ЄС серйозно ставиться до конфіденційності, але занадто багато компаній ігнорують ризик

Ознайомтеся із сесіями за запитом на саміті Low-Code/No-Code Summit, щоб дізнатися, як успішно впроваджувати інновації та досягати ефективності шляхом підвищення кваліфікації та масштабування громадянських розробників. Дивитися зараз.


Якщо ви запитаєте більшість технічних працівників про різницю між безпекою та конфіденційністю, вони, ймовірно, не зможуть сказати вам різницю — якщо їх основна робота не полягає в роботі в одній із цих команд. Зважаючи на те, яку частину нашого життя зараз відбувається в Інтернеті, це проблема, яка може призвести до корпоративної відповідальності та багатомільйонних штрафів, особливо з боку європейських регуляторів. З огляду на цю підвищену увагу, яка різниця між безпекою та конфіденційністю та як працівники мають думати про ці проблеми?

Для початку давайте подивимося на Twitter оголошення Цього літа хакер перебував у його системі більше шести місяців і пропонував продати дані користувачів із 5,4 мільйонів облікових записів. (У 2020 році підлітка із Флориди також звинуватили у захопленні облікових записів). Хакери, які зломили систему Twitter, створюють проблему безпеки. Але оскільки ці хакери могли мати доступ до мільйонів чи мільярдів записів, це також проблема конфіденційності.

Цього літа Meta була оштрафована органом Ірландії GDPR (Загальний регламент захисту даних) на 403 мільйони доларів. Минулого року європейські регулятори оштрафували Amazon на 888 мільйонів доларів. Це велика проблема для основних платформ, але сьогодні вона може вразити майже будь-яку компанію: нещодавно Каліфорнія оштрафувала Sepora на 1,2 мільйона доларів за порушення CCPA (Каліфорнійського закону про конфіденційність споживачів).

Якщо ми хочемо зменшити вплив штрафів і порушень, нам потрібно, щоб компанії-розробники зосередилися на конфіденційності так само, як і на безпеці, і переконалися, що їхні працівники розуміють різницю. Якщо ви йдете до лікаря, ваш лікар точно знає, що дозволено йому розкривати правила HIPAA. Будь-який водій вантажівки на дорозі точно знає, скільки годин він може їздити відповідно до правил служби DoT. Але якщо ви запитаєте технічних працівників, що вони можуть, а що не можуть робити відповідно до CCPA, більшість може навіть не впізнати цю абревіатуру.

Подія

Саміт інтелектуальної безпеки

8 грудня дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та конкретних галузевих прикладах. Зареєструйтеся, щоб отримати безкоштовний пропуск сьогодні.

Зареєструватися зараз

Конфіденційність — це створення довіри до вашої організації. Йдеться про те, як ви обробляєте особисту інформацію та переконаєтеся, що ви обходитеся з цими даними відповідально та відповідно до того, чого від вас очікують споживачі.

TL; DR щодо GDPR

Рекомендації GDPR вимагають зберігання даних таким чином, щоб користувачі могли вимагати виправлення, видалення їхньої інформації в рамках «права бути забутим» або доступу, щоб користувач знав, які дані компанія зібрала про користувача, разом із різними іншими запитами щодо прав конфіденційності. Але коли дані зберігаються в кількох відключених базах даних, набагато складніше залишатися сумісними, оскільки запити вимагають кількох кроків і координації між базами даних.

Правила також зосереджені на тому, де зберігаються дані, спрямовані на регулювання потоку даних між США та європейськими країнами. Facebook бореться з цією політикою, але клянеться, що «Meta абсолютно не погрожує покинути Європу». Щоб підготуватися до цих нових нормативних актів, компаніям необхідно забезпечити повний облік діяльності з обробки даних та інвентаризацію даних, щоб продемонструвати відповідність вимогам регуляторів.

Десять основ захисту конфіденційності

Проведення постійного навчання у вашій компанії дуже важливо для всіх працівників, які мають доступ до персональної інформації (PII). Враховуючи швидкість оголошень про нові штрафи та оновлену політику, вам може знадобитися часто оновлювати інформацію для свого персоналу.

У Fivetran я проводжу навчання для всієї компанії принаймні кожні 12 місяців, але додаткове підкріплення до юридичних вимог — це цілорічна робота. Поінформованість включає навчання основним аспектам конфіденційності, а не довгий список юридичних вимог, і пояснення того, як ці принципи застосовуються до кожної команди та члена команди. У мене є контрольний список основних напрямків. Ось що людям потрібно знати.

  • Підзвітність: вище керівництво має визначити одну особу, яка буде остаточно відповідати за дотримання організацією конфіденційності. Багато компаній призначають уповноваженого з питань конфіденційності даних, але, незважаючи на це, мета полягає в тому, щоб мати когось цілеспрямованого та відповідального за дотримання GDPR (та інших нормативних актів).
  • Визначення цілей: Компанії повинні визначити у своїх повідомленнях про конфіденційність, як вони використовуватимуть дані клієнтів, але також повинні враховувати очікування споживачів. Більшість людей очікують, що відео з камери відеоспостереження магазину будуть доступні лише в разі злому. Але якщо камера транслює пряму трансляцію на домашню сторінку компанії, це може здивувати клієнтів і викликати проблеми з конфіденційністю.
  • Згода: Належна згода є важливою вимогою. Але не забувайте, що суб’єкти даних також мають право відкликати згоду, і ваші системи даних повинні підтримувати цю можливість.
  • Обмеження збору: хоч би спокусливо було зібрати якомога більше даних, чим більше ви збираєте, тим більший ризик. Зосередьтеся на відстеженні та зборі даних, які фактично можна використовувати у вашому бізнесі, виходячи з цілей, які ви визначили.
  • Обмеження використання, розголошення та збереження: Закони про конфіденційність вимагають від компаній обмежувати доступ до даних визначеними цілями та запобігати розголошенню неавторизованому персоналу. Але занадто багато компаній все ще дозволяють загальним службовцям доступ до особистих даних. Коли хакер проникає в систему за допомогою скомпрометованого облікового запису, ви можете мінімізувати ступінь шкоди, яку він може завдати, обмеживши внутрішній доступ для тих, хто цього потребує. Крім того, не зберігайте дані довше, ніж потрібно, враховуючи місцеві закони про зберігання та виправдані ділові цілі, і подумайте, як ви будете реагувати, якщо отримаєте офіційне повідомлення.
  • Точність. Забезпечення точності даних клієнтів є юридичною вимогою та пріоритетом бізнесу для успіху. Точність також є пріоритетом під час інтеграції даних із кількох джерел, тому переконайтеся, що ви можете перевірити надійність своїх процесів і даних.
  • Заходи безпеки: переконайтеся, що у вас є належне управління та гарантії доступу до даних як з точки зору конфіденційності, так і з точки зору безпеки. Подумайте про це, використовуючи «тріаду ЦРУ» з програм ІТ-безпеки, які підтримуватимуть конфіденційність, цілісність і доступність зібраних вами даних споживачів.
  • Відкритість: якщо ваша компанія має унікальний спосіб використання даних клієнтів, не ховайте цю політику в угоді про умови обслуговування; зрештою хтось помітить. Meta погодилася заплатити користувачам 37,5 мільйонів доларів, оскільки компанія відстежувала користувачів за їхніми IP-адресами після того, як споживачі вимкнули відстеження місцезнаходження на своїх телефонах. Будьте прозорими щодо своїх методів обробки даних і надавайте інформацію в політиках, які містять чіткі, лаконічні формулювання простою англійською мовою.
  • Індивідуальний доступ: за запитом суб’єкти даних повинні бути повідомлені про існування, використання та розкриття їх особистої інформації, а також мати можливість отримати доступ до цієї інформації та оскаржити її точність. Організації повинні бути готові розглядати такі типи запитів щодо прав конфіденційності.
  • Оскарження відповідності: зрештою, будь-хто, на кого поширюються GDPR і CCPA, має право оскаржити відповідність компанії цим нормам. Якщо компанію оскаржують, від неї можуть вимагати продемонструвати відповідність застосовним вимогам конфіденційності, включаючи відповідні політики та процедури. Співпраця з вашою командою з питань конфіденційності над тим, як ви відповісте на такий запит, допоможе виявити будь-які прогалини у вашій програмі конфіденційності даних до того, як регулятори почнуть шукати.

Зважаючи на важливість даних для сучасного бізнесу, забезпечення того, щоб співробітники були знайомі із законодавством про конфіденційність, поставить вашу компанію в набагато кращі умови у разі інциденту. Роздума про те, як збираються та зберігаються дані, допоможе мінімізувати ризики. Конфіденційність — це обіцянка вашої компанії споживачам, що ви є надійним партнером і дбаєте про їхні інтереси. Щоб підвищити обізнаність щодо конфіденційності, використовуйте контрольний список вище, щоб переконатися, що групи обробки даних знають свої обов’язки щодо конфіденційності так само добре, як лікар знає вимоги HIPAA.

Сет Бейт є старшим радником з конфіденційності компанії Fivetran.

DataDecisionMakers

Ласкаво просимо до спільноти VentureBeat!

DataDecisionMakers — це місце, де експерти, включно з технічними спеціалістами, які працюють з даними, можуть ділитися інформацією та інноваціями, пов’язаними з даними.

Якщо ви хочете прочитати про передові ідеї та актуальну інформацію, найкращі практики та майбутнє даних і технологій обробки даних, приєднуйтесь до нас у DataDecisionMakers.

Ви навіть можете подумати про те, щоб написати власну статтю!

Докладніше від DataDecisionMakers

Leave a Comment