Η περασμένη εβδομάδα ήταν σημαντική για εσάς και τα προσωπικά σας στοιχεία, ανεξαρτήτως εάν ζείτε ή όχι στην ΕΕ.
Ο κανονισμός GDPR, ο γενικός κανονισμός για την προστασία των δεδομένων, ο οποίος καθορίζει κατευθυντήριες γραμμές σχετικά με τον τρόπο συλλογής και επεξεργασίας των προσωπικών πληροφοριών των πολιτών της ΕΕ, είναι πλέον επίσημη. Είναι μια μεγάλη ιδέα - οι ομοιόμορφοι κανόνες σχετικά με τον τρόπο συγκέντρωσης των πληροφοριών σας, τον τρόπο αποθήκευσης τους και τον τρόπο με τον οποίο μπορείτε να τα πάρετε πίσω, έχουν καθυστερήσει πολύ. Έχουν υπάρξει (και θα συνεχίσουν να υπάρχουν) πολλές συζητήσεις για το τι είναι καλό, κακό και άσχημο για το GDPR, αλλά οι περισσότεροι άνθρωποι που εργάζονται στην ασφάλεια των πληροφοριών συμφωνούν ότι οι στόχοι είναι καλοπροαίρετοι και θα παράσχουν το είδος προστασίας που όλοι χρειαζόμαστε τον 21ο αιώνα.
Ένα σωρό δημοφιλείς ιστοσελίδες απλά δεν είναι διαθέσιμες στους Ευρωπαίους επισκέπτες επειδή δεν είστε συμβατοί με GDPR.
Τα μεμονωμένα άρθρα του GDPR, ωστόσο, δεν είναι τόσο παγκοσμίως επαίνεσε. Έχοντας τεθεί σε ισχύ την Παρασκευή 25 Μαΐου, βλέπουμε ήδη το φαινόμενο: το New York Daily News, το Chicago Tribune, οι LA Times και άλλοι ιστοχώροι υψηλού προφίλ δεν είναι πλέον διαθέσιμοι σε χώρες που καλύπτονται από τους κανονισμούς GDPR επειδή δεν ήταν έτοιμοι για τους νέους κανόνες. Πολλοί άλλοι ιστότοποι και ηλεκτρονικές υπηρεσίες βομβάρδισαν τους χρήστες με νέους όρους για να συμφωνήσουν και καταγγελίες έχουν ήδη κατατεθεί εναντίον αξιόλογων τεχνολογιών giants Google και Facebook, επειδή δεν προσφέρουν δωρεάν υπηρεσίες χωρίς να επιτρέπουν στους χρήστες να επιλέξουν τη συλλογή δεδομένων.
Περισσότερα: Η Google διευκολύνει την κατανόηση και τη διαχείριση των δεδομένων χρήστη που συλλέγει {.cta.large}
Ζητήματα όπως αυτά δεν προκαλούν έκπληξη. Ούτε το συναίσθημα ότι οι υπηρεσίες που βασίζονται στον σύννεφο θα χάσουν έσοδα και θα αναγκαστούν να αυξήσουν τις τιμές ως αποτέλεσμα του GDPR, το οποίο πιστεύουν ότι θα περάσουν σύντομα οι μισοί από τους συμμετέχοντες στο Infosecurity Europe 2018. Πιστεύουν επίσης ότι η GDPR θα καταπνίξει την καινοτομία, καθώς οι μικροί οργανισμοί δεν θα είναι σε θέση να παρέχουν την αναγκαία υποδομή για να συμμορφωθούν. Αυτή είναι μια καλή συζήτηση από τους ανθρώπους που πρέπει να το συζητήσουν. Η καλύτερη προστασία της ιδιωτικής ζωής αξίζει τις ώρες του πίσω-και-πίσω που απαιτούνται για να το κάνει σωστό.
Αλλά υπάρχει ένα μέρος του GDPR που νομίζω ότι θα κάνει περισσότερο κακό παρά καλό - Ο κανόνας αναφοράς των 72 ωρών του άρθρου 33. Μπορείτε να διαβάσετε ολόκληρο το κείμενο, αλλά η ουσία είναι ότι μια εταιρεία που διατηρεί προσωπική ταυτότητα των πολιτών της ΕΕ είναι πλήρως υπεύθυνη για κάθε παραβίαση της ασφάλειας, ανεξάρτητα από τον λόγο, και πρέπει να παρέχει πλήρη ενημέρωση σε εποπτική επιτροπή εντός 72 ωρών μιας παραβίασης. Δεν υπάρχει τίποτα μεγάλο για αυτόν τον κανόνα, αλλά δύο μέρη θα οδηγήσουν σε παρόχους υπηρεσιών που καλύπτουν τις παραβιάσεις δεδομένων και όχι υπεύθυνοι για την αναφορά τους.
Η πρώτη είναι η εποπτική επιτροπή. Οι διαφορετικές χώρες έχουν διαφορετικούς τρόπους διακυβέρνησης των πολιτών τους, αλλά ένα πράγμα που έχουν όλοι κοινό είναι η προτιμησιακή μεταχείριση όταν πρόκειται για τη δημιουργία και τη στελέχωση οποιασδήποτε επίσημης επιτροπής. Ένας φίλος ενός φίλου ή του τρίτου ξαδέλφου που δεν μπορεί να σταματήσει να ζητάει ένα δελτίο είναι πρωταρχικοί υποψήφιοι για οποιαδήποτε έδρα επιτροπής και όταν ο πρωταρχικός στόχος είναι η προστασία των δεδομένων των χρηστών, θα πρέπει να ληφθούν υπόψη μόνο τα πιο κατάλληλα άτομα. Ας ελπίσουμε ότι αυτό ακριβώς συμβαίνει εδώ και ότι οι κανονισμοί μπορούν να προσαρμοστούν και να εφαρμοστούν από ανθρώπους που έχουν τα καλύτερα συμφέροντα στην καρδιά μας και έχουν τα προσόντα τους.
Οι μικρές εταιρείες που δεν διαθέτουν τους αναγκαίους πόρους για να διεξαγάγουν έρευνα πλήρους παραβίασης μπορούν να επιλέξουν να τις καλύψουν.
Ένα μεγαλύτερο ζήτημα είναι η αναγκαστική αναφορά 72 ωρών. Ακόμη και μια πλήρως οργανωμένη οργάνωση Fortune 500 δεν πρόκειται να γνωρίσει αρκετά για μια παραβίαση δεδομένων για να ξεκινήσει την υποβολή εκθέσεων με κυβερνητική υπηρεσία. Με δεδομένο ένα τόσο σύντομο χρονικό διάστημα, περιμένετε λίγο περισσότερο από έναν υπάλληλο ασφαλείας της εταιρείας που λέει ότι υπάρχει παραβίαση και δεν είμαστε ακόμα σίγουροι για λεπτομέρειες. Αυτό είναι λίγο περισσότερο από χάσιμο χρόνου για όλους τους εμπλεκόμενους και προτιμώ να αφιερώνω αυτή την ώρα προσπαθώντας να μάθω γιατί, πώς, πότε και ποιος περιβάλλει κάθε είδους παραβίαση δεδομένων.
Μικρότερη εταιρεία που μπορεί ήδη να αγωνίζεται για την εκπλήρωση της συμμόρφωσης με το GDPR θα μπει στον πειρασμό να διερευνήσει αν μπορεί να περιλάβει την παραβίαση και να μετριάσει τις ζημίες από μόνη της χωρίς να έχει αναφορές. Όταν βρίσκεστε υπό πίεση και δεν έχετε αρκετό προσωπικό, μια κάλυψη μπορεί να ακούγεται σαν τη σωστή επιλογή.
Σαφώς, δεν είναι ποτέ. Αλλά οι εταιρείες μεγάλες και μικρές είναι γνωστό ότι επιλέγουν την λάθος επιλογή ξανά και ξανά όταν έρχεται κάτω στο σύρμα. Οποιοσδήποτε κανονισμός αποσκοπεί στην προστασία των χρηστών από τις εταιρείες που λαμβάνουν φτωχές αποφάσεις είναι καλύτερη χωρίς κανόνα που μπορεί να τους ωθήσει να το κάνουν ακριβώς αυτό.
Είναι απαραίτητη η υπεύθυνη και έγκαιρη υποβολή αναφοράς για μια ληστεία δεδομένων. Αναγκάζοντας τις εταιρείες που συγκομίζουν και κρατούν τα δεδομένα μας για να κάνουν το σωστό δεν έχει μεγάλη χρησιμότητα χωρίς αυτό. Η δημιουργία μιας σωστής επιτροπής εποπτείας γεμάτης με τους κατάλληλους ανθρώπους να αναθεωρήσουν τον τρόπο με τον οποίο αντιμετωπίζονται τα περιστατικά - ή ακόμη και να προσφέρουν βοήθεια όταν συμβαίνουν - θα προχωρούσε πολύ στο να καταστήσει το GDPR πρότυπο για τον υπόλοιπο κόσμο να ακολουθήσει.
