GDPR augmentera les violations signalées et déclenchera un flot de demandes de «droit d'être oublié»

Le règlement général sur la protection des données (GDPR) est actuellement appliqué, et 60% des entreprises touchées ne sont pas préparées. C'est inquiétant, mais je ne suis pas ici pour répandre la peur, l'incertitude et le doute (FUD).

GDPR est une bonne chose. Il oblige les entreprises à mieux protéger les données personnelles des citoyens de l'UE qu'elles contrôlent ou traitent. Ironiquement, au cours des prochains mois, il semblerait que les entreprises protègent mal les données, car elles doivent également mieux comprendre et surveiller la confidentialité des données et signaler avec plus de diligence toute violation – ce qui signifie …

Voyons ce qui s'est passé récemment en Australie – en février, le pays a promulgué le règlement Notifiable Data Breach, qui a augmenté les exigences en matière de notification de violation, et immédiatement, les violations signalées ont explosé. Après seulement 114 violations signalées au Commissariat à l'information australien pour l'ensemble de l'exercice 2017, il y avait 63 dans les six semaines suivant l'entrée en vigueur du règlement.

Nous verrons une augmentation similaire des violations signalées maintenant que GDPR est exécutable, grâce à sa règle de notification de violation de 72 heures. Mais il n'y a pas besoin de paniquer. Cela ne veut pas dire que les hackers sont soudainement beaucoup plus performants; cela reflétera le fait que les entreprises font mieux comprendre et surveiller les données dont elles sont responsables et qu'elles sont transparentes à propos de toute violation – dont nous avons désespérément besoin.

Cela profitera non seulement aux consommateurs, qui sont de plus en plus préoccupés par la sécurité de leurs données – et à juste titre – compte tenu du scandale des données Facebook / Cambridge Analytica. Il profitera également aux entreprises qui subissent plus de violations que jamais auparavant et peut réduire le coût des infractions jusqu'à 70% en réduisant de moitié leur temps de détection et de réponse.

Alors, comment une entreprise peut-elle s'assurer qu'elle signale des violations dans les 72 heures, comme l'exige le GDPR?

Tout d'abord, assurez-vous que votre plan d'intervention en cas d'incident de sécurité est mis à jour. Ensuite, vous devez comprendre toutes les données dont vous êtes responsable ainsi que les risques qui y sont associés. Commencez par faire un inventaire complet de toutes les données personnelles des citoyens de l'UE que vous collectez, stockez ou traitez.

Les données personnelles comprennent les informations évidentes – nom, adresse, adresse e-mail – ainsi que tout ce qui peut être utilisé pour identifier un individu, comme l'adresse IP, les données de localisation ou même toute information spécifique identité mentale, économique, culturelle ou sociale. C'est intentionnellement large; aller de l'avant et tout documenter.

Vous devez suivre toutes ces données dans une feuille de calcul, en utilisant les colonnes pour inclure autant d'informations que possible: département, système, administrateur, type de données, où se trouvent les données, qui a fourni les données et pourquoi vous l'avez recueilli. Lisa Hawke à Everlaw a un grand outil pour vous aider. Parcourir l'outil Everlaw avec chaque propriétaire de jeu de données vous ouvrira les yeux sur la puissance du GDPR en matière de droits des données personnelles.

Une fois que votre inventaire de données est le plus complet possible (en passant, c'est un processus sans fin), créer un registre des risques pour évaluer les risques associés à l'ensemble de données de chaque individu. Le registre des risques devrait inclure les vulnérabilités et les menaces associées aux données ainsi que la probabilité et l'impact potentiel.

En vous référant à cette information, discutez avec votre entreprise des contrôles administratifs et techniques nécessaires pour assurer un niveau de sécurité approprié compte tenu du risque. Vous devrez peut-être consulter des experts tiers ici. Le règlement exige également que vous continuiez de surveiller ces risques et les contrôles connexes pour vous assurer qu'ils sont efficaces et qu'ils reflètent tout changement dans les données ou les menaces et vulnérabilités connexes.

Parlant des changements dans les données … qui nous amène à mon

Les entreprises recevront une tonne de demandes de «Droit d'être oublié»

Outre le renforcement de la sécurité des données, l'autre objectif principal du GDPR est de permettre aux consommateurs européens de contrôler leurs propres données personnelles. À cette fin, il ajoute quelques règles clés:

• Les entreprises doivent obtenir le consentement explicite des consommateurs avant de contrôler ou de traiter leurs données personnelles
• Les consommateurs peuvent révoquer leur consentement de n'importe quelle entreprise à tout moment
• les informations que les entreprises ont à leur sujet, ainsi que les raisons de leur utilisation et leur utilisation
• Les consommateurs peuvent exiger que les entreprises suppriment leurs données

Compte tenu du quatrième point, encore plus que la hausse des violations signalées Comme le montre le GDPR, nous verrons un tsunami de demandes de «Droit d'être oublié», lorsque des individus ou des «Data Data» capitaliseront sur le nouveau privilège et se détacheront des entreprises qu'ils perçoivent comme ayant de mauvaises pratiques de sécurité des données. (Prévision plus audacieuse: #DeleteMe sera le prochain #DeleteFacebook .)

Bien sûr, cela signifie que votre entreprise doit être capable de supprimer les données personnelles des individus sur demande et de le prouver. Vous devez établir des stratégies et des processus pour le faire efficacement, sans créer de problèmes opérationnels ou de conformité plus importants. Ignorer les demandes donne à l'individu la possibilité de déposer une plainte auprès de l'Autorité de surveillance, qui interviendra.

Comme c'est le cas chaque fois qu'une entreprise est soupçonnée de violer le GDPR, l'Autorité de surveillance procédera à une analyse pour déterminer si vous avez enfreint les règles. Si cela se termine, vous serez confronté à quatre sanctions possibles:

• Une amende allant jusqu'à 4% du chiffre d'affaires mondial annuel ou 20 millions d'euros (le plus élevé des deux)
• Une suspension de données country
• Une réprimande
• Interdiction de traiter ou de contrôler les données (temporaires ou définitives)

Ces sanctions – même avec leur gravité potentielle – ne devraient pas être le seul facteur de motivation pour atteindre la conformité. Au lieu de cela, gardez à l'esprit que la conformité sera bénéfique à long terme pour votre entreprise et tous les clients / partenaires / fournisseurs.

Cela commence par une meilleure compréhension des données personnelles dont vous êtes responsable ainsi que des risques qui y sont associés et vous permet de répondre à #DeleteMe.