Geçen hafta, AB Parlamentosu ve Konseyi’nin uzun zamandır beklenen Genel Veri Koruma Yönetmeliği (GDPR) için bir metin üzerinde anlaştığını bildirmiştik.
GDPR anlaşması, kuralları ihlal eden firmalar için yıllık cironun% 4’üne kadar para cezalarına yol açabilir; “ciddi” ihlallerin ilgili ulusal denetim otoritesine zorunlu olarak bildirilmesi; Genel merkezleri nerede olursa olsun çok uluslu şirketler için tek bir düzenleyici; veri koruma görevlilerinin zorunlu olarak atanması; ve büyük internet servis sağlayıcılarının “unutulma hakkı” ve “veri taşınabilirliği hakkı” kurallarına uyması gerekecektir.
Bu esas olarak işletmeleri etkiliyor, ancak halk, GDPR’nin hem unutulma hakkı hem de zorunlu ihlallerdeki faydalarını, sosyal ağ yaş rızasına yerleştirilen ekstra güvenlikle birlikte görecek.
Bilgi Komiseri Ofisi’nde (ICO) eski Komiser Yardımcısı ve Veri Koruma Direktörü ve şimdi Allen & Overy’nin özel danışmanı olan David Smith, “üçlünün” sona ermesini ve siyasi anlaşmanın sağlanmasını övdü. “AB’nin gelecekteki veri koruma çerçevesinin şekli açık, bitiş çizgisi ufukta ve yeni Tüzüğün uygulanmasına yönelik hazırlıklar başlayabilir” dedi.
Avrupa hukuk firması Fieldfisher’ın Gizlilik, Güvenlik ve Bilgi grubunun ortağı Phil Lee, GDPR’yi “Avrupa’nın, muhtemelen dünyanın son yirmi yılda gördüğü en önemli veri koruma gelişimi” olarak nitelendirdi ve bu da Güvenli Liman’dan daha önemliydi.

“Temel olarak, düzenleme hesap verebilirlikle ilgili” dedi. “Bu, işletmelerin yalnızca uyumlu olmaları değil, aynı zamanda uyumlu olduklarını gösterebilmeleriyle de ilgili.”
Gelen kutuma giren çeşitli görüşlerden, düzenlemenin veri gizliliğini tüm şirketler için yönetim kurulu seviyesine getireceği ve mevcut ve gelecekteki iş süreçlerinin, BT sistemlerinin, veri stratejisinin ve iş ortaklarıyla etkileşimlerin denetlenmesini gerektireceği iddiaları vardı.
Hunton & Williams Bilgi Politikası Liderliği Merkezi (CIPL) Başkanı Bojana Bellamy şunları söyledi: “Yeni gereksinimlerin uygulanması için strateji tasarlamaları ve ardından uyum programları, yeni politikalar, prosedürler ve sistemler uygulamaya koymaları gerekecek. Bunlar küçük görevler değil.
“İki yıllık uygulama süresi bir organizasyonun hayatında uzun bir zaman değildir ve birçoğu tırmanacak bir dağları olduğunu ve zamanlarının tükenebileceğini görebilir. Bazı kuruluşlar Tüzüğün ilerlemesini ve nihai metnini takip ediyor ve şimdiden uygulama stratejileri geliştirmeye ve değişime hazırlanmaya başlıyor.”
BH Consulting CEO’su Brian Honan, Infosecurity’ye verdiği demeçte, yeni kuralların ihlal bildirimi ve herhangi bir yeni hizmet veya sistem için tasarım gereği gizlilik gibi bir bireyin gizliliğinin korunmasına daha güçlü bir şekilde odaklanmasına rağmen, yeni düzenlemelerin bir devrimden ziyade mevcut Veri Koruma kurallarının bir evrimi olduğunu söyledi.
Dedi ki: “Birçok şirket için iyi haber, yeni veri koruma kurallarının, her üye devletteki benzersiz veri koruma yasalarına uymak zorunda kalmanın önceki şartı yerine, tüm AB üye ülkelerinde tek bir kurallar dizisi sağlayacağı ve farklı yargı bölgelerinde ticaret yapmak isteyen şirketler için daha kolay hale getireceğidir.
“İyi bir veri koruma yönetişimine sahip olan şirketler, yeni gereksinimleri çok zahmetli bulmamalı; Bununla birlikte, diğerleri gereksinimleri karşılayabileceklerinden emin olmak için dik bir öğrenme eğrisine sahip olduklarını görebilirler. Şirketler, risk değerlendirme süreçlerinin bir parçası olarak yeni gereklilikleri almalı ve uygun güvenlik, eğitim ve süreç seviyelerinin mevcut olduğundan emin olmalıdır.”
Yeni direktifin temel faktörlerinden biri, öncelikle belirli sektörlerdeki (finansal hizmetler, ulaşım, enerji, su ve sağlık) kritik altyapı operatörlerinin yanı sıra “temel hizmetler” (internet ödemesi, bulut bilişim ve arama motorları gibi) operatörlerine odaklanmasıdır. Üye devletlerin kendi yetki alanlarındaki bu temel hizmetleri tanımlamaları gerekecek ve Cordery’deki Avrupa Düzenleyici Baş Danışmanı Andre Bywater, bireysel Üye Devletlerdeki işletmelerden kurallar uygulanmadan önce bir istişareye katılmalarının isteneceğini söyledi.
Başlangıçta, Bywater, acil adımların AB Konseyi ve Avrupa Parlamentosu’nun gelecek yılın ilk yarısında beklenen yeni kuralları resmen onaylaması olduğuna inanıyordu. AB Üye Devletleri daha sonra direktifi 21 ay içinde ulusal mevzuata kabul etmek ve ayrıca altı ay içinde belirli kriterlere göre söz konusu sektörlerden temel hizmet operatörlerini resmi olarak tanımlamak zorunda kalacaklar.
GDPR, para cezaları, veri koruma görevlilerinin kurulması ve 24 saat bildirim prosedürleri hakkında uzun bir müzakere sürecini takip ediyor. Cordery’nin ortağı Jonathan Armstrong, Infosecurity’ye 24 saat kuralının her zaman gerçekçi olmadığına inandığını söyledi. “Odada bir ihlalle uğraşan bir işletmeyle birlikte olan hiç kimse, bunu hızlı bir şekilde ve kamu politikası açısından bildirebileceğinizi asla düşünmez” dedi.

“Bence uzatmak doğru, aksi takdirde insanlar çok hızlı rapor verebilirler. Bazen kötü adamları yakalamak mümkündür, ancak insanlar çok hızlı rapor verirse değil. Ayrıntıları görmek ilginç olacak ama aynı zamanda ABD’de olduğu gibi kolluk kuvvetlerinin olay yerinde olduğu zaman için bir süre uzatımı göreceğimizi umuyorum. ”

Diğer tartışma alanı, ihlaller için para cezaları seviyesindedir ve daha önce beklenen yıllık küresel cironun %2’sine kadarının beklendiği bildirilmiştir. Bu, büyük işletmeler veya bankalar için para cezalarının milyonlarca veya milyarlarca liraya ulaşabileceği anlamına gelir.
Honan, para cezaları potansiyelinin, şirketlerin veri korumanın yönetişim çerçevelerinde oynaması gereken önemi fark etmelerini ve uygun kaynakların uygulanmasını sağlamalarını sağlaması gerektiğini söyledi.
“Bir Veri Koruma Görevlisi gereksinimi de hoş bir harekettir ve bu, bağımsız bir kişinin şirket içinde uygun veri koruma uygulamalarının uygulanmasını sağlamaktan sorumlu olduğu anlamına gelir” dedi. “Birçok şirket için bu, özel bir kişinin atanmasını gerektirebilir, diğerleri için rol, bir personel üyesinin normal görevlerinin bir parçası olarak gemiye aldığı bir rol olabilir.”
Allen & Overy veri koruma uygulamasının ortağı Jane Finlayson Brown, para cezası unsurunun en önemli değişiklik olduğunu, çünkü belirli hükümlerin ihlalinin (örneğin, uluslararası transferler veya rıza koşulları gibi işleme için temel ilkeler) dünya çapında yıllık cironun %4’üne kadar para cezası çektiğini, diğer ihlaller için (veri minimizasyonu gibi) dünya çapındaki yıllık cironun %2’sine kadar daha düşük bir para cezası eşiğinin belirlendiğini söyledi.
Yıllardır yönetmelik hakkında yazıyormuşum gibi hissediyorum ve birkaç hafta içinde yönetmeliğin güncellenmesi için ilk hamlelerin yapılmasından bu yana dört yıl geçecek. Bu, 2015/2016’da veri koruma zorluklarının üstesinden gelmek için yeni bir basamak taşıdır. Bu geçtiğinde ve yasa haline geldiğinde herkesin tahminidir.

CISO sadece riski değerlendirmek ve ISO 27001 standartlarına uymak zorunda kalmayıp, aynı zamanda veri gizliliği ve altyapı kullanılabilirliği için araçlar ve süreçlerle bir firmayı bilgisayar korsanlığı ve kötü amaçlı yazılımlardan korumak zorundaydı. GDPR bunu değiştirdi ve CISO rolünü bir Veri Koruma Görevlisinin (yasal ve BT profili) rolünden ayırarak CISO’nun artık dijital dönüşüm ve bulut yolculuğu etrafındaki iş ve güvenlik özelliklerine odaklanmasına izin verdi.

CISO’nun rolünün evrimi, veri korumasını devretmekten çok daha ileri gidiyor: yeni dijital ürün geliştirmede ve firmanın kârlılığını iyileştirmede de çok önemli bir role sahipler.
Şu anda, birçok firma ürün veya hizmete güvenlik eklemeyi düşünmeden pazara girmektedir. Şimdi, siber güvenliğin sonradan düşünülmesi yerine, CISO’lar tüm yeni tekliflerin GDPR uyumlu olmasını ve iş, yasal ve teknik açıdan tasarım gereği güvenli olmasını sağlamak için en başından itibaren dahil olacaklar.
Buna karşılık, bu da işletmeleri için bir alt çizgi artışı ile sonuçlanacaktır. Araştırmamız, bir kuruluşun kişisel verilerini koruduğuna ikna olan tüketicilerin% 39’unun daha fazla ürün satın aldığını ve sonuç olarak bu firmayla yapılan harcamaları artırdığını göstermiştir.
Bu artan harcamalar önemli, bu tüketiciler %24’e kadar daha fazla harcama yapıyor. Sonuç olarak, işletmenin CISO’yu daha önemli bir stratejik işlev olarak görmeye başlaması muhtemeldir, bu da sorumluluklarının savunma çalışmalarının ötesinde ürün ve firmanın markasını oluşturmaya kadar artacağı anlamına gelir.