווע אַקציע. צוזאַמען, באַוועגן זיי גאַווערנאַנס פֿון רעאַקטיווער אינטערפּרעטאַציע צו סטרוקטורירטער, פּראָאַקטיווער קאָנטראָל.
ISO 27001: מאַכן אַקאַונטאַביליטי אין עפּעס באַרירעוודיק
ISO 27001, דער אינפֿאָרמאַציע זיכערהייט סטאַנדאַרט, גיט אַ ראַם צו דערגרייכן קלעריטי. עס פארלאנגט פון אָרגאַניזאַציעס צו בויען אַן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם אַרום:
- פֿאַרשטיין זייער קאָנטעקסט און ריכטיק דעפֿינירן דעם פֿאַרנעם
- א פארמאלע, פארטיידיגבארע ריזיקע אפשאצונג מעטאדאלאגיע
- קלאָרע ריזיקאָ באַהאַנדלונג פּלאַנירונג
- דאָקומענטירטע קאָנטראָל באַשלוסן
- אינערלעכע אוידיט און פאַרוואַלטונג איבערבליק
- קעסיידערדיק פֿאַרבעסערונג
אויף פּאַפּיר, קלינגט דאָס פּראָצעדוראַל. אין פּראַקטיק, ענטפֿערט עס אַ פֿיל מער אומבאַקוועמע פֿראַגע: ווער באַזיצט די ריזיקע, און ווי אַזוי ווייסן מיר?
און, אונטער די DUAA, ווערט די פראגע שאַרפער.
זיכערהייט פון פּראַסעסינג
די פארלאנג צו דורכפירן "פאסיגע טעכנישע און ארגאניזאציאנעלע מיטלען" איז נישט פארשוואונדן. אבער "פאסיגע" קען נישט מיינען "וואס האט זיך געפילט גלייכבאר אין יענער צייט".
ISO 27001 פארלאנגט פון ארגאניזאציעס צו דעפינירן וואס איז פאסיג פאר זייער ביזנעס, באזירט אויף דאקומענטירטע ריזיקע אנאליז, נישט סוביעקטיוון משפט אדער היסטארישן געוואוינהייט.
אינצידענט רעאַקציע און בריטש פאַרוואַלטונג
רעגולאַטאָרן פאָקוסירן זיך נישט מער בלויז אויף צי אַ דורכבראָך איז געשען. זיי קוקן ווי צוגעגרייט די אָרגאַניזאַציע איז געווען.
- איז די ענטפער געטעסט געוואָרן?
- איז עס דאקומענטירט געוואָרן?
- האט די פירערשאפט פארשטאנען זייער ראלע?
א סטרוקטורירטער, געפרואוטערטער אינצידענט פּראָצעס ווייזט קאָנטראָל. אן אימפּראַוויזירטער ווייזט אויסשטעלונג.
דורכפירונג און אוידיטאַביליטי
מיט שטארקערע PECR דורכפירונג כוחות און עוואלוציאנעלע קאנטראל, מוז גאַווערנאַנס זיין קענטיק. רעגולערע אינערלעכע אוידיטס און מענעדזשמענט רעצענזיעס ווייזן אז קאמפלייענס איז נישט סטאטיש. עס ווערט אקטיוו מאָניטאָרירט און אַרויסגערופן. דאָס איז וויכטיק ווען רעגולאַטאָרן באַשליסן צי אַ פּראָבלעם שפּיגלט אָפּ שלעכט מזל אָדער שוואַכע אויפזיכט.
און דאָס איז וואו ISO 27001 גייט ווייטער ווי אָפּעראַציאָנעלע היגיענע.
עס לייגט אריין פירערשאפט'ס אחריות. אונטערן DUAA, וועלן רעגירונגס-דורכפעלער נישט באהאנדלט ווערן ווי טעכנישע איבערזיכטן. עס וועט געזען ווערן ווי אן ארגאניזאציאנעלע.
ISO 27701: מאַכן פּריוואַטקייט רעפאָרם אָפּעראַציאָנעל
אויב ISO 27001 שאַפט סטרוקטורעלע פֿאַראַנטוואָרטלעכקייט, איבערזעצט ISO 27701 פּריוואַטקייט אין טעגלעכער פּראַקטיק. עס פֿאַרברייטערט דעם זיכערהייט פאַרוואַלטונג סיסטעם אין אַ פּריוואַטקייט אינפֿאָרמאַציע פאַרוואַלטונג סיסטעם, און פֿאַראייניקט פּריוואַטקייט פֿאַרפֿליכטונגען מיט דער זעלבער ריזיקע, דאָקומענטאַציע און השגחה סטרוקטור. די פֿאַראייניקונג איז קריטיש אונטער DUAA רעפֿאָרם.
אנערקענטע לעגיטימע אינטערעסן
אפילו וואו א פֿאָרמעלער באַלאַנסירונגס־טעסט איז נישט נויטיק, דאַרפֿן אָרגאַניזאַציעס נאָך אַלץ ווײַזן אַז זיי האָבן קערפֿול דורכגעטראַכט וועגן צוועק, פּראָפּאָרציאָנאַליטעט און זיכערהייטס־מיטלען.
ISO 27701 פאָרמאַליזירט ווי לעגאַלע באַזעס ווערן אידענטיפיצירט, רעקאָרדירט און איבערגעקוקט. עס נעמט אַוועק אַמביגיואַטי פון באַשלוסן וואָס וואָלטן אַנדערש געמאַכט געוואָרן אינפֿאָרמעל.
DSAR רעפארם
מאָדערירן אָדער אָפּזאָגן פֿאַרלאַנגען פֿאַר צוטריט צו אינפֿאָרמאַציע פֿאָדערט משפט, און משפט פֿאָדערט זיכערהייטס־מיטלען.
ISO 27701 שטעלט ארויס דעפינירטע פּראָצעדורן, עסאַקאַלאַציע וועגן און דאָקומענטאַציע רעקווייערמענץ. דאָס מאַכט דיסקרעציע אין אַ פאַרטיידיקבארן פּראָצעס.
אינטערנאַציאָנאַלע טראַנספערס
טראַנספער ריזיקאָ אַסעסמאַנץ, פּראַסעסער השגחה און קאָנטראַקטואַל זיכערהייטן זיצן נישט גלאַט אין לעגאַל אַליין.
ISO 27701 אינטעגרירט זיי אין סאַפּלייער גאַווערנאַנס און אָפּעראַציאָנעלע וואָרקפלאָוז, רידוסינג פראַגמענטאַטיאָן צווישן לעגאַל, פּראָקורעמענט און זיכערהייט טימז.
דורכזעיקייַט און אַקאַונטאַביליטי
פּריוואַטקייט נאָטיץ און רעקאָרדס פון פּראַסעסינג זענען נישט איין מאָל אַפּדייץ. זיי ווערן טייל פון אַ לעבעדיק פאַרוואַלטונג סיסטעם.
אין עפֿעקט, ISO 27701 פֿאָדערט די דיסציפּלין וואָס איז נויטיק צו נוצן DUAA פֿלעקסיבילאַטי פֿאַראַנטוואָרטלעך, אָן אַרײַנצופֿאַלן אין אומקאָנסיסטענסי.
ISO 42001: רעגירן קינסטלעכע אינטעליגענץ אָן עס צו באַהאַנדלען ווי אַן עקספּערימענט
ווי איך האָב פריער קורץ דערמאָנט, דער DUAA דערהייַנטיקט אויך אויטאָמאַטישע באַשלוס-מאכן כּללים. אין עטלעכע קאָנטעקסטן, פאַרגרעסערט עס די בייגיקייט. אָבער בייגיקייט אָן השגחה ענדיגט זיך זעלטן גוט. ISO 42001 פירט איין אַן AI מאַנאַגעמענט סיסטעם געבויט אויף:
- AI-ספּעציפֿישע ריזיקאָ אַסעסמאַנץ אינטעגרירט אין ענטערפּרייז ריזיקאָ
- דעפינירטע מענטשלעכע אויפזיכט
- קלאָרע דאָקומענטאַציע פון סיסטעם ציל, דאַטן אַרייַנשרייַבן און באַשלוס לאָגיק
- טראַנספּאַרענץ קאָנטראָלס
- אנגייענדע מאָניטאָרינג און פֿאַרבעסערונג
ווי קינסטלעכע אינטעליגענץ (AI) וואַקסט איבער סעקטאָרן, וועלן רעגולאַטאָרן נישט נאָר פרעגן צי סיסטעמען פונקציאָנירן טעכניש. זיי וועלן פרעגן צי אָרגאַניזאַציעס קענען ווייַזן באַדייַטנדיקע השגחה. ISO 42001 ענטפֿערט די פֿראַגע דורך עמבעדדינג AI גאַווערנאַנס אין עקזיסטירנדיקע זיכערהייט און פּריוואַטקייט סיסטעמען, אַנשטאָט צו באַהאַנדלען עס ווי אַ ינאָוואַציע זייַט פּראָיעקט.
דער אינטעגרירטער מעלה: איין ריזיקע מאָדעל, איין עווידענס באַזע
די סטראַטעגישע מאַכט פֿון דער שלייף ליגט אין אינטעגראַציע. צוזאַמען, ISO 27001, 27701 און 42001 שאַפֿן:
- א פאראייניגטע ריזיקע מעטאדאלאגיע איבער זיכערהייט, פריוואטקייט און קינסטלעכע אינטעליגענץ
- קאָנסיסטענט דאָקומענטאַציע סטאַנדאַרדן
- געטיילטע פירערשאפט אויפזיכט
- א קאנסאלידירטער אינערליכער אוידיט ציקל
- אן איינציקע קארעקטיווע אקציע פריימווערק
דאָס איז וויכטיק ווײַל די DUAA פֿירט נישט אײַן קיין אפגעזונדערטע פֿאַרפֿליכטונגען. עס פֿירט אײַן דיסקרעציע איבער די פֿאַרבונדענע געביטן.
אן אינטעגרירטע פאַרוואַלטונג סיסטעם רעדוצירט דופּליקאַציע, פאַרהיט נישט-קאָנסיסטענטע באַשלוס-מאכן און זאָרגט אַז פּראָפּאָרציאָנאַליטעט ווערט געווענדט דורך סטרוקטורירטע אַנאַליז אַנשטאָט אינפאָרמעלע משפט. פֿאַר אָרגאַניזאַציעס מיינט דאָס אַז ווען רעגולאַטאָרן בעטן באַווייזן, און זיי טוען דאָס אַלץ מער און מער, קענען קאָמפּאַניעס וואָס אַרבעטן מיט דעם שלייף צושטעלן גוט-דאָקומענטירטע ריזיקאָ אַסעסמאַנץ, באַהאַנדלונג באַשלוסן, אויפזיכט רעקאָרדס און אָפּשאַצונג רעזולטאַטן אין אַ קאָוכירענטער דערציילונג. און דאָס איז אָפט דער חילוק צווישן קאָנטראָל און סאַנקציע.
פֿון קאָנפאָרמאַנס צו אָרגאַניזאַציאָנעלער ווידערשטאַנד
די DUAA וועט נישט זיין די לעצטע רעפארם פון די בריטישע דאטן געזעץ. גיידליינז וועלן זיך אנטוויקלען. דורכפירונג האלטונג וועט זיך אויסוואקסן. קינסטלעכע אינטעליגענץ אויפזיכט וועט זיך פארשטארקן. גרענעץ-איבערשרייטנדע קאמפלעקסיטעטן וועלן זיך האלטן. ארגאניזאציעס וואס באהאנדלען יעדע אנטוויקלונג ווי א באזונדערע לעגאלע אדזשאסטמענט וועלן ווייטער ליידן פון איבערגעחזרטע אפעראציאנעלע שטערונגען.
די וואָס אַרבעטן מיט אינטעגרירטע פאַרוואַלטונג סיסטעמען וועלן אַבזאָרבירן ענדערונגען ביסלעכווייַז. ריזיקאָ רעגיסטערס וועלן ווערן דערהייַנטיקט. קאָנטראָלן וועלן ווערן ראַפינירט. אויפזיכט וועט ווערן ריקאַליברירט. באַווייַזן וועלן ווערן באַהאַלטן. דער חילוק איז סטרוקטורעל.
די DUAA סיגנאַלירט אַ רעגולאַטאָרישע סביבה וואָס איז דעפינירט ווייניקער דורך פאָרשריפטלעכע אינסטרוקציעס און מער דורך ערוואַרטונג פון דיסציפּלינירטן משפט. אין יענער סביבה ווערט גאַווערנאַנס מאַטוריטעט אַ קאָנקורענט מייַלע. די ISO 27001, 27701 און 42001 שלייף פאַרפּשוטערט נישט רעגולאַציע. עס מאַכט עס פאַרוואַלטבאַר.
יקספּאַנד דיין וויסן
בלאָג: פארוואס רעגולאַטאָרן און אינוועסטאָרן ערוואַרטן אַז קאָמפּאַניעס זאָלן אַדרעסירן אַ טריפּלע ריזיקע
בלאָג: די קאָנפאָרמאַנס תקופה: ווי רעגולאַציע, טעכנאָלאָגיע און ריזיקע שרייבן איבער ביזנעס נאָרמען
וועבינאַר: ISO 27001 און ISO 27701 אין פּראַקטיק: אינעווייניק פון אונדזער אויפזיכט אוידיט
