Az elmúlt hét fontos volt az Ön és személyes adatai számára, függetlenül attól, hogy az EU-ban él-e vagy sem.
A GDPR, az általános adatvédelmi rendelet, amely útmutatásokat határoz meg az uniós polgárok személyes adatainak gyűjtésére és feldolgozására vonatkozóan, most hivatalos. Ez egy nagyszerű ötlet - az információk gyűjtésének, tárolásának és visszavételének egységes szabályai már régóta elhúzódnak. Rengeteg vita folyt (és továbbra is folytatódik) arról, hogy mi jó, rossz és csúnya a GDPR vonatkozásában, de az információbiztonságban dolgozó emberek többsége egyetért azzal, hogy a célok jó szándékúak, és olyan védelmet nyújtanak, amelyre mindannyian szükségünk van. század.
Egy csomó népszerű weboldal egyszerűen nem érhető el az európai látogatók számára, mert Ön nem GDPR-kompatibilis.
A GDPR egyes cikkei azonban nem annyira általánosak. Május 25-én, péntek óta hatályba lépve már láthatjuk a csapadékot: a New York Daily News, a Chicago Tribune, az LA Times és más kiemelkedő webhelyek már nem érhetők el a GDPR-szabályozás hatálya alá tartozó országokban, mert nem voltak készek az új szabályokra. Számos más webhely és online szolgáltatás új megállapodásokkal bombázták a felhasználókat, és panaszokat már benyújtottak a neves technológiai óriások, a Google és a Facebook ellen, mivel nem kínálnak ingyenes szolgáltatásokat anélkül, hogy lehetővé tennék a felhasználók számára az adatgyűjtésről való lemondást.
Még több: A Google megkönnyíti a {.cta.large} által gyűjtött felhasználói adatok megértését és kezelését.
Az ilyen kérdések nem meglepő. Az sem az érzés, hogy a felhőalapú szolgáltatások elveszítik a bevételt, és a GDPR következtében kénytelenek lesznek emelni az árakat, amelyek szerint az Infosecurity Europe 2018 résztvevőinek fele hamarosan megtörténik. Azt is érzik, hogy a GDPR elfojtja az innovációt, mivel a kis szervezetek nem fogják engedni maguknak a megfelelő infrastruktúrát. Ez jó vita azoknak az embereknek, akiknek meg kell vitázniuk. A jobb adatvédelem megéri az oda-vissza órákat, amire szükség van a megfelelő használathoz.
De van a GDPR egy része, amely szerintem több kárt okoz majd, mint haszon - a 33. cikk 72 órás jelentési szabálya. Itt olvashatja a teljes szöveget, de lényegében az, hogy egy olyan vállalkozás, amely az uniós polgárok személyazonosító adatait tárolja, teljes mértékben felelős a biztonság megsértéséért, függetlenül annak okától, és 72 órán belül teljes körűen nyilvánosságra kell hoznia a felügyeleti bizottságot. a jogsértés. Ebben a szabályban nincs semmi nagy, de két rész fog arra vezetni, hogy a szolgáltatók az adatok megsértését fedezzék fel, nem pedig felelősségteljesen jelentsék be őket.
Az első a felügyelő bizottság. A különféle országok eltérő módon szabályozzák polgáraikat, de egyikük közös a preferenciális bánásmóddal a hivatalos bizottságok létrehozása és alkalmazottaik vonatkozásában. A barátok barátai vagy az a harmadik unokatestvérek, akik nem tudják abbahagyni a leosztás igénylését, a bizottsági ülésekre jelölnek elsőbbséget, és amikor az elsődleges cél a felhasználói adatok védelme, csak a legképzettebb személyeket kell figyelembe venni. Reméljük, hogy pontosan ez az, amit itt végeztek, és a rendeleteket az emberek képesek adaptálni és végrehajtani, akiknek a legfontosabb érdekeink vannak és képzettek.
A teljes jogsértés kivizsgálásához szükséges forrásokkal nem rendelkező kisvállalkozások dönthetnek úgy, hogy fedezik azokat.
Nagyobb kérdés a kényszerű 72 órás jelentéstétel. Még egy teljes személyzettel ellátott Fortune 500 szervezet sem ismeri eléggé az adatok megsértését, hogy jelentéseket készítsen egy kormányzati ügynökségnél. Ilyen rövid idő elteltével várjon alig többet, mint egy vállalat információbiztonsági tisztjét, mondván, hogy jogsértés történt, és még nem vagyunk biztosak benne a részletekben. Ez kicsit több, mint minden idő pazarlása az összes érintett számára, és inkább ezt az időt töltenék arra, hogy megtudjam, miért, hogyan, mikor és ki vesz körül bármilyen típusú adat megsértését.
Egy kisebb társaságnak, aki már küzdhet a GDPR-előírások betartásának ellen, kísértés lesz arra, hogy jelentés nélkül megvizsgálja, vajon képes-e visszatartani a jogsértést, és önmagában mérsékelheti a károkat. Ha nyomás alatt áll, és nincs elegendő munkaerő, akkor a leplezés hangzik a megfelelő opciónak.
Nyilvánvaló, hogy soha nem lesz. De a nagy és kicsi társaságokról ismert, hogy újra és újra kiválasztják a rossz opciókat, amikor a vezetékhez jutnak. Bármely olyan szabályozás, amely célja a felhasználók védelme a rossz döntéseket hozó cégekkel szemben, jobb olyan szabály nélkül, amely arra késztetheti őket, hogy ezt tegyék meg.
Az adatkezelő felelősségteljes és azonnali jelentése kötelező. Ha arra kényszerítjük az adatokat, hogy az adatokat gyűjtsék és tárolják, hogy helyesen cselekedjenek, akkor nincs haszna ennek. A megfelelő felügyeleti bizottság felállítása, amely a megfelelő embereket tölti be a behatolások kezelésére - vagy akár segítséget nyújthat azok bekövetkezésekor - nagy előrelépést jelentene a GDPR sablonként történő alkalmazásához a világ többi része számára.
