Minggu lalu penting bagi Anda dan informasi pribadi Anda, baik Anda tinggal di UE atau tidak.
GDPR, Peraturan Perlindungan Data Umum yang menetapkan pedoman tentang bagaimana informasi pribadi warga negara Uni Eropa dikumpulkan dan diproses, sekarang resmi. Itu ide yang bagus - aturan yang seragam tentang bagaimana informasi Anda dikumpulkan, bagaimana itu disimpan, dan bagaimana Anda bisa mengambilnya kembali, sudah lama tertunda. Telah ada (dan akan terus menjadi) banyak diskusi tentang apa yang baik, buruk dan buruk tentang GDPR, tetapi kebanyakan orang yang bekerja di keamanan informasi setuju bahwa tujuannya beritikad baik dan akan memberikan jenis perlindungan yang kita semua butuhkan dalam abad ke-21.
Banyak situs web populer tidak tersedia untuk pengunjung Eropa karena Anda tidak mematuhi GDPR.
Namun, artikel individual GDPR tidak dipuji secara universal. Setelah diberlakukan pada hari Jumat, 25 Mei, kita telah melihat dampaknya: New York Daily News, Chicago Tribune, LA Times dan situs web terkemuka lainnya sekarang tidak tersedia di negara-negara yang dicakup oleh peraturan GDPR karena mereka tidak siap dengan aturan baru. Banyak situs web dan layanan online lain telah membombardir pengguna dengan persyaratan baru untuk disetujui, dan keluhan telah diajukan terhadap raksasa teknologi terkemuka Google dan Facebook karena mereka tidak menawarkan layanan gratis tanpa mengizinkan pengguna untuk memilih keluar dari pengumpulan data.
Lainnya: Google membuatnya lebih mudah untuk memahami dan mengelola data pengguna yang dikumpulkannya {.cta.large}
Masalah seperti ini tidak mengejutkan. Juga tidak ada sentimen bahwa layanan berbasis cloud akan kehilangan pendapatan dan dipaksa untuk menaikkan harga sebagai hasil dari GDPR, yang menurut separuh peserta Infosecurity Europe 2018 akan segera terjadi. Mereka juga merasa bahwa GDPR akan menahan inovasi karena organisasi kecil tidak akan mampu membayar infrastruktur yang diperlukan untuk patuh. Ini adalah diskusi yang baik oleh orang-orang yang perlu mendiskusikannya. Privasi yang lebih baik sepadan dengan jam bolak-balik yang dibutuhkan untuk memperbaikinya.
Tapi ada satu bagian dari GDPR yang saya pikir akan lebih banyak merusak daripada kebaikan - aturan pelaporan 72 jam Pasal 33. Anda dapat membaca teks selengkapnya di sini, tetapi intinya adalah bahwa perusahaan yang membuat identifikasi pribadi warga negara Uni Eropa bertanggung jawab penuh atas segala pelanggaran keamanan, apa pun alasannya, dan harus memberikan pengungkapan penuh kepada komite pengawas dalam waktu 72 jam dari pelanggaran. Tidak ada yang hebat tentang aturan ini, tetapi dua bagian akan mengarah pada penyedia layanan yang menutupi pelanggaran data daripada melaporkannya secara bertanggung jawab.
Yang pertama adalah komite pengawas. Negara yang berbeda memiliki cara yang berbeda dalam mengatur warga negara mereka, tetapi satu hal yang mereka semua miliki adalah perlakuan istimewa dalam hal menciptakan dan mengatur staf komite resmi. Teman seorang teman atau sepupu ketiga yang tidak bisa berhenti meminta selebaran adalah kandidat utama untuk setiap kursi komite, dan ketika tujuan utama adalah melindungi data pengguna, hanya individu yang paling berkualitas yang harus dipertimbangkan. Mari berharap apa yang dilakukan di sini dan peraturan dapat diadaptasi dan ditegakkan oleh orang-orang yang memiliki kepentingan terbaik kami dan berkualifikasi.
Perusahaan kecil tanpa sumber daya yang diperlukan untuk melakukan investigasi pelanggaran penuh dapat memilih untuk menutupinya.
Masalah yang lebih besar adalah pelaporan paksa 72 jam. Bahkan organisasi Fortune 500 yang sepenuhnya staf tidak akan cukup tahu tentang pelanggaran data untuk mulai mengajukan laporan dengan lembaga pemerintah. Mengingat waktu yang begitu singkat, mengharapkan sedikit lebih dari petugas keamanan informasi perusahaan mengatakan ada pelanggaran dan kami belum yakin dengan rincian. Itu sedikit lebih dari buang-buang waktu untuk semua orang yang terlibat, dan saya lebih suka waktu itu dihabiskan untuk mencoba mencari tahu mengapa, bagaimana, kapan, dan siapa yang mengelilingi segala jenis pelanggaran data.
Perusahaan yang lebih kecil yang mungkin sudah berjuang untuk memenuhi kepatuhan GDPR akan tergoda untuk menyelidiki jika itu dapat menahan pelanggaran dan mengurangi kerusakannya sendiri tanpa ada laporan. Saat Anda berada di bawah tekanan dan kekurangan tenaga, penutup mata bisa terdengar seperti opsi yang tepat.
Jelas, tidak pernah ada. Tetapi perusahaan-perusahaan besar dan kecil telah dikenal untuk memilih opsi yang salah berkali-kali ketika datang ke kawat. Setiap peraturan yang dirancang untuk melindungi pengguna dari perusahaan yang membuat keputusan buruk lebih baik tanpa aturan yang dapat mendorong mereka untuk melakukan hal itu.
Pelaporan data pencurian yang bertanggung jawab dan segera adalah suatu keharusan. Memaksa perusahaan yang memanen dan menyimpan data kami untuk melakukan hal yang benar tidak akan banyak gunanya tanpanya. Membuat komite pengawas yang tepat diisi dengan orang-orang yang tepat untuk merevisi bagaimana pembobolan diperlakukan - atau bahkan menawarkan bantuan ketika mereka terjadi - akan membuat GDPR template untuk seluruh dunia untuk diikuti.
