De afgelopen week was belangrijk voor u en uw persoonlijke gegevens, ongeacht of u in de EU woont of niet.
GDPR, de Algemene Verordening Gegevensbescherming die richtlijnen vastlegt over hoe persoonlijke informatie van EU-burgers wordt verzameld en verwerkt, is nu officieel. Het is een geweldig idee - uniforme regels over hoe uw informatie wordt verzameld, hoe deze wordt opgeslagen en hoe u deze terug kunt nemen, zijn al veel te laat. Er is (en zal nog steeds) veel discussie zijn over wat goed, slecht en lelijk is aan GDPR, maar de meeste mensen die werken aan informatiebeveiliging zijn het erover eens dat de doelen goedbedoeld zijn en het soort bescherming bieden waar we allemaal behoefte aan hebben de 21e eeuw.
Een heleboel populaire websites zijn gewoon niet beschikbaar voor Europese bezoekers omdat u niet voldoet aan de AVG.
De afzonderlijke artikelen van de AVG zijn echter niet zo algemeen geprezen. Vrijdag 25 mei van kracht geworden, zien we al gevolgen: de New York Daily News, Chicago Tribune, LA Times en andere spraakmakende websites zijn nu niet beschikbaar in landen die onder de GDPR-regelgeving vallen, omdat ze niet klaar waren voor de nieuwe regels. Veel andere websites en online services hebben gebruikers gebombardeerd met nieuwe voorwaarden om akkoord te gaan en er zijn al klachten ingediend tegen opmerkelijke technische reuzen Google en Facebook omdat ze geen gratis services aanbieden zonder dat gebruikers zich kunnen afmelden voor gegevensverzameling.
Meer: Google maakt het gemakkelijker om gebruikersgegevens te begrijpen en te beheren die het verzamelt {.cta.large}
Dit soort kwesties zijn niet verwonderlijk. Evenmin is het sentiment dat cloud-gebaseerde diensten inkomsten zullen verliezen en gedwongen zullen worden om prijzen te verhogen als gevolg van GDPR, waarvan de helft van de aanwezigen van Infosecurity Europe 2018 denkt dat dit binnenkort zal gebeuren. Ze zijn ook van mening dat GDPR innovatie zal onderdrukken omdat kleine organisaties zich niet de benodigde infrastructuur kunnen veroorloven om aan de eisen te voldoen. Dit is een goede discussie door de mensen die erover moeten discussiëren. Betere privacy is de uren heen en weer waard die nodig zijn om het goed te krijgen.
Maar er is één deel van de AVG waarvan ik denk dat het meer kwaad dan goed zal doen - artikel 72's rapporteringsregel van 72 uur. U kunt de volledige tekst hier lezen, maar de kern ervan is dat een bedrijf dat persoonlijke identificatie van EU-burgers houdt, volledig verantwoordelijk is voor elke inbreuk op de beveiliging, ongeacht de reden, en binnen 72 uur volledige openbaarmaking moet verstrekken aan een toezichtcomité. van een inbreuk. Er is niets geweldigs aan deze regel, maar twee delen zullen ertoe leiden dat serviceproviders datalekken verhullen in plaats van ze verantwoord te melden.
De eerste is de commissie van toezicht. Verschillende landen hebben verschillende manieren om hun burgers te besturen, maar een ding dat ze allemaal gemeen hebben, is een voorkeursbehandeling bij het instellen en bemannen van een officieel comité. Een vriend van een vriend of die derde neef die niet kan stoppen met het vragen om een hand-out zijn eerste kandidaten voor een commissielid, en wanneer het primaire doel het beschermen van gebruikersgegevens is, moeten alleen de meest gekwalificeerde personen worden overwogen. Laten we hopen dat dat precies is wat hier wordt gedaan en dat regels kunnen worden aangepast en gehandhaafd door mensen die onze beste belangen voor ogen hebben en gekwalificeerd zijn.
Kleine bedrijven zonder de middelen die nodig zijn om een volledig inbreukonderzoek te doen, kunnen ervoor kiezen om ze te verbergen.
Een groter probleem is de gedwongen 72-uurs rapportage. Zelfs een volledig bemande Fortune 500-organisatie zal niet genoeg weten over een datalek om rapporten in te dienen bij een overheidsinstantie. Verwacht in zo'n korte tijd weinig meer dan een functionaris voor informatiebeveiliging die zegt dat er een inbreuk was en dat we nog niet zeker zijn van alle details. Dat is weinig meer dan een verspilling van tijd voor alle betrokkenen, en ik heb liever dat die tijd wordt besteed aan het proberen te achterhalen waarom, het hoe, het wanneer en de wie elk type datalek omgeeft.
Een kleiner bedrijf dat al moeite heeft om te voldoen aan de AVG-conformiteit, zal in de verleiding komen om te onderzoeken of het de inbreuk kan bevatten en de schade op zichzelf kan beperken zonder enige rapporten. Wanneer je onder druk staat en onderbezet is, kan een cover-up klinken als de juiste optie.
Het is duidelijk nooit zo. Maar grote en kleine bedrijven staan erom bekend keer op keer de verkeerde optie te kiezen als het op de draad aankomt. Elke regelgeving die is ontworpen om gebruikers te beschermen tegen bedrijven die slechte beslissingen nemen, is beter zonder een regel die hen ertoe kan aanzetten om dat ook te doen.
Verantwoordelijke en snelle rapportage van een gegevensoverval is een must. Bedrijven dwingen om onze gegevens te oogsten en te bewaren om het juiste te doen, is zonder dat niet erg nuttig. Het opzetten van de juiste toezichtscommissie gevuld met de juiste mensen om te herzien hoe inbraken worden behandeld - of zelfs het bieden van hulp wanneer ze zich voordoen - zou van AVG een sjabloon maken dat de rest van de wereld kan volgen.
