Tuần vừa qua rất quan trọng đối với bạn và thông tin cá nhân của bạn, cho dù bạn có sống ở EU hay không.
GDPR, Quy định bảo vệ dữ liệu chung đặt ra các hướng dẫn về cách thu thập và xử lý thông tin cá nhân của công dân EU, hiện là chính thức. Đó là một ý tưởng tuyệt vời - các quy tắc thống nhất về cách thu thập thông tin của bạn, cách lưu trữ và cách bạn có thể lấy lại thông tin, đã quá hạn. Đã có (và sẽ tiếp tục) nhiều cuộc thảo luận về những gì tốt, xấu và xấu về GDPR, nhưng hầu hết những người làm việc trong lĩnh vực bảo mật thông tin đều đồng ý rằng các mục tiêu này có mục đích tốt và sẽ cung cấp loại bảo vệ mà tất cả chúng ta cần thế kỷ 21
Một loạt các trang web phổ biến chỉ không có sẵn cho khách truy cập châu Âu vì bạn không tuân thủ GDPR.
Các bài viết riêng lẻ của GDPR, tuy nhiên, không được ca ngợi toàn cầu như vậy. Đã có hiệu lực vào thứ Sáu, ngày 25 tháng 5, chúng ta đã thấy sự sụp đổ: New York Daily News, Chicago Tribune, LA Times và các trang web cao cấp khác hiện không có sẵn ở các quốc gia được bảo vệ theo quy định GDPR vì họ chưa sẵn sàng cho các quy tắc mới. Nhiều trang web và dịch vụ trực tuyến khác đã bắn phá người dùng bằng các điều khoản mới để đồng ý và các khiếu nại đã được đệ trình chống lại gã khổng lồ công nghệ đáng chú ý Google và Facebook vì họ không cung cấp dịch vụ miễn phí mà không cho phép người dùng từ chối thu thập dữ liệu.
Thêm: Google giúp việc hiểu và quản lý dữ liệu người dùng dễ dàng hơn mà họ thu thập {.cta.large}
Các vấn đề như thế này không gây ngạc nhiên. Cũng không phải là tình cảm rằng các dịch vụ dựa trên đám mây sẽ mất doanh thu và buộc phải tăng giá do GDPR, một nửa số người tham dự Infosecurance Châu Âu 2018 nghĩ rằng sẽ sớm xảy ra. Họ cũng cảm thấy rằng GDPR sẽ kìm hãm sự đổi mới vì các tổ chức nhỏ sẽ không đủ khả năng để có cơ sở hạ tầng cần thiết để tuân thủ. Đây là cuộc thảo luận tốt của những người cần được thảo luận về nó. Quyền riêng tư tốt hơn đáng giá hàng giờ qua lại cần thiết để làm cho đúng.
Nhưng có một phần GDPR mà tôi nghĩ sẽ gây hại nhiều hơn lợi - quy tắc báo cáo 72 giờ của Điều 33. Bạn có thể đọc toàn văn ở đây, nhưng ý chính của nó là một công ty giữ giấy tờ tùy thân của công dân EU chịu trách nhiệm hoàn toàn cho bất kỳ vi phạm an ninh nào, bất kể lý do và phải cung cấp thông tin đầy đủ cho ủy ban giám sát trong vòng 72 giờ của một vi phạm. Không có gì tuyệt vời về quy tắc này, nhưng hai phần sẽ dẫn đến các nhà cung cấp dịch vụ che đậy vi phạm dữ liệu thay vì báo cáo có trách nhiệm.
Đầu tiên là ủy ban giám sát. Các quốc gia khác nhau có cách quản lý công dân khác nhau, nhưng có một điểm chung mà tất cả họ có là sự đối xử ưu đãi khi tạo ra và bố trí nhân sự cho bất kỳ ủy ban chính thức nào. Một người bạn của một người bạn hoặc người anh em họ thứ ba không thể ngừng yêu cầu phát tờ rơi là ứng cử viên chính cho bất kỳ vị trí ủy ban nào và khi mục tiêu chính là bảo vệ dữ liệu người dùng, chỉ nên xem xét các cá nhân đủ điều kiện nhất. Chúng ta hãy hy vọng đó chính xác là những gì được thực hiện ở đây và các quy định có thể được điều chỉnh và thực thi bởi những người có lợi ích tốt nhất của chúng ta và có đủ điều kiện.
Các công ty nhỏ mà không có các nguồn lực cần thiết để thực hiện một cuộc điều tra vi phạm đầy đủ có thể chọn che đậy chúng.
Một vấn đề lớn hơn là báo cáo 72 giờ bắt buộc. Ngay cả một tổ chức Fortune 500 có đầy đủ nhân viên cũng sẽ không biết đủ về vi phạm dữ liệu để bắt đầu nộp báo cáo với cơ quan chính phủ. Trong một thời gian ngắn như vậy, mong đợi ít hơn một nhân viên an ninh thông tin của công ty nói rằng có vi phạm và chúng tôi chưa chắc chắn về bất kỳ chi tiết nào. Điều đó ít hơn một sự lãng phí thời gian cho mọi người liên quan, và tôi muốn dành thời gian đó để cố gắng tìm hiểu lý do tại sao, làm thế nào, khi nào và ai xung quanh bất kỳ loại vi phạm dữ liệu nào.
Một công ty nhỏ hơn có thể đang phải vật lộn để đáp ứng tuân thủ GDPR sẽ được điều tra nếu nó có thể chứa vi phạm và tự giảm thiểu thiệt hại mà không có bất kỳ báo cáo nào. Khi bạn chịu áp lực và không đủ sức chịu đựng, việc che đậy có thể nghe giống như lựa chọn phù hợp.
Rõ ràng, nó không bao giờ là. Nhưng các công ty lớn và nhỏ đã được biết là chọn sai tùy chọn hết lần này đến lần khác khi đi xuống dây. Bất kỳ quy định nào được thiết kế để bảo vệ người dùng khỏi các công ty đưa ra quyết định kém sẽ tốt hơn nếu không có quy tắc có thể thúc đẩy họ làm điều đó.
Báo cáo có trách nhiệm và kịp thời về một vụ cướp dữ liệu là phải. Buộc các công ty thu hoạch và giữ dữ liệu của chúng tôi làm việc đúng đắn không phải là sử dụng nhiều mà không có nó. Tạo ra một ủy ban giám sát phù hợp với đầy đủ người phù hợp để sửa đổi cách đối xử được xử lý - hoặc thậm chí cung cấp hỗ trợ khi chúng xảy ra - sẽ đi một chặng đường dài để biến GDPR thành khuôn mẫu cho phần còn lại của thế giới noi theo.
