Pregătirea pentru modul în care GDPR poate fi bun pentru afaceri

Confidențialitatea și protecția datelor nu sunt doar cuvinte la modă. Sunt preocupări serioase ale consumatorilor, care sunt determinate de un număr tot mai mare de încălcări ale datelor și amenințări la adresa securității cibernetice – care apoi compromit informațiile personale ale consumatorilor și erodează încrederea consumatorilor.

Potrivit sondajului RSA privind confidențialitatea și securitatea datelor, care a chestionat 7.500 de persoane din cinci țări, consumatorii raportează că acordă mai multă atenție încălcărilor securității online. Și țin companiile la răspundere atunci când informațiile lor sunt furate.

Iată două constatări cheie din acel sondaj:

• 73% dintre respondenți sunt mai conștienți de încălcarea datelor decât acum cinci ani.
• 62% au spus că ar da vina pe compania care și-a pierdut datele înainte de a da vina pe hackeri.

În general, consumatorii arată că devin din ce în ce mai protectori față de confidențialitatea lor digitală. Amintiți-vă, o încălcare a datelor despre consumatori nu trebuie să implice furt premeditat sau încălcarea în masă a informațiilor private. Atunci când o terță parte cumpără lista de abonați ai e-mailului a unei companii, apoi trimite e-mailuri nesolicitate către acea listă, aceasta poate constitui și o încălcare a datelor.

Niciuna dintre aceste activități nu se potrivește bine consumatorilor, iar acele sentimente ale consumatorilor obligă companiile să regândească modul în care protejează datele consumatorilor online.

Aceste sentimente obligă guvernele să adopte o abordare mai activă în reglementarea protecției informațiilor consumatorilor. Unele guverne încep să adopte legi care oferă consumatorilor mai multă proprietate asupra datelor lor, indiferent cine stochează aceste date.

Un astfel de regulament este Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene, care intră în vigoare la 25 mai 2018. Acest standard de protecție a datelor – conceput pentru a da putere consumatorilor astfel încât să își poată acorda sau reține consimțământul cu privire la cine le poate accesa datele – prezintă provocări serioase. pentru companiile de comerț electronic.

Dar este o provocare pe care companiile ar trebui să o primească ca o oportunitate de a construi relații mai bune cu consumatorii.

Dacă consumatorii sunt mai predispuși să învinuiască o companie pentru încălcarea datelor, este mai probabil să laude o companie care lucrează cu ei pentru a-și proteja datele. Prin urmare, organizațiile ar fi înțelept să arate că doresc să își protejeze consumatorii lucrând rapid pentru conformitatea GDPR.

Domeniul de aplicare al GDPR

Regulamentul general privind protecția datelor standardizează legile privind protecția datelor în toate cele 28 de state membre ale Uniunii Europene. Scopul cheie al regulamentului este de a crea o protecție mai consecventă a datelor consumatorilor în toate țările UE.

GDPR este un regulament foarte cuprinzător, care conține peste 200 de pagini și peste 90 de articole. Nate Lord de la Digital Guardian evidențiază unele dintre cerințele cheie ale GDPR care vor avea un impact semnificativ asupra afacerilor:

• Consimțământ pentru prelucrarea datelor
• Date anonime și transparente
• Notificări privind încălcarea datelor
• Dreptul la ștergere
• Ofițerii cu protecția datelor
• Sancțiuni pentru nerespectare

După cum notează MarTech Today, protecțiile GDPR de bază impun procese și comunicări clare și concise, care se realizează cu consimțământul explicit și afirmativ al consumatorilor. În acest scop, GDPR protejează orice informație care poate fi utilizată pentru a identifica direct sau indirect o persoană. Acestea includ informații de identificare de bază, date web, date despre sănătate, date etnice și opinii politice.

Pentru a respecta GDPR, companiile trebuie să gestioneze cu atenție orice date care sunt personale pentru consumatori și să ofere consumatorilor diverse modalități de a controla, monitoriza și șterge informațiile lor, dacă doresc acest lucru.

GDPR se aplică la două grupuri principale de entități:

• Firme situate în UE
• Firme care nu sunt situate în UE care oferă bunuri sau servicii gratuite sau plătite sau care monitorizează comportamentul rezidenților UE

Așadar, chiar și pentru companiile de comerț electronic din SUA care vând în principal consumatorilor din SUA, ceva la fel de simplu precum o campanie de retargeting AdWords ar putea fi calificat drept monitorizare a comportamentului rezidenților UE.

Atunci, pentru companiile de comerț electronic din afara UE, există două opțiuni: Obțineți conformitatea cu GDPR sau pierdeți complet accesul la piața de consum din UE.

A doua variantă ar fi greoaie și miop. Gândiți-vă doar cât de mult ar fi nevoie pentru a bloca cetățenii UE să facă cumpărături pe vitrine pe site-ul dvs.

În schimb, mișcarea inteligentă este să te conformezi cu GDPR – și, în consecință, să onorezi cerințele consumatorilor cărora le faci marketing și le vinzi.

De ce GDPR este bun pentru comerțul electronic

Kris Lahiri, co-fondator și director de securitate la Egnyte, spune că GDPR oferă consumatorilor un control semnificativ mai mare asupra datelor pe care le-au încredințat companiilor.

Ideea cheie aici este „încrederea”: GDPR intenționează să stabilească noi reguli de bază pentru relațiile între afaceri și consumator, iar în acest nou peisaj succesul vânzărilor directe către consumator va depinde de capacitatea comerciantului cu amănuntul de a-și demonstra încrederea. După cum am văzut, aproape două treimi dintre consumatori susțin că responsabilitatea pentru protecția datelor revine companiei care le colectează. Luând această responsabilitate la fel de serios pe cât o cere legea, comercianții cu amănuntul online își pot demonstra încrederea în fața consumatorilor.

Din nou, GDPR nu este doar o măsură de securitate a datelor. Aceasta este o lege progresivă care obligă companiile să onoreze drepturile consumatorilor din UE de a deține propriile date. Această lege spune, printre altele, că un cetățean al UE are dreptul de a nu fi vizat de mesaje de marketing fără a opta mai întâi pentru acea conversație.

În industrii precum comerțul electronic, în care loialitatea consumatorilor trebuie câștigată în timp, onorarea dreptului consumatorului la confidențialitate nu este doar un lucru bun.

Este un element fundamental al încrederii.

Crunching Numbers: argumentul de afaceri pentru a fi proactiv în privința conformității

Volumul de lucru al companiilor pentru a se conforma este potențial greu, în funcție de structurile și procesele de securitate actuale ale unei organizații și de cât de divergente sunt acestea față de GDPR. Conformitatea GDPR are, de asemenea, potențialul de a fi foarte costisitoare pentru companii. Potrivit unui sondaj Propeller Insights din martie 2018, 36% dintre companii plănuiesc să cheltuiască între 50.000 și 100.000 USD pentru eforturile de conformare GDPR. Alte 24% vor cheltui între 100.000 și 1 milion de dolari.

Dar acele investiții monetare ar putea păli în comparație cu pierderea afacerilor dacă consumatorii își pierd încrederea într-o organizație. Protejarea confidențialității online este esențială pentru consumatori, iar aceștia au puterea de a dăuna companiilor care nu fac suficient pentru a-i proteja.

Depunând eforturi pentru conformitatea cu GDPR, organizațiile pot transforma reglementările în practici de afaceri solide pe care le pot folosi pentru a construi relații mai bune cu consumatorii.

De asemenea, din perspectiva afacerii, investirea timpului și a banilor în avans pentru conformitate poate economisi bani companiilor pe termen lung prin prevenirea încălcărilor costisitoare. Conform studiului privind costul încălcării datelor din 2017 de către Institutul Ponemon, costul mediu al unei încălcări a datelor este de 3,62 milioane USD. Aceasta este o sumă semnificativă de bani pentru o cauză care poate fi prevenită.

Prin implementarea cerințelor de securitate ale GDPR, companiile ar putea cheltui acum o sumă de cinci cifre pentru a evita să plătească o sumă de șapte cifre mai târziu.

Cum să vă pregătiți pentru conformitatea cu GDPR

Pregătirea pentru GDPR va varia în funcție de organizație, dar iată câțiva pași de bază pe care companiile de comerț electronic îi pot face pentru a merge în direcția corectă.

1. Implicați toate părțile interesate

Primul lucru de făcut este să înființați un grup de lucru GDPR care să includă membri ai echipei de la fiecare nivel al organizației. Ar trebui inclus orice grup din cadrul companiei care colectează, analizează, procesează sau interacționează în alt mod cu datele consumatorilor. Acești membri ai echipei pot împărtăși cu ușurință orice informații care pot fi utile pentru implementarea modificărilor necesare pentru conformitatea cu GDPR, precum și pentru a face față impactului asupra echipelor lor respective.

Pentru a motiva grupul de lucru, Peter Beshar de la Marsh & McLennan încurajează companiile să stabilească un ton de conștientizare și urgență la nivel executiv, care se scurge prin organizație și promovează importanța conformității.

Personalizați regulamentul pentru mai mult impact. Nimeni nu vrea ca informațiile lor private să fie compromise. Utilizați acest unghi atunci când subliniați importanța conformității. Făcându-l personal, membrii echipei dvs. vor înțelege mai bine valoarea muncii necesare pentru a face organizația conformă.

GDPR este extins. Toate părțile interesate trebuie să fie instruite cu privire la cerințele GDPR, ceea ce implică dezvoltarea de sesiuni de formare, furnizarea de resurse informaționale și consultarea cu angajații în mod regulat, explică David Lat, editor fondator Above the Law. Este esențial ca informațiile să fie prezentate într-un mod în care toată lumea să poată înțelege și digera materialele, astfel încât elementele vizuale precum postere și videoclipuri pot fi instrumente excelente pentru a explica complexitățile GDPR.

2. Implementați un instrument SIEM

GDPR cere controlorilor să urmărească și să înregistreze toate activitățile de procesare sub responsabilitățile lor, iar majoritatea organizațiilor utilizează un instrument de securitate a informațiilor și a evenimentelor (SIEM) pentru a face acest lucru, notează Javvad Malik, avocat pentru securitate la compania de securitate a informațiilor AlienVault.

Un instrument SIEM colectează date dintr-o rețea de sisteme hardware și software și analizează datele în timp real pentru a corela evenimentele și pentru a identifica anomalii sau modele de comportament care pot indica o încălcare a securității, explică scriitorul de tehnologie Paul Rubens într-un raport pentru eSecurity Planet. Instrumentele SIEM gestionează jurnalele de securitate pe diferite dispozitive, detectând amenințările, prevenind și detectând încălcări și furnizând dovezi criminalistice pentru a determina cum a avut loc un eveniment de securitate și impactul potențial al acestuia, notează Rubens.

Înainte de a implementa un instrument SIEM, asigurați-vă că ați creat un inventar al tuturor activelor critice care au acces la informațiile personale ale consumatorilor, sugerează Malik. Și nu uitați să includeți dispozitivele mobile în inventar. Un sondaj realizat de compania de securitate mobilă Lookout, Inc. arată că 63% dintre angajații întreprinderii accesează datele despre clienți, parteneri și angajați pe un dispozitiv mobil.

Cunoașterea acestor informații asigură că toate sistemele necesare sunt incluse pentru colectarea datelor de către un sistem SIEM.

3. Efectuați evaluări ale riscurilor

Într-un sens foarte larg, reglementările GDPR cer companiilor să implementeze măsuri de securitate adecvate riscurilor cu care se confruntă sistemele lor. Reglementările nu definesc în mod intenționat riscul, lăsând la latitudinea organizației să determine cum să abordeze cel mai bine riscul și să obțină conformitatea cu GDPR.

O evaluare aprofundată a riscurilor include atât identificarea riscurilor, cât și crearea de planuri de atenuare pentru a combate riscurile identificate. Matt Middleton-Leal, director general EMEA la compania de securitate cibernetică și conformitate Netwrix, sugerează câțiva pași întreprinderilor în eforturile lor de a efectua evaluări de risc:

• Examinați standardele alternative de conformitate pentru inspirație (de exemplu, PCI, DSS).
• Clasificați datele astfel încât toată lumea să cunoască și să înțeleagă toate punctele de date și sensibilitatea acestora.
• Identificați riscurile specifice și cântăriți-le în funcție de raportul risc/beneficiu.
• Evaluează continuu.

Cel mai bine este să vă consultați cu echipa juridică pe parcursul întregului proces de conformitate cu GDPR, dar acest pas în special este unul în care juridicul poate fi un partener esențial. Serviciile juridice vă pot ajuta să vă orientați evaluarea riscurilor, să vă ajute cu planificarea continuă și să vă verificați în permanență conformitatea.

4. Implementați controale de detectare a amenințărilor

GDPR cere companiilor să raporteze încălcările de securitate în termen de 72 de ore. Pentru a răspunde acestei cereri, organizațiile trebuie să aibă controale adecvate de detectare a amenințărilor pentru a declanșa alerte imediate atunci când are loc o încălcare. Controalele trebuie să fie suficiente pentru a permite răspunsul în intervalul acela mic de timp.

Sara Pan de la compania de securitate a datelor Imperva sugerează să pună întrebări precum:

• „Cine accesează datele?”
• „Este accesul adecvat pentru utilizator?”
• „Cum obținem cel mai rapid răspuns de incidență?”

Detectarea amenințărilor nu este un proces de stabilire și uitare. Necesită monitorizare continuă pentru amenințările interne și externe, de aceea este important ca companiile să stabilească și procese pentru evaluări continue și să aibă un plan detaliat de răspuns la incident. Planul de răspuns trebuie să se concentreze pe investigarea incidentului pentru a determina sursa și procesul de reținere a acestuia.

Testând în mod regulat aceste procese și planuri, companiile sunt mai bine poziționate pentru a răspunde amenințărilor și atacurilor într-o manieră conformă cu GDPR.

Aceasta este o șansă de a susține protecția datelor consumatorilor

GDPR intenționează să impună sancțiuni bănești companiilor care nu sunt conforme începând cu 25 mai 2018. Există două niveluri de amenzi de care organizațiile trebuie să fie conștiente și sunt explicate mai detaliat pe GDPREU.org.

• Nivel inferior: Până la 10 milioane EUR sau 2% din venitul anual mondial al exercițiului financiar anterior, oricare dintre acestea este mai mare.
• Nivel superior: Până la 20 milioane EUR sau 4% din venitul anual mondial al exercițiului financiar anterior, oricare dintre acestea este mai mare.

Deși amenzile sunt mari, companiile trebuie să se concentreze mai mult pe implementarea proceselor adecvate pentru a asigura protecția datelor și confidențialitatea, nu luarea de comenzi rapide doar pentru a evita sancțiunile. Încercând să eludeze procesele doar pentru a evita amenzile, organizațiile riscă să fie furia nu numai a agențiilor de reglementare, ci și a consumatorilor care îi mențin în afaceri. GDPR nu a fost adoptat pentru a pedepsi afacerile, ci pentru a proteja consumatorii.

Având în vedere acest obiectiv, organizațiile ar trebui să fie motivate să le arate consumatorilor că le pasă de protejarea informațiilor private și că sunt dispuse să pună în aplicare măsuri de securitate care să aibă în vedere interesul consumatorilor. Toată energia și resursele cheltuite pentru conformitate vor avea roade atunci când consumatorii vor fi mai dispuși să facă afaceri cu companiile în care au încredere.

Dar va fi nevoie de eforturi dedicate companiilor. Cu termenul limită de 25 mai care se apropie, organizațiile trebuie să urmărească în mod activ respectarea GDPR.

Declinare a răspunderii: Această publicație nu constituie niciun fel de consiliere juridică și nu ar trebui să vă împiedice să obțineți propriul sfat juridic de la un avocat calificat. În plus, acest articol nu este un document obligatoriu din punct de vedere juridic și nu este de executat. Conținutul furnizat în acest articol este supus modificării și nu reflectă în întregime cerințele prevăzute de legislația aplicabilă. Prin furnizarea acestei publicații, Scalefast nu declară că va executa vreun document obligatoriu din punct de vedere juridic și își rezervă dreptul de a se retrage din discuții fără a-și asuma nicio răspundere în orice moment.

Imagini de: Comfreak, rawpixel.com, Free-Photos