Nuut ooreengekome EU-VS-dataprivaatheidsraamwerk verhoog privaatheid rompslomp

Kenners het die ooreenkoms verwelkom van nuwe privaatheidsgerigte reëls oor hoe persoonlike data tussen Amerikaanse en EU-maatskappye oorgedra kan word.

Die EU-VS-dataprivaatheidsraamwerk is ontwikkel om die privaatheidskild te vervang, wat ongeldig is deur 'n beslissing deur die Europese Hof van Justisie in 2020.

Die hof het opgetree oor kommer oor 'n gebrek aan voldoende voorsorgmaatreëls in beide Privacy Shield (en 'n vroeëre veilige hawe-ooreenkoms), wat beteken het dat persoonlike data wat die EU-grense verlaat, onderhewig kan wees aan omvattende toesig van die Amerikaanse regering.

Uitgevee om te versend

Die EU-VS Data Privaatheidsraamwerk, wat verlede jaar deur die Amerikaanse regering voorgehou is, is in Julie 2023 deur die Europese Kommissie onderskryf nadat besluit is dat die VSA “'n voldoende vlak van beskerming verseker – vergelykbaar met dié van die Europese Unie – vir persoonlike data oorgedra van die EU na Amerikaanse maatskappye onder die nuwe raamwerk”.

Hierdie "toereikendheidsbesluit" beteken dat persoonlike data "veilig kan vloei van die EU na Amerikaanse maatskappye wat aan die raamwerk deelneem" sonder die behoefte aan bykomende databeskermingsmaatreëls wat vereis word onder tussentydse voor-ooreenkomsmaatreëls.

Verpligtinge

Die DPF-programwebwerf verskaf inligting oor hoe maatskappye hul privaatheidsbeleide en -prosedures kan opdateer en beveiligingsmaatreëls kan implementeer voordat hulle hulself as voldoening kan sertifiseer en by die DPF-program aansluit. Europese organisasies kan dieselfde webwerf gebruik om 'n vennoot se DPF-programverpligtinge na te gaan.

Die raamwerk verleen EU-individue wie se data aan deelnemende maatskappye in die VSA oorgedra word verskeie nuwe regte, soos die reg om toegang te verkry, hul persoonlike data reg te stel en uit te vee.

Die trans-Atlantiese datavloeiooreenkoms beloof om bestaande burokratiese struikelblokke en onsekerhede uit die weg te ruim.

Verminder onsekerhede

Becky White, 'n prokureur vir databeskerming en privaatheid by die Britse prokureursfirma Harper James, het gesê die raamwerk beloof om sake te doen tussen Europese en Amerikaanse maatskappye te vereenvoudig, terwyl dit gewaarsku word dat sommige potensiële struikelblokke vir die implementering daarvan nog oorkom moet word.

"Hoewel die voorgestelde databrug welkome nuus is vir organisasies in beide die VSA en die VK, veral in die lig van voortdurende onsekerhede rakende internasionale data-oordragte, en behoort dit te beteken dat die proses van kontraktering met verskaffers of kliënte in die VSA baie meer eenvoudig word en minder tydrowend vir Britse ondernemings, het die VK 'n paar kritieke struikelblokke om te oorkom voordat dit geïmplementeer word. Aspekte van beleid en wetgewende belyning aan beide kante van die Atlantiese Oseaan bly onvolledig, het White gewaarsku

"Eerstens sal dit afhang van die Amerikaanse aanwysing van die Verenigde Koninkryk as 'n kwalifiserende staat onder president Biden se Uitvoerende Bevel 14086 (wat databeskermingsmaatreëls vir Amerikaanse seinintelligensie-agentskappe ingestel het)," het White verduidelik.

“Daarbenewens is die Britse regering se voorgestelde Wetsontwerp op Databeskerming en Digitale Inligting (DPDI 2) redelik naby aan inwerkingtreding, en hoewel die regering voortgaan om te beweer dat die beplande veranderinge aan die Britse databeskermingsregime nie EU-toereikendheid in gevaar sal stel nie, is daar geen bevestiging van wat deur die EU gemaak is.”

Die bou van kuberveiligheid

Die samevoeging van intelligensie en die deel van data is noodsaaklik in die bou van robuuste kuberveiligheidsverdediging.

Jon France, CISO by die kuberveiligheidsindustrie professionele ontwikkeling en sertifisering vereniging (ISC)², het aan ISMS.online gesê dat die opheffing van struikelblokke vir die deel van kruis-Atlantiese data sal kuberveiligheid samewerking verbeter.

"Die toereikendheidsbesluit oor die EU-VS-dataprivaatheidsraamwerk stel aansienlike verbeterings in vir maatskappye aan beide kante van die Atlantiese Oseaan," volgens Frankryk. "Dit is bemoedigend dat ons 'n toestand bereik waar oorgrens-datavloei verseker word, en maatskappye wat aan die raamwerk deelneem, sal die vryheid hê om data veilig oor te dra."

Frankryk het voortgegaan: “In die sekuriteitswêreld is toegang tot data die sleutel vir die opsporing en herstel van aanvalle. Die vermoë om sulke data tussen trans-Atlantiese partye te verskuif, in beide die openbare en private sektore, sal verdediging oor beide kontinente verbeter.”

Die belofte van verbeterde sekuriteit wat die raamwerk bied, sal slegs nagekom word as organisasies hul eie huis in orde kry, het Frankryk gewaarsku.

“Die handhawing van privaatheid maak staat op en vereis doeltreffende kuberveiligheid; die twee loop hand aan hand,” volgens Frankryk. "Organisasies het 'n verantwoordelikheid om 'n voldoende vlak van beskerming van persoonlike data te handhaaf, insluitend streng verpligtinge om met derde partye te deel, en moet voldoen aan privaatheidbeginsels, soos beperkings op die bewaring van data."
Frankryk het tot die gevolgtrekking gekom: "Besighede moet in hul kern robuuste kuberveiligheidspraktyke aanneem om data te beskerm en digitale vertroue te bou."

Beleidsharmonisering

Sam Peters, ISMS.online's CPO het die ooreenkoms verwelkom as 'n nuttige hulpmiddel om die ingewikkeldhede van databeskermingsreëls te navigeer.
"Die onlangse EU-VS data toereikendheid ooreenkoms merk 'n belangrike mylpaal in die internasionale data privaatheid landskap," Peters verduidelik. "Dit skets 'n kritieke raamwerk wat nie net daarop gemik is om persoonlike data wat oor die Atlantiese Oseaan oorgedra word te beskerm nie, maar ook om voldoening, deursigtigheid en aanspreeklikheid vir Amerikaanse maatskappye te verbeter."

Peters het voortgegaan: "Die ooreenkoms is nie net nog 'n burokratiese struikelblok nie, maar 'n noodsaaklike hulpmiddel om die ingewikkeldhede van databeskerming in ons toenemend onderling gekoppelde digitale wêreld te navigeer. Hierdie ooreenkoms bied 'n soliede raamwerk vir die harmonisering van data-oordragbeleide oor die Atlantiese Oseaan, wat streng privaatheidsverpligtinge op deelnemende Amerikaanse maatskappye plaas.

Uitgangspunte

Die ooreenkoms bied 'n raamwerk om die beste praktyke vir privaatheidsbeskerming toe te pas.

"Die kern van hierdie ooreenkoms is die EU-VS-dataprivaatheidsraamwerk," volgens Peters. "Hierdie skema stel Amerikaanse maatskappye in staat om hul verbintenis tot 'n omvattende stel privaatheidsverpligtinge te bekragtig. Dit staan ​​voor doelbeperking, data-minimalisering en databewaring en skets spesifieke verpligtinge rakende datasekuriteit en deel met derde partye.”

Peters het bygevoeg: “Sulke maatreëls is 'n voorbeeld van die ooreenkoms se voorneme om die beveiliging van data te versterk. Hierdie verbintenisse is nie bloot beginsels op papier nie; hulle beïnvloed ondernemings se bedryfstrategieë direk.”

Die Amerikaanse departement van handel sal die raamwerk se administrasie hanteer, toesig hou oor die sertifiseringsaansoekproses en monitering van deelnemende maatskappye se deurlopende nakoming. Die Amerikaanse Federale Handelskommissie dwing voldoening af, wat 'n "sterk verbintenis tot die ooreenkoms se databeskermingsdoelwitte" aandui, volgens ISMS.online se Peters.

Databrug

Britse datahanteringsreëls moet ooreenstem met EU-regulasies om te verhoed dat 'n delikate balans versteur word.

Harper James' White het gewaarsku: "As die inwerkingtreding van DPDI 2 die Britse EU-toereikendheidsbesluit omverwerp, kan dit op sy beurt die implementering van die VK-VS-databrug beïnvloed, wat breedweg gesien word as 'n uitbreiding van die EU-VS-data privaatheidraamwerk wat tans beoordeel word en 'n belyning van die posisie onder die VK BBP met die EU GDPR vir data-oordragte van die Verenigde Koninkryk na Amerikaanse organisasies wat vir die skema sertifiseer.

Maak reg

Die toereikendheidsbesluit het in werking getree vanaf die aanvaarding daarvan op 10 Julie. Daar is geen eksplisiete tydlyn vir voldoening nie. Die Europese Kommissie is egter geskeduleer om die doeltreffendheid van die Amerikaanse wetlike raamwerk periodiek te hersien, aanvanklik een jaar na die bekendstelling van die raamwerk.

Peters van ISMS.online het gewaarsku: "Dit is noodsaaklik om daarop te let dat toereikendheidsbesluite aangepas of teruggetrek kan word indien ontwikkelings die derde land se beskermingsvlak beïnvloed."

Maatskappye moet geen tyd mors om hul beleid en prosedures te hersien om aan die bepalings van die raamwerk te voldoen nie, het Peters aangeraai.

"Om voorbereid te wees vir hierdie transformerende data-privaatheidlandskap, moet besighede begin deur hul huidige datahanteringspraktyke deeglik te hersien," het Peters van ISMS.online verduidelik. "Om belyning met die raamwerk se beginsels te verseker, sal deurslaggewend wees om voldoening te bekragtig en moontlike regulatoriese boetes te vermy."

Peters het tot die gevolgtrekking gekom: “Die EU-VS-ooreenkoms vir datatoereikendheid voeg onteenseglik 'n nuwe dimensie by tot die wêreldwye dataprivaatheidsarena. Op kort termyn kan besighede dit as 'n bykomende regulatoriese las sien. Data privaatheid en sekuriteit is egter toenemend belangrik vir verbruikers en besighede. In hierdie opsig kataliseer die ooreenkoms positiewe verandering, wat 'n globale standaard vir databeskerming afdwing.”