Terwyl ons vyf jaar na die bekendstelling van die GDPR vier, kyk ons ​​hoe dit diegene beïnvloed het wat die werk doen wat dit die meeste geraak het. Dan Raywood praat met vyf mense wat verskillende rolle oor kuberveiligheid vervul om die algehele impak op hul werk te verstaan.

Jon Baines, DPO, Mishcon de Reya

Hoe voel jy het die GDPR jou rol van dag tot dag in die afgelope vyf jaar beïnvloed?

Die ding wat baie mense van GDPR mis, is dat dit nie die bestaande wet soveel verander het nie – die meeste van die definisies, beginsels, verpligtinge en regte het reeds bestaan ​​onder die 1995 Data Protection Directive (geïmplementeer in die VK deur die Data Protection Act 1998) Wat wel verander het, was om twee hoofredes: 1) die afdwingingskema GDPR het die potensiële maksimum boetes grootliks verhoog – in die VK was die vorige maksimum £500,000 20, en nou het dit €4 miljoen of 2% van die wêreldwye jaarlikse omset geword, en in sommige EU-lande het hul vorige wette glad nie eens boetes toegelaat nie; XNUMX) GDPR het massiewe publisiteit gekry (met die ondersteuning van aansienlike EU-befondsing) wat daartoe gelei het dat databeskerming 'n raadsaalonderwerp geword het, wat dit selde of ooit tevore was.

Die gevolg vir iemand soos ek wat as 'n adviseur optree, is dat my dienste op 'n manier en met 'n frekwensie aangewend is wat ek nog nooit tevore gesien het nie. As jy byvoeg by die kompleksiteite wat Brexit toe gebring het, met die behoud van die GDPR as die "VK GDPR", maar 'n hele nuwe binnelandse regime om te oorweeg, was die afgelope vyf jaar gejaagd en uitdagend (maar baie interessant!)

Dit het duidelik die DPO-rol geskep. Wat van Onderwerptoegangsversoeke, is daardie eksterne deel van jou rol so belangrik soos algehele interne databeskerming intern?

DPO's het voor GDPR bestaan. Maar jy is reg dat GDPR hulle op 'n statutêre basis geplaas het. Net so was SAR's nie iets nuuts nie, en het hulle statutêre status in die VK sedert 1984(!) gehad, en DPO's en prokureurs was reeds goed gewoond om dit te hanteer, maar om die redes wat in die eerste antwoord gegee is, het SAR'e geword baie meer bekend nadat GDPR ingekom het.

Verder is organisasies nie meer toegelaat om die klein fooi te hef wat hulle voorheen kon vra nie. Getalle wat ontvang is, het oor die algemeen toegeneem vir die meeste organisasies, en klagtes by die Inligtingskommissaris daaroor het dit ook gedoen.

As iemand wat eksterne korporatiewe kliënte adviseer om daarop te reageer, maar ook individue adviseer oor hoe om dit te maak, weet ek hoe uitdagend hulle kan wees om te hanteer, hoe nuttig hulle kan wees vir diegene wat dit maak, maar ook hoe frustrerend en duur die proses is. kan vir beide kante wees. Hulle gaan nie weg nie – die huidige Wetsontwerp op Databeskerming en Digitale Inligting sal hulle behou, met waarskynlik geringe wysigings – en hulle moet nou gesien word as deel van die gereelde besigheid van die meeste indien nie alle organisasies nie, sowel as 'n waardevolle hulpmiddel vir individue wanneer hulle hul regte wil laat geld.

Bronwyn Boyle, voormalige CISO en kuberveiligheidspesialis in finansiële dienste

Hoe voel jy het die GDPR jou rol van dag tot dag in die afgelope vyf jaar beïnvloed?

Terwyl sekuriteit dikwels histories as 'n tegnologiese kwessie beskou is, het GDPR as 'n katalisator opgetree om silo's af te breek en 'n meer holistiese en samewerkende benadering tot sekuriteit te dryf. Dit het die profiel van sekuriteit verhoog, met Boards en C-Suites wat tereg deursigtige insig geëis het in die deurlopende uitvoering van sekuriteitskontroles en bestuur van verwante risiko's.

Baie van ons in die sekuriteitsgemeenskap was verheug om 'n duidelike verskuiwing in dinamika te sien. In plaas daarvan om te veg om boodskappe gehoor te kry, is CISO's genooi om aan tafel te sit en by te dra tot organisatoriese strategie.

Hoeveel het hierdie regulering van databeskerming en gebruikersprivaatheid die algehele inligtingsekuriteit beïnvloed?

GDPR het 'n fantastiese geleentheid gebied om samewerking te verdiep en wedersydse begrip oor organisasies heen te verbeter. Besigheids- en sekuriteitspanne werk steeds nou saam en verseker dat persoonlike data regdeur sy lewensiklus beveilig word. Dit is wonderlik om te sien hoe GDPR kan as 'n gedeelde raamwerk optree om die baie verskillende spanne wat persoonlike data aanraak op verskeie punte bymekaar te bring. Ek is verheug om te sien hoe GDPR blywende verandering in die verbetering van kruisfunksionele samewerking aangedryf het.

GDPR het as 'n kulturele spilpunt opgetree: werknemers en eindgebruikers het beter bewus geword van die waarde van hul data en die behoefte om dit veilig te hou deur veilige gedrag. Dit gaan ook voort om beter korporatiewe gedrag te dryf, met maatskappye wat aanspreeklik gehou word vir die skending van die regte van datasubjekte. In die huidige klimaat van data-honger KI-eksperimentering en vinnige aanvaarding, is hierdie tipe beveiliging meer as ooit nodig.

Eduardo Ustaran, wêreldwye medehoof van die privaatheid en kuberveiligheidspraktyk, Hogan Lovells

Hoe voel jy het die GDPR jou rol van dag tot dag in die afgelope vyf jaar beïnvloed?

Na die aanvanklike tsoenami van werk na die implementering van die GDPR, het die afgelope vyf jaar 'n konsolidasie van kwessies gesien wat die topprioriteite geword het vanuit 'n voldoeningsperspektief. Sleutelpogings is gewy om die basiese beginsels reg te kry (van wettige gronde tot deursigtigheid), om individue se regte aan te spreek en natuurlik internasionale data-oordragte.

Miskien was die opwindendste deel van die GDPR vanuit 'n daaglikse perspektief hoe om sommige van sy nuwighede te bemeester, soos die implementering van databeskerming impakbeoordelings, om DPO's te help met hul verantwoordelikhede, en voldoen aan die vereistes vir kennisgewings oor databreuk.

Dink jy mense verstaan ​​waaroor dit gaan, hoekom dit ingestel is en wat dit bereik?

Mense erken beslis dat GDPR databeskerming werklik maak. Almal weet daarvan en praat daaroor, maar of almal die nuanses en kompleksiteite van die wet verstaan, is 'n ander saak. Met sy internasionale erkenning was dit die grootste sukses van die GDPR.

Wanneer jy risiko-gebaseerde regulasie het, is dit uitdagend om duidelik te verstaan ​​wat daardie regulasie doen, want dieselfde verpligtinge geld op verskillende maniere na gelang van die omstandighede. Bowenal is daar 'n redelike universele erkenning dat die GDPR gaan oor die verantwoordelike hantering van persoonlike inligting en dat dit nie in die pad staan ​​van die ontwikkeling van tegnologie of sake doen nie.

Neil Thacker, CISO, Netskope

Hoe voel jy het die GDPR jou rol van dag tot dag in die afgelope vyf jaar beïnvloed?

Die GDPR het my rol as CISO by Netskope direk beïnvloed – maar dit het amper sewe jaar gelede begin in terme van voorbereiding vir die GDPR. Alhoewel baie van die fundamentele kontroles nie drasties verander het van die Britse DPA nie, het die belangrikheid van databeskerming en databestuur, veral in die wys van volwassenheid en verslagdoening oor daardie tydperk, toegeneem.

Hierdie belangrikheid is nie net intern gevoel nie, maar ook oor derdepartyverskaffers wat betrokke is by die verwerking van enige vorm van persoonlike data. Ons verseker dat al ons verskaffers aan streng vereistes voldoen om te verseker dat hulle, wat as subverwerkers optree, ook voldoen aan die hoë standaarde wat ons vir databeskerming toepas.

Dit was 'n baie positiewe ervaring, veral omdat ons baie van die take geoutomatiseer het wat betrokke is by die bestuur van verskaffers, die beveiliging van nuwe datavloei en die beskerming van persoonlike data in rus en in beweging.

Dominic Vogel, stigter en hoofstrateeg, Cyber.sc

Voel jy die GDPR het die manier waarop jy werk die afgelope vyf jaar beïnvloed het?

Die kort antwoord is absoluut! My werk fokus hoofsaaklik op SMB's in die B2B-ruimte, en dit is 'n nag en dag verskil in hoe privaatheid geprioritiseer word. Enige van my kliënte wat 'n teenwoordigheid in Europa wil hê, bou outomaties met privaatheid in gedagte; selfs organisasies wat nie enige besigheid in Europa het nie, verkoop dalk aan organisasies wat dit wel doen, en as gevolg van hoe GDPR verweef is in breër voorsieningsketting-omsigtigheidsondersoeke, vind hierdie organisasies dat hulle GDPR-nakoming moet bewys.

Is daar 'n begrip van wat die GDPR beoog om van buite Europa te bereik?

Tot 'n mate verskil begrip beslis volgens sektor: daar is nou SMB's wat soliede privaatheidsprogramme in plek het en privaatheid deur ontwerp integreer. Dit was nie voorheen die geval nie. GDPR het 'n meer betekenisvolle era van privaatheidbesprekings hier in Noord-Amerika afgeskop. Gevolglik sien ons meer verbeterde en gemoderniseerde privaatheidswetgewing en -wette.

Sommige spekulasie is dat ander regulasies geskep kan word om die GDPR te herhaal. Sien jy enige direkte bewyse dat dit gebeur?

Ek sou nie sê dat ek enige “direkte bewyse” gesien het nie, maar aangesien tegnologie vinnig verander en ontwikkel (KI enigiemand?), is daar 'n behoefte om privaatheidswette soos GDPR op datum en bygewerk te hou. Ons kan nie meer privaatheidswette skryf wat vir dekades onveranderd kan bly nie. Hulle sal meer rats en meer gereeld verfris moet wees om tred te hou met tegnologie.

Harde Gedagtes

Deur na te dink oor die impak van GDPR, is dit duidelik dat hierdie regulasie transformerende veranderinge in databeskermingspraktyke wêreldwyd meegebring het. GDPR het individue bemagtig, hoër standaarde gestel en 'n wêreldwye privaatheids- en datasekuriteitsdialoog bevorder.

Die harmonisering van databeskermingswette oor EU-lidlande was 'n beduidende prestasie, wat 'n verenigde raamwerk vir besighede en privaatheidspersoneel verskaf. Dit vereenvoudig nakomingspogings en verseker konsekwente standaarde oor grense en vir maatskappye. Hierdie harmonisering behoort as 'n model te dien vir verdere standaardisering, die verbetering van toepassing, en om beter begrip en toepassing van regulasies moontlik te maak.

Met meer as 140 data privaatheid regulasies wat nou wêreldwyd funksioneer, is daar egter min harmonisering vir besighede wat aan hierdie baie verskillende streek- en landspesifieke regulasies buite dié van die GDPR moet voldoen of aantoon. Oor die volgende vyf jaar sal die bestuur van voldoeningskompleksiteit 'n voortdurende uitdaging wees.

Alhoewel voldoeningsuitdagings dalk skrikwekkend lyk, is dit noodsaaklik om die waarde van doeltreffende nakomingsbestuursagteware te erken. Robuuste implementering van nakomingsagteware stroomlyn prosesse, skakel herhalende take uit en stel organisasies in staat om op spesifieke nakomingsafwykings te fokus. Deur nakomingsagteware te gebruik, kan ondernemings waardevolle tyd en hulpbronne bespaar, interne doeltreffendheid verbeter en aan reguleerders bewyse van voldoening verskaf.

In die week wat Meta 'n boete van $1.2 miljard ontvang het vir GDPR-oortredings, is dit 'n tydige herinnering vir organisasies om nakoming te prioritiseer. Dit stuur ook 'n duidelike boodskap – kry jou huis in orde! Organisasies wat dit goed uitvoer, sal voordele ontsluit wat ver bo regulatoriese nakoming is. Goeie infosec is goeie besigheid.