Minggu lalu adalah penting untuk anda dan maklumat peribadi anda, sama ada anda tinggal di EU.
GDPR, Peraturan Perlindungan Data Am yang menetapkan garis panduan tentang bagaimana maklumat peribadi warga EU dipungut dan diproses, kini rasmi. Idea yang bagus - peraturan seragam tentang bagaimana maklumat anda dikumpulkan, bagaimana ia disimpan, dan bagaimana anda boleh mengambilnya kembali, sudah lama tertangguh. Terdapat (dan akan terus) banyak perbincangan tentang apa yang baik, buruk dan hodoh mengenai GDPR, tetapi kebanyakan orang yang bekerja dalam keselamatan maklumat bersetuju bahawa matlamat itu adalah niat baik dan akan memberikan jenis perlindungan yang kita semua perlukan dalam abad ke-21.
Sekumpulan laman web popular tidak tersedia kepada pelawat Eropah kerana anda tidak mematuhi GDPR.
Walau bagaimanapun, artikel GDPR individu tidak begitu dipuji. Setelah berkuatkuasa hari Jumaat, 25 Mei, kami sudah pun melihat keadaan runtuh: New York Daily News, Chicago Tribune, LA Times dan laman web berprofil tinggi yang lain tidak tersedia di negara-negara yang dilindungi di bawah peraturan GDPR kerana mereka tidak bersedia untuk peraturan baru. Banyak laman web dan perkhidmatan dalam talian lain telah membombardir pengguna dengan syarat-syarat baru untuk bersetuju, dan aduan telah diajukan terhadap gergasi teknologi terkenal Google dan Facebook kerana mereka tidak menawarkan perkhidmatan percuma tanpa membenarkan pengguna memilih untuk tidak mengambil data.
Lebih banyak: Google menjadikannya lebih mudah untuk memahami dan mengurus data pengguna yang dikumpulnya {.cta.large}
Isu-isu seperti ini tidak menghairankan. Tidak ada sentimen bahawa perkhidmatan berasaskan awan akan kehilangan pendapatan dan dipaksa untuk menaikkan harga akibat GDPR, yang separuh daripada peserta Infosecurity Europe 2018 fikir tidak lama lagi akan berlaku. Mereka juga merasakan bahawa GDPR akan menghalang inovasi kerana organisasi kecil tidak akan mampu untuk menyediakan infrastruktur yang diperlukan untuk mematuhi. Ini adalah perbincangan yang baik oleh orang-orang yang perlu membincangkannya. Privasi yang lebih baik adalah bernilai waktu yang diperlukan untuk mendapatkannya dengan betul.
Tetapi ada satu bahagian GDPR yang saya fikir akan melakukan lebih banyak mudarat daripada yang baik - peraturan pelaporan 72 jam Perkara 33. Anda boleh membaca teks penuh di sini, tetapi pentingnya ialah syarikat yang membuat pengenalan peribadi warga EU adalah bertanggungjawab sepenuhnya terhadap sebarang pelanggaran keselamatan, tidak kira sebabnya, dan mesti memberikan pendedahan penuh kepada jawatankuasa penyeliaan dalam masa 72 jam pelanggaran. Tidak ada yang hebat tentang peraturan ini, tetapi dua bahagian akan membawa kepada pembekal perkhidmatan yang meliputi pelanggaran data dan bukannya bertanggungjawab melaporkannya.
Yang pertama adalah jawatankuasa penyeliaan. Negara-negara yang berbeza mempunyai cara yang berbeza untuk memerintah warganya, tetapi satu perkara yang mereka semua mempunyai kesamaan adalah rawatan keutamaan ketika datang untuk membuat dan mengurus setiap jawatankuasa resmi. Seorang kawan kawan atau sepupu ketiga yang tidak boleh berhenti meminta petua adalah calon utama bagi mana-mana kerusi dewan, dan apabila matlamat utama adalah melindungi data pengguna, hanya individu yang paling berkelayakan harus dipertimbangkan. Semoga itu betul-betul apa yang dilakukan di sini dan peraturan-peraturan boleh disesuaikan dan dikuatkuasakan oleh orang-orang yang mempunyai kepentingan terbaik di hati dan berkelayakan.
Syarikat-syarikat kecil tanpa sumber yang diperlukan untuk melakukan penyiasatan pelanggaran penuh boleh memilih untuk menutupnya.
Isu yang lebih besar adalah pelaporan 72 jam yang dipaksa. Malah organisasi Fortune 500 yang penuh kakitangan tidak akan tahu cukup mengenai pelanggaran data untuk memulakan laporan pemfailan dengan agensi kerajaan. Memandangkan masa yang singkat, menjangkakan sedikit lebih daripada pegawai keselamatan maklumat syarikat mengatakan terdapat pelanggaran dan kami tidak pasti apa-apa butiran. Itu sedikit lebih daripada membuang masa untuk semua orang yang terlibat, dan saya lebih suka menghabiskan masa untuk mengetahui mengapa, bagaimana, kapan, dan siapa yang mengelilingi apa-apa jenis pelanggaran data.
Sebuah syarikat yang lebih kecil yang mungkin telah berjuang untuk memenuhi pematuhan GDPR akan tergoda untuk menyiasat jika ia boleh mengandungi pelanggaran dan mengurangkan kerosakan sendiri tanpa laporan. Apabila anda berada di bawah tekanan dan kekurangan tenaga, penutup boleh terdengar seperti pilihan yang betul.
Jelas, tidak pernah. Tetapi syarikat yang besar dan kecil telah diketahui untuk memilih masa dan masa pilihan yang salah lagi apabila ia turun ke wayar. Apa-apa peraturan yang direka untuk melindungi pengguna daripada syarikat yang membuat keputusan yang lebih baik adalah lebih baik tanpa peraturan yang boleh mendorong mereka untuk berbuat demikian.
Pelaporan data yang bertanggungjawab dan cepat adalah suatu keharusan. Memaksa syarikat yang menuai dan memegang data kami untuk melakukan perkara yang betul tidak banyak digunakan tanpa itu. Mewujudkan jawatankuasa pengawasan yang tepat dipenuhi dengan orang yang betul untuk menyemak semula bagaimana pemecahnya diperlakukan - atau bahkan menawarkan bantuan apabila mereka berlaku - akan pergi jauh untuk membuat GDPR sebagai template untuk seluruh dunia untuk diikuti.
