Miniony tydzień był ważny dla Ciebie i Twoich danych osobowych, niezależnie od tego, czy mieszkasz w UE, czy nie.
RODO, ogólne rozporządzenie o ochronie danych, które określa wytyczne dotyczące sposobu gromadzenia i przetwarzania danych osobowych obywateli UE, jest teraz oficjalne. To świetny pomysł - jednolite zasady dotyczące sposobu gromadzenia informacji, sposobu ich przechowywania i sposobu ich odzyskania są od dawna spóźnione. Odbyło się (i nadal będzie) wiele dyskusji na temat tego, co dobre, złe i brzydkie w RODO, ale większość osób pracujących w dziedzinie bezpieczeństwa informacji zgadza się, że cele są dobre i zapewnią rodzaj ochrony, którego wszyscy potrzebujemy XXI wiek.
Kilka popularnych witryn po prostu nie jest dostępnych dla odwiedzających w Europie, ponieważ nie spełniasz wymogów RODO.
Poszczególne artykuły RODO nie są jednak tak powszechnie chwalone. Po wejściu w życie w piątek, 25 maja, widzimy już skutki: New York Daily News, Chicago Tribune, LA Times i inne głośne strony internetowe są teraz niedostępne w krajach objętych przepisami RODO, ponieważ nie były gotowe na nowe przepisy. Wiele innych stron internetowych i usług internetowych bombardowało użytkowników nowymi warunkami, na które wyrazili zgodę, a skargi zostały już złożone przeciwko znaczącym gigantom technologicznym Google i Facebookowi, ponieważ nie oferują bezpłatnych usług bez umożliwienia użytkownikom rezygnacji z gromadzenia danych.
Więcej: Google ułatwia zrozumienie gromadzonych danych użytkowników i zarządzanie nimi {.cta.large}
Takie problemy nie są zaskakujące. Nie ma też sentymentu, że usługi w chmurze stracą przychody i będą zmuszone do podniesienia cen w wyniku RODO, co zdaniem połowy uczestników Infosecurity Europe 2018 nastąpi wkrótce. Uważają również, że RODO hamuje innowacje, ponieważ małe organizacje nie będą w stanie zapewnić niezbędnej infrastruktury do zapewnienia zgodności. To dobra dyskusja ludzi, którzy muszą ją omawiać. Lepsza prywatność jest warta wielu godzin potrzebnych do prawidłowego działania.
Ale jest jedna część RODO, która moim zdaniem przyniesie więcej szkody niż pożytku - reguła art. 33 dotycząca 72-godzinnego raportowania. Możesz przeczytać cały tekst tutaj, ale jego sedno polega na tym, że firma, która prowadzi osobistą identyfikację obywateli UE, jest w pełni odpowiedzialna za każde naruszenie bezpieczeństwa, bez względu na przyczynę, i musi przekazać pełne ujawnienie komitetowi nadzorczemu w ciągu 72 godzin naruszenia. W tej zasadzie nie ma nic wielkiego, ale dwie części doprowadzą do tego, że dostawcy usług będą ukrywać naruszenia danych, a nie odpowiedzialnie je zgłaszać.
Pierwszym z nich jest komitet nadzorczy. Różne kraje mają różne sposoby rządzenia swoimi obywatelami, ale jedną wspólną cechą jest preferencyjne traktowanie, jeśli chodzi o tworzenie i obsadzanie urzędów komitetem. Przyjaciel przyjaciela lub ten trzeci kuzyn, który nie może przestać prosić o pomoc, są głównymi kandydatami na dowolne miejsce w komitecie, a gdy głównym celem jest ochrona danych użytkowników, należy brać pod uwagę tylko najbardziej wykwalifikowane osoby. Miejmy nadzieję, że dokładnie to zrobiono tutaj, a przepisy mogą być dostosowywane i egzekwowane przez osoby, które mają na względzie nasze dobro i są wykwalifikowane.
Małe firmy nieposiadające zasobów niezbędnych do przeprowadzenia pełnego dochodzenia w sprawie naruszenia mogą zdecydować się na ich pokrycie.
Dużym problemem jest wymuszone 72-godzinne raportowanie. Nawet w pełni obsadzona organizacja Fortune 500 nie dowie się wystarczająco dużo o naruszeniu danych, aby rozpocząć składanie raportów w agencji rządowej. Biorąc pod uwagę tak krótki czas, spodziewaj się niewiele więcej niż funkcjonariusz ds. Bezpieczeństwa informacji w firmie, który stwierdził, że nastąpiło naruszenie i nie jesteśmy jeszcze pewni żadnych szczegółów. Dla wszystkich zaangażowanych jest to niewiele więcej niż strata czasu. Wolałbym raczej poświęcić ten czas na sprawdzenie, dlaczego, jak, kiedy i kto otacza każdego rodzaju naruszenie danych.
Mniejsza firma, która może już mieć problemy z przestrzeganiem przepisów RODO, będzie miała ochotę zbadać, czy może samodzielnie ograniczyć naruszenie i samodzielnie złagodzić szkody bez żadnych raportów. Gdy jesteś pod presją i masz za mało personelu, zatuszowanie może brzmieć jak właściwa opcja.
Oczywiście nigdy tak nie jest. Ale znane są wielkie i małe firmy, które za każdym razem wybierają niewłaściwą opcję. Wszelkie przepisy mające na celu ochronę użytkowników przed firmami podejmującymi złe decyzje są lepsze bez reguły, która może ich do tego zmusić.
Konieczne jest odpowiedzialne i szybkie zgłaszanie napadu danych. Zmuszanie firm, które zbierają i przechowują nasze dane do właściwego działania, bez nich nie przydadzą się. Utworzenie właściwego komitetu nadzorczego z odpowiednimi osobami, które zrewidowałyby sposób traktowania włamań - lub nawet oferowanie pomocy, kiedy się zdarzy - znacznie przyczyniłoby się do uczynienia z RODO szablonu, który powinien postępować reszta świata.
