《通用数据保护条例》(GDPR)于5月25日生效。下面是关于疼痛点的专家建议,以及需要多少担心的事情。
欧盟的通用数据保护条例(GDPR)是一个如此巨大的监管变革,许多人都在竭尽全力。隐私保护的GDPR旨在保护消费者的个人可识别信息——因此,它触及了企业如何收集和存储数据的无数方面,以及它们如何与合作伙伴、分包商、甚至云提供商共享数据。当这些规则在5月25日生效时,Gartner预测50%的组织在那时不会完全遵守。如果你担心你的精力集中在GDPR的IT领导者身上,你并不孤单。
随着5月25日截止日期的临近,我们与一些专家讨论了美国组织的最痛点,即短期和长期。我们还探讨了GDPR应该关注哪些方面——更重要的是。考虑他们的实际建议:
5月25日GDPR生效后,美国组织最痛点是什么?
了解云服务保存数据的位置:
iboss总裁兼联合创始人Peter Martini说:“5月25日后美国组织的主要痛苦点是能够理解和控制云服务存储数据的位置。许多组织没有意识到,即使他们的内部基础设施是兼容的,一旦他们上传他们的数据到一个单片云服务,他们将使GDPR符合风险。美国组织需要对其云服务进行批判性的观察,并识别提供对其数据位置的控制和洞察的服务。
欧盟位置管理:
Veridium首席执行官James Stickland说:“一个最大的痛点将是管理其欧洲位置的国际组织。他们将不得不在这一进程的顶部。在美国拥有一个总部,但运行地区武装并不排斥你的参与,所以警惕和坚持将是关键。否则,企业会发现自己[大开]…我会确保公司有他们的数据特权团队在检查和每周报告的基础上。”
数据主体访问请求:
AVECTO专业服务的副总裁Simon Langton表示:“数据主题访问请求将是与GDPR相关联的最高疼痛点。当第一次给予权利时,行使权利的请求数量常常会增加,我们会看到类似于GDPR的东西。公民将寻求行使他们的权利,询问公司他们持有什么数据。这里的痛苦点是服务这些请求所涉及的时间和精力,而不是数据一旦被移交。”
了解GDPR范围内的内容:
SeaveIT的副总裁Mayank Choudhary说:“美国组织最大的痛点是如何最好地了解哪些用户和数据流在GDPR的范围内。组织可能会将用户分割成特定的遵从性组,他们甚至可以理解这些数据存在的位置或移动方式。然而,它们仍然需要集成额外的技术和过程,这些技术和过程可以监视用户直接与数据交互的端点系统的范围和超出范围的数据流。”
你认为最大的痛点是什么?
数据破坏泄露需求:
iboss总裁兼联合创始人Peter Martini说:“GDPR要求公司在得知妥协事件的72小时内提醒那些遭受个人数据泄露的客户。正如我们在过去看到的,违反是非常复杂的,攻击者通常会竭尽全力去混淆破坏。组织将很难在72小时内全面调查违约,并且随着新信息的出现,将经常面临多轮信息披露的艰巨任务。”
数据删除:
Veridium首席执行官James Stickland说:“最大的痛苦是数据的删除。使用数据可以容易地通过用户的接受来管理。然而,大多数公司都不适合删除和确认数据的完整删除,因为它驻留在许多地方。确保一个完整的数据图片是成功的关键,更不用说你如何安全更重要。”
相关文化变迁:
Avecto专业服务的副总裁Simon Langton说:“GDPR要求组织保持高度的程序控制,控制个人数据的使用,从而抑制变革和创新。这将是许多组织的文化变革。”
数据治理:
MimeCase的首席数据官和数据保护官员Marc French说:“数据治理,组织已经做了大量的工作来了解他们的数据策略,但他们能随着时间推移保持它们?”
GDPR实施:
ObserveIT副总裁Mayank Choudhary说:“最大的长期痛苦点是GDPR实施——你如何衡量GDPR遵从或不遵从?”我们知道有72小时的要求,有权通知用户在一个事件涉及他们的数据。然而,我们尚不清楚的是组织应该如何应对,以及当数据泄露事件发生时以及在用户数据受到影响的范围内,什么是适当的响应。 ”
监管麻烦:
iboss总裁兼联合创始人Peter Martini表示:“尽管许多企业将GDPR视为需要管理的监管障碍,但前瞻性组织将其视为一个机会。在最后一天,GDPR将最终帮助企业对他们的数据有更多的控制。它给他们指引,从他们收集的数据中获得最大价值,通过消除冗余和错误的机会,否则会导致显著的损失时间、收入和士气。”
别担心,把它当作一个安全机会:
Veridium首席执行官James Stickland说:“人们应该完全不担心,并利用这段时间来收集他们的业务赞助商需要的资金,以建立真正的数据隔离和安全和纪律到客户数据战略。确保公司获得对管理政策和政策持有者的准入和控制、文件化和管理,并最终以个人经济处罚将其交给不成功的交付。”
罚款:
Avecto专业服务副总裁Simon Langton说:“组织应该少担心与GDPR相关的罚款。许多关于GDPR的头条新闻都是关于在4%的营业额中征收的罚金的增加,或2000万欧元,无论哪一个较高(但这是上限)。我认为我们不会发现在试图做正确事情的组织中犯下的错误。
第一年的审计:
MimeCast首席信任官和数据保护官员Marc French说:“我认为第一年的审计活动很少。欧洲当局将首先需要获得认证过程,并给予公司适应的时间。如果这与PCI DSS发生的情况类似,那么审计过程将需要多年的固化。
对于GDPR,人们应该更担心什么?
你的地理错综复杂性:
iboss总裁兼联合创始人Peter Martini说:“尽管许多GDPR的要求都很好地宣传,人们应该关注那些不那么出名的问题。例如,在GDPR之下,如果美国的一位安全分析员为一个在欧洲国家的雇员拉一份报告,那可能违反GDPR。虽然大多数组织至少有一个遵循数据定位、隐私政策和GDRP的其他众所周知的方面的路线图,但分布式组织需要深入了解,以确保他们完全理解它们如何受到全球范围内这些情况的影响。
遵从成本:
Avecto专业服务副总裁Simon Langton说:“组织应该更多地关注维持遵守的长期成本。遵守GDPR是对企业的另一个持续的监管要求,所有这些都将永久性地增加运营成本。”
事件响应过程:
MimeCasp首席执行官和数据保护官员Marc French说:“事件响应过程。虽然我说,罚款不会发生,今年,一种方式,以确保您的潜在“罚款清单”是不让事件过程坚实,并经历了一个缺口。”
通知过程:
ObserveIT副总裁Mayank Choudhary说:“组织将希望确保他们有他们的数据违反通知过程按顺序进行。违反通知应包括受影响的数据的数量和类型、受影响的数据主体、采取的任何现有措施、可能产生的后果以及计划的缓解措施。”
译者介绍
ArthurGuo 职场老司机。21世纪初开始拥抱开源,后转型项目管理。现在一创业云公司担任PMO。掌握多门计算机语言,但更擅长人类语言。爱玩文字,不喜毒舌。
领取专属 10元无门槛券
私享最新 技术干货