Mempersiapkan Bagaimana GDPR bisa Baik untuk Bisnis

Privasi dan perlindungan data bukan hanya kata kunci. Ini adalah kekhawatiran konsumen yang serius yang didorong oleh peningkatan jumlah pelanggaran data dan ancaman keamanan siber — yang kemudian membahayakan informasi pribadi konsumen dan mengikis kepercayaan konsumen.

Menurut Survei Privasi dan Keamanan Data RSA, yang mensurvei 7.500 orang di lima negara, konsumen melaporkan bahwa mereka lebih memperhatikan pelanggaran keamanan online. Dan mereka meminta pertanggungjawaban perusahaan ketika informasi mereka dicuri.

Berikut adalah dua temuan utama dari survei itu:

• 73 persen responden lebih sadar akan pelanggaran data dibandingkan lima tahun lalu.
• 62 persen mengatakan mereka akan menyalahkan perusahaan yang kehilangan data mereka sebelum menyalahkan para peretas.

Secara keseluruhan, konsumen menunjukkan bahwa mereka menjadi lebih protektif terhadap privasi digital mereka. Ingat, pelanggaran data konsumen tidak harus berarti pencurian terencana atau pelanggaran massal atas informasi pribadi. Ketika pihak ketiga membeli daftar pelanggan email perusahaan kemudian mengirim email yang tidak diminta ke daftar itu, itu juga bisa merupakan pelanggaran data.

Tak satu pun dari aktivitas tersebut cocok dengan konsumen, dan sentimen konsumen tersebut memaksa perusahaan untuk memikirkan kembali bagaimana mereka melindungi data konsumen secara online.

Sentimen tersebut juga memaksa pemerintah untuk mengambil pendekatan yang lebih aktif dalam mengatur perlindungan informasi konsumen. Beberapa pemerintah mulai memberlakukan undang-undang yang memberi konsumen lebih banyak kepemilikan atas data mereka, tidak peduli siapa yang menyimpan data itu.

Salah satu peraturan tersebut adalah Peraturan Perlindungan Data Umum (GDPR) Uni Eropa, yang mulai berlaku 25 Mei 2018. Standar perlindungan data ini — yang dirancang untuk memberdayakan konsumen sehingga mereka dapat memberikan atau menahan persetujuan mengenai siapa yang dapat mengakses data mereka — menghadirkan tantangan serius untuk perusahaan eCommerce.

Tetapi ini adalah tantangan yang harus disambut baik oleh perusahaan sebagai peluang untuk menjalin hubungan yang lebih baik dengan konsumen.

Jika konsumen lebih cenderung menyalahkan perusahaan atas pelanggaran data, mereka juga cenderung memuji perusahaan yang bekerja dengan mereka untuk melindungi data mereka. Oleh karena itu, organisasi sebaiknya menunjukkan bahwa mereka ingin melindungi konsumen mereka dengan bekerja cepat untuk kepatuhan GDPR.

Cakupan GDPR

Peraturan Perlindungan Data Umum menstandardisasi undang-undang perlindungan data di seluruh 28 negara anggota di Uni Eropa. Tujuan utama dari peraturan ini adalah untuk menciptakan perlindungan data konsumen yang lebih konsisten di seluruh negara UE.

GDPR adalah peraturan yang sangat komprehensif, berisi lebih dari 200 halaman dan lebih dari 90 artikel. Nate Lord di Digital Guardian menunjukkan dengan tepat beberapa persyaratan utama GDPR yang akan berdampak signifikan pada bisnis:

• Persetujuan untuk pemrosesan data
• Data anonim dan transparan
• Pemberitahuan pelanggaran data
• Hak untuk menghapus
• Petugas perlindungan data
• Hukuman untuk ketidakpatuhan

Seperti yang dicatat MarTech Today, pada intinya perlindungan GDPR memberlakukan proses dan komunikasi yang jelas dan ringkas, yang dilakukan dengan persetujuan eksplisit dan afirmatif dari konsumen. Untuk itu, GDPR melindungi informasi apa pun yang dapat digunakan untuk mengidentifikasi individu secara langsung atau tidak langsung. Ini termasuk informasi pengenal dasar, data web, data kesehatan, data etnis, dan opini politik.

Agar mematuhi GDPR, perusahaan harus menangani data apa pun yang bersifat pribadi bagi konsumen dengan hati-hati dan memberi konsumen berbagai cara untuk mengontrol, memantau, dan menghapus informasi mereka jika mereka mau.

GDPR berlaku untuk dua grup utama entitas:

• Perusahaan yang berlokasi di UE
• Perusahaan yang tidak berlokasi di UE yang menawarkan barang atau jasa gratis atau berbayar, atau yang memantau perilaku penduduk UE

Jadi, bahkan untuk perusahaan eCommerce yang berbasis di AS yang menjual terutama kepada konsumen AS, sesuatu yang sederhana seperti kampanye penargetan ulang AdWords dapat memenuhi syarat sebagai pemantauan perilaku penduduk UE.

Untuk perusahaan eCommerce non-UE, ada dua opsi: Dapatkan kepatuhan GDPR atau kehilangan akses sama sekali ke pasar konsumen UE.

Pilihan kedua akan rumit dan picik. Pikirkan saja berapa banyak pekerjaan yang diperlukan untuk memblokir warga Uni Eropa dari window-shopping di situs Anda.

Alih-alih, langkah cerdas adalah mematuhi GDPR — dan akibatnya untuk menghormati permintaan konsumen yang menjadi tujuan pemasaran dan penjualan Anda.

Mengapa GDPR Bagus untuk eCommerce

Kris Lahiri, salah satu pendiri dan kepala petugas keamanan di Egnyte, mengatakan GDPR memberi konsumen kontrol yang lebih besar secara signifikan atas data yang telah mereka percayakan kepada perusahaan.

Ide utamanya di sini adalah “kepercayaan”: GDPR bermaksud menetapkan aturan dasar baru untuk hubungan bisnis-ke-konsumen, dan dalam lanskap baru ini, keberhasilan penjualan langsung-ke-konsumen akan bergantung pada kemampuan pengecer untuk menunjukkan kepercayaan. Seperti yang telah kita lihat, hampir dua pertiga konsumen berpendapat bahwa tanggung jawab perlindungan data berada pada perusahaan yang mengumpulkannya. Dengan mengambil tanggung jawab itu seserius tuntutan hukum, pengecer online dapat menunjukkan kepercayaan mereka kepada konsumen.

Sekali lagi, GDPR bukan sekadar ukuran keamanan data. Ini adalah undang-undang progresif yang memaksa perusahaan untuk menghormati hak konsumen UE atas kepemilikan data mereka sendiri. Undang-undang ini mengatakan, antara lain, bahwa warga negara UE berhak untuk tidak menjadi sasaran pesan pemasaran tanpa terlebih dahulu memilih ikut serta dalam percakapan itu.

Dalam industri seperti eCommerce, di mana loyalitas konsumen harus diperoleh dari waktu ke waktu, menghormati hak privasi konsumen bukan hanya hal yang baik.

Ini adalah elemen mendasar dari kepercayaan.

Menghancurkan Angka: Kasus Bisnis untuk Menjadi Proaktif Tentang Kepatuhan

Beban kerja pada bisnis untuk menjadi patuh berpotensi berat, tergantung pada struktur dan proses keamanan organisasi saat ini, dan seberapa berbeda mereka dari GDPR. Kepatuhan GDPR juga berpotensi menjadi sangat mahal bagi perusahaan. Menurut survei Propeller Insights dari Maret 2018, 36 persen perusahaan berencana untuk membelanjakan antara $50.000 dan $100.000 untuk upaya kepatuhan GDPR. 24 persen lainnya akan menghabiskan antara $ 100.000 dan $ 1 juta.

Namun, investasi moneter itu bisa jadi tidak berarti jika dibandingkan dengan kerugian bisnis jika konsumen kehilangan kepercayaan mereka pada sebuah organisasi. Memiliki privasi yang dilindungi secara online sangat penting bagi konsumen, dan mereka memiliki kekuatan untuk membahayakan perusahaan yang tidak cukup melindungi mereka.

Dalam upaya kepatuhan GDPR, organisasi dapat mengubah peraturan menjadi praktik bisnis yang sehat yang dapat mereka gunakan untuk membangun hubungan yang lebih baik dengan konsumen.

Juga, dari perspektif bisnis, menginvestasikan waktu dan uang di muka untuk kepatuhan dapat menghemat uang perusahaan dalam jangka panjang dengan mencegah pelanggaran yang mahal. Menurut Studi Pelanggaran Biaya Data 2017 oleh Ponemon Institute, biaya rata-rata pelanggaran data adalah $3,62 juta. Itu jumlah uang yang signifikan untuk tujuan yang dapat dicegah.

Dengan menerapkan persyaratan keamanan GDPR, perusahaan mungkin menghabiskan jumlah lima digit sekarang untuk menghindari keharusan membayar jumlah tujuh digit nanti.

Cara Mempersiapkan Kepatuhan GDPR

Persiapan untuk GDPR akan berbeda-beda di setiap organisasi, tetapi berikut adalah beberapa langkah dasar yang dapat diambil oleh perusahaan eCommerce untuk bergerak ke arah yang benar.

1. Libatkan Semua Pemangku Kepentingan

Hal pertama yang harus dilakukan adalah menyiapkan gugus tugas GDPR yang mencakup anggota tim dari setiap tingkat organisasi. Setiap grup dalam perusahaan yang mengumpulkan, menganalisis, memproses, atau berinteraksi dengan data konsumen harus disertakan. Anggota tim ini dapat dengan mudah membagikan informasi apa pun yang dapat membantu menerapkan perubahan yang diperlukan untuk kepatuhan GDPR, serta menangani dampaknya terhadap tim masing-masing.

Untuk memotivasi gugus tugas, Peter Beshar di Marsh & McLennan mendorong perusahaan untuk menetapkan nada kesadaran dan urgensi di tingkat eksekutif yang mengalir ke bawah melalui organisasi dan mempromosikan pentingnya kepatuhan.

Personalisasi peraturan untuk dampak yang lebih besar. Tidak ada yang ingin informasi pribadi mereka dikompromikan. Gunakan sudut itu ketika menekankan pentingnya kepatuhan. Dengan menjadikannya pribadi, anggota tim Anda akan lebih memahami nilai pekerjaan yang harus dilakukan untuk membuat organisasi patuh.

GDPR sangat luas. Semua pemangku kepentingan perlu dilatih tentang persyaratan GDPR, yang mencakup pengembangan sesi pelatihan, penyediaan sumber informasi, dan konsultasi dengan karyawan secara rutin, jelas David Lat, editor pendiri Above the Law. Sangat penting bahwa informasi disajikan dengan cara yang dapat dipahami dan dicerna oleh semua orang, sehingga visual seperti poster dan video dapat menjadi alat yang hebat untuk menjelaskan seluk-beluk GDPR.

2. Menerapkan Alat SIEM

GDPR mengharuskan pengontrol untuk melacak dan merekam semua aktivitas pemrosesan di bawah tanggung jawab mereka, dan sebagian besar organisasi menggunakan alat Manajemen Informasi dan Peristiwa Keamanan (SIEM) untuk melakukan ini, catat Javvad Malik, advokat keamanan di perusahaan keamanan informasi AlienVault.

Alat SIEM mengumpulkan data dari jaringan sistem perangkat keras dan perangkat lunak dan menganalisis data secara real time untuk menghubungkan peristiwa dan menemukan anomali atau pola perilaku yang dapat mengindikasikan pelanggaran keamanan, penulis teknologi Paul Rubens menjelaskan dalam laporan untuk eSecurity Planet. Alat SIEM mengelola log keamanan di berbagai perangkat, menemukan ancaman, mencegah dan mendeteksi pelanggaran, dan memberikan bukti forensik untuk menentukan bagaimana peristiwa keamanan terjadi dan potensi dampaknya, catat Rubens.

Sebelum menerapkan alat SIEM, pastikan untuk membuat inventaris semua aset penting yang memiliki akses ke informasi pribadi konsumen, saran Malik. Dan jangan lupa untuk memasukkan perangkat seluler ke dalam inventaris. Sebuah survei oleh perusahaan keamanan seluler Lookout, Inc. menunjukkan bahwa 63 persen karyawan perusahaan mengakses data pelanggan, mitra, dan karyawan saat menggunakan perangkat seluler.

Mengetahui informasi ini memastikan semua sistem yang diperlukan disertakan untuk pengumpulan data oleh sistem SIEM.

3. Melakukan Penilaian Risiko

Dalam arti yang sangat luas, peraturan GDPR mengharuskan perusahaan untuk menerapkan langkah-langkah keamanan yang sesuai dengan risiko yang dihadapi sistem mereka. Peraturan tersebut sengaja tidak mendefinisikan risiko, menyerahkannya kepada organisasi untuk menentukan cara terbaik untuk mendekati risiko dan mencapai kepatuhan GDPR.

Penilaian risiko yang menyeluruh mencakup identifikasi risiko dan pembuatan rencana mitigasi untuk memerangi risiko yang teridentifikasi tersebut. Matt Middleton-Leal, manajer umum EMEA di keamanan siber dan perusahaan kepatuhan Netwrix, menyarankan beberapa langkah untuk bisnis dalam upaya mereka melakukan penilaian risiko:

• Tinjau standar kepatuhan alternatif untuk inspirasi (misalnya PCI, DSS).
• Mengklasifikasikan data sehingga semua orang mengetahui dan memahami semua titik data dan sensitivitasnya.
• Mengidentifikasi risiko spesifik dan menimbangnya pada rasio risiko/manfaat.
• Menilai terus menerus.

Sebaiknya konsultasikan dengan tim hukum Anda selama seluruh proses kepatuhan GDPR, tetapi langkah ini khususnya adalah langkah di mana hukum dapat menjadi mitra penting. Hukum dapat membantu mengarahkan penilaian risiko Anda, membantu perencanaan berkelanjutan, dan terus memeriksa kepatuhan Anda.

4. Menerapkan Kontrol Deteksi Ancaman

GDPR mengharuskan perusahaan untuk melaporkan pelanggaran keamanan dalam waktu 72 jam. Untuk memenuhi permintaan ini, organisasi harus memiliki kontrol deteksi ancaman yang tepat untuk memicu peringatan segera saat terjadi pelanggaran. Kontrol harus cukup untuk memungkinkan respons dalam jendela waktu yang kecil itu.

Sara Pan di perusahaan keamanan data Imperva menyarankan untuk mengajukan pertanyaan seperti:

• “Siapa yang mengakses data?”
• “Apakah aksesnya sesuai untuk pengguna?”
• “Bagaimana kita mencapai respons insiden tercepat?”

Deteksi ancaman bukanlah proses set-it-and-forget-it. Hal ini memerlukan pemantauan terus menerus untuk ancaman internal dan eksternal, jadi penting bagi perusahaan untuk juga menyiapkan proses untuk penilaian berkelanjutan dan memiliki rencana respons insiden yang terperinci. Rencana respons perlu fokus pada penyelidikan insiden untuk menentukan sumber dan proses untuk menahannya.

Dengan menguji proses dan rencana ini secara rutin, perusahaan memiliki posisi yang lebih baik untuk merespons ancaman dan serangan dengan cara yang sesuai dengan GDPR.

Ini adalah Peluang untuk Memperjuangkan Perlindungan Data Konsumen

GDPR berencana untuk mengenakan penalti moneter pada perusahaan yang tidak patuh mulai 25 Mei 2018. Ada dua tingkat denda yang perlu diperhatikan oleh organisasi, dan dijelaskan lebih detail di GDPREU.org.

• Tingkat Bawah: Hingga €10 juta atau 2 persen dari pendapatan tahunan di seluruh dunia pada tahun keuangan sebelumnya, mana yang lebih tinggi.
• Tingkat Atas: Hingga €20 juta atau 4 persen dari pendapatan tahunan di seluruh dunia dari tahun keuangan sebelumnya, mana yang lebih tinggi.

Meskipun dendanya besar, fokus perusahaan harus lebih pada penerapan proses yang tepat untuk memastikan perlindungan data dan privasi, tidak mengambil jalan pintas hanya untuk menghindari hukuman. Dengan mencoba untuk menghindari proses hanya untuk menghindari denda, organisasi mengambil risiko kemarahan tidak hanya dari badan pengatur, tetapi juga konsumen yang mempertahankan mereka dalam bisnis. GDPR tidak disahkan untuk menghukum bisnis, tetapi untuk melindungi konsumen.

Dengan mengingat tujuan itu, organisasi harus termotivasi untuk menunjukkan kepada konsumen bahwa mereka peduli untuk melindungi informasi pribadi dan bersedia menerapkan langkah-langkah keamanan yang mengutamakan kepentingan terbaik konsumen. Semua energi dan sumber daya yang dihabiskan untuk kepatuhan akan terbayar ketika konsumen lebih bersedia berbisnis dengan perusahaan yang mereka percayai.

Tapi itu akan membutuhkan upaya khusus oleh perusahaan. Dengan tenggat waktu 25 Mei yang semakin dekat, organisasi harus secara aktif mengejar kepatuhan GDPR.

Penafian: Publikasi ini bukan merupakan nasihat hukum apa pun dan tidak boleh menghalangi Anda untuk mendapatkan nasihat hukum Anda sendiri dari pengacara yang berkualifikasi. Selain itu, artikel ini bukanlah dokumen yang mengikat secara hukum dan bukan untuk dieksekusi. Konten yang disediakan dalam artikel ini dapat berubah dan tidak mencerminkan secara keseluruhan persyaratan berdasarkan undang-undang yang berlaku. Dalam menyediakan publikasi ini, Scalefast tidak membuat pernyataan bahwa ia akan menandatangani dokumen yang mengikat secara hukum dan berhak untuk menarik diri dari diskusi tanpa menimbulkan kewajiban apa pun kapan saja.

Gambar oleh: Comfreak, rawpixel.com, Free-Photos