כאשר אנו מציינים חמש שנים להכנסת ה-GDPR, אנו בוחנים כיצד הוא השפיע על אלה שעושים את העבודה שעליה הוא השפיע הכי הרבה. דן רייווד מדבר עם חמישה אנשים שעושים תפקידים שונים סביב אבטחת סייבר כדי להבין את ההשפעה הכוללת על עבודתם.

ג'ון ביינס, DPO, Mishcon de Reya

איך אתה מרגיש שה-GDPR השפיע על תפקידך מיום ליום בחמש השנים האחרונות?

הדבר שאנשים רבים מתגעגעים אליו ב-GDPR הוא שזה לא שינה כל כך את החוק הקיים - רוב ההגדרות, העקרונות, החובות והזכויות כבר היו קיימות תחת הדירקטיבה להגנה על מידע משנת 1995 (מיושם בבריטניה על ידי חוק הגנת הנתונים של 1998). מה שכן השתנה היה המיקוד משתי סיבות עיקריות: 1) תוכנית האכיפה GDPR הגביר באופן מסיבי את הקנסות המקסימליים הפוטנציאליים - בבריטניה, המקסימום הקודם היה 500,000 ליש"ט, וכעת הוא הפך ל-20 מיליון אירו או 4% מהמחזור השנתי העולמי, ובכמה מדינות האיחוד האירופי החוקים הקודמים שלהם אפילו לא אפשרו קנסות כלל; 2) GDPR זכה לפרסום עצום (בתמיכת מימון משמעותי של האיחוד האירופי) מה שהוביל לכך שהגנת מידע הפכה לנושא בחדר הישיבות, דבר שהיה רק ​​לעתים רחוקות אם בכלל בעבר.

ההשלכה עבור מישהו כמוני, הפועל כיועץ, היא שנעזרו בשירותי בצורה ובתדירות שמעולם לא ראיתי קודם. כשאתה מוסיף את המורכבות שהביא ברקזיט אז, עם שמירת ה-GDPR כ"GDPR של בריטניה" אך משטר מקומי חדש שכדאי לקחת בחשבון, חמש השנים האחרונות היו קדחתניות ומאתגרות (אך מעניינות מאוד!)

ברור שזה יצר את תפקיד ה-DPO. מה לגבי בקשות גישה של נושאים, האם החלק החיצוני הזה בתפקידך הוא חיוני כמו הגנת מידע פנימית פנימית?

DPOs היו קיימים לפני GDPR. אבל אתה צודק ש-GDPR שם אותם על בסיס סטטוטורי. באופן דומה, SARs לא היו משהו חדש, והם היו בעלי מעמד סטטוטורי בבריטניה מאז 1984(!), ו-DPOs ועורכי דין כבר היו רגילים לטפל בהם, אבל, מהסיבות שניתנו בתשובה הראשונה, SARs הפכו הרבה יותר ידוע לאחר כניסת ה-GDPR.

יתרה מזאת, ארגונים לא הורשו עוד לגבות את האגרה הקטנה שקודם לכן יכלו לגבות. מספרים שהתקבלו עלו בדרך כלל עבור רוב הארגונים, וגם תלונות לנציב המידע לגביהם עשו זאת.

כמי שמייעץ ללקוחות ארגוניים חיצוניים במתן מענה אליהם, אך גם מייעץ לאנשים פרטיים כיצד להכין אותם, אני יודע כמה מאתגרים הם יכולים להיות להתמודד איתם, כמה הם יכולים להיות מועילים למי שיוצר אותם, אבל גם כמה מתסכל ויקר התהליך יכול להיות לשני הצדדים. הם לא הולכים - הצעת החוק הנוכחית להגנת נתונים ומידע דיגיטלי ישמור אותם, עם תיקונים קלים ככל הנראה - וכעת יש לראות אותם כחלק מהעסקים הרגילים של רוב אם לא כולם, כמו גם כלי רב ערך עבור אנשים כאשר הם מבקשים לעמוד על זכויותיהם.

ברונווין בויל, לשעבר CISO ומומחה לאבטחת סייבר בשירותים פיננסיים

איך אתה מרגיש שה-GDPR השפיע על תפקידך מיום ליום בחמש השנים האחרונות?

בעוד שהאבטחה נתפסה לרוב כבעיה טכנולוגית, GDPR פעלה כזרז לפירוק ממגורות ולהניע גישה הוליסטית ושיתופית יותר לאבטחה. זה העלה את פרופיל האבטחה, כאשר Boards ו-C-Suites דורשים בצדק תובנה שקופה לגבי הביצועים השוטפים של בקרות האבטחה וניהול סיכונים קשורים.

רבים מאיתנו בקהילת האבטחה שמחו לראות שינוי ברור בדינמיקה. במקום להילחם כדי להשמיע מסרים, הוזמנו CISOs לשבת ליד השולחן ולתרום לאסטרטגיה ארגונית.

עד כמה השפיעה הגנת המידע הזו ותקנת פרטיות המשתמשים על אבטחת המידע הכוללת?

GDPR סיפקה הזדמנות נפלאה להעמיק את שיתוף הפעולה ולשפר את ההבנה ההדדית בין ארגונים. צוותי עסקים ואבטחה ממשיכים לעבוד בצמוד ולהבטיח שהנתונים האישיים נשמרים לאורך כל מחזור החיים שלו. זה נהדר לראות איך GDPR יכול לשמש כמסגרת משותפת להפגיש בין הצוותים השונים הנוגעים בנתונים אישיים בנקודות שונות. אני שמח לראות כיצד GDPR הניע שינוי מתמשך בשיפור שיתוף הפעולה בין תפקודיים.

GDPR פעלה כנקודת ציר תרבותית: עובדים ומשתמשי קצה כאחד הפכו מודעים יותר לערך הנתונים שלהם ולצורך לשמור אותם בטוחים באמצעות התנהגות מאובטחת. היא גם ממשיכה להניע התנהגות ארגונית טובה יותר, כאשר חברות מובאות לדין על הפרת זכויותיהם של נושאי מידע. באקלים הנוכחי של ניסויים בינה מלאכותית זוללת נתונים ואימוץ מהיר, סוג זה של הגנה נחוץ יותר מתמיד.

אדוארדו אוסטראן, ראש משותף עולמי של פרקטיקת פרטיות ואבטחת סייבר, Hogan Lovells

איך אתה מרגיש שה-GDPR השפיע על תפקידך מיום ליום בחמש השנים האחרונות?

לאחר הצונאמי הראשוני של העבודה בעקבות יישום ה-GDPR, בחמש השנים האחרונות נראו איחוד של נושאים שהפכו לסדר העדיפויות העליון מנקודת מבט של ציות. מאמצים מרכזיים הוקדשו להגשת היסודות הנכונים (מנימוקים חוקיים לשקיפות), טיפול בזכויות של יחידים וכמובן, העברות מידע בינלאומיות.

אולי החלק המרגש ביותר ב-GDPR מנקודת מבט יומיומית היה כיצד להשתלט על כמה מהחידושים שלו, כמו פריסה הערכות השפעה על הגנת מידע, סיוע ל-DPO באחריות שלהם, ועמידה בדרישות ההודעה על הפרת נתונים.

האם אתה חושב שאנשים מבינים במה מדובר, מדוע הוא הוצג ומה הוא משיג?

אנשים בהחלט מכירים בכך ש-GDPR הופך את הגנת הנתונים לאמיתית. כולם יודעים על זה ומדברים על זה, אם כי אם כולם מבינים את הניואנסים והמורכבות של החוק זה עניין אחר. עם ההכרה הבינלאומית שלו, זו הייתה ההצלחה הגדולה ביותר של ה-GDPR.

כאשר יש לך רגולציה מבוססת סיכונים, זה מאתגר להבין בבירור מה הרגולציה הזו עושה מכיוון שאותן חובות חלות בדרכים שונות בהתאם לנסיבות. מעל לכל, יש הכרה די אוניברסלית בכך שה-GDPR עוסק בטיפול במידע אישי באחריות ושהוא לא מפריע לפיתוח טכנולוגיה או עשיית עסקים.

ניל ת'אקר, CISO, נטסקופ

איך אתה מרגיש שה-GDPR השפיע על תפקידך מיום ליום בחמש השנים האחרונות?

ה-GDPR השפיע ישירות על תפקידי כ-CISO ב-Netskope - אבל זה התחיל לפני כמעט שבע שנים במונחים של הכנה ל-GDPR. בעוד שרבות מהבקרות הבסיסיות לא השתנו באופן דרסטי מה-DPA של בריטניה, החשיבות של הגנת נתונים וממשל נתונים, במיוחד בהצגה של בגרות ודיווח על פני פרק זמן זה, עלתה.

חשיבות זו הורגשה לא רק פנימית אלא גם בקרב ספקים של צד שלישי המעורבים בעיבוד כל צורה של נתונים אישיים. אנו מבטיחים שכל הספקים שלנו עומדים בדרישות מחמירות כדי להבטיח שהם, הפועלים כמעבדי משנה, עומדים גם בסטנדרטים הגבוהים שאנו מיישמים להגנת מידע.

זו הייתה חוויה חיובית מאוד, במיוחד מכיוון שיצרנו הרבה מהמשימות הכרוכות בניהול ספקים, אבטחת זרימות נתונים חדשות והגנה על נתונים אישיים בזמן מנוחה ובתנועה.

דומיניק פוגל, מייסד ואסטרטג ראשי, Cyber.sc

האם אתה מרגיש שה-GDPR השפיע על אופן העבודה שלך בחמש השנים האחרונות?

התשובה הקצרה היא בהחלט! העבודה שלי מתמקדת בעיקר בחברות קטנות ובינוניות בתחום ה-B2B, וזה הבדל בין לילה ויום לאופן העדיפות של הפרטיות. כל אחד מהלקוחות שלי שרוצה להיות בעל נוכחות באירופה בונה אוטומטית מתוך מחשבה על פרטיות; אפילו ארגונים שאין להם עסקים באירופה עשויים למכור לארגונים שכן, וכתוצאה מהאופן שבו GDPR השתלב בבדיקת נאותות רחבה יותר של שרשרת האספקה, ארגונים אלה מוצאים את עצמם צריכים להוכיח תאימות ל-GDPR.

האם הייתה הבנה של מה ה-GDPR שואף להשיג מחוץ לאירופה?

במידה מסוימת, ההבנה בהחלט משתנה לפי מגזר: יש כיום חברות SMB שיש להן תוכניות פרטיות מוצקות ומשלבות פרטיות בתכנון. זה לא היה המצב קודם. GDPR פתח עידן משמעותי יותר של דיוני פרטיות כאן בצפון אמריקה. כתוצאה מכך, אנו רואים חקיקה וחוקי פרטיות משופרים ומודרניים יותר.

יש ספקולציות שאפשר ליצור תקנות אחרות כדי לשכפל את ה-GDPR. האם אתה רואה עדות ישירה לכך?

לא הייתי אומר שראיתי שום "ראיה ישירה", אבל מכיוון שהטכנולוגיה משתנה ומתפתחת במהירות (AI מישהו?), יש צורך לשמור על חוקי הפרטיות כמו GDPR עדכניים ומעודכנים. אנחנו לא יכולים עוד לכתוב חוקי פרטיות שיכולים להישאר ללא שינוי במשך עשרות שנים. הם יצטרכו להיות זריזים יותר ולרענן לעתים קרובות יותר כדי לעמוד בקצב הטכנולוגיה.

מחשבות סופיות

בהתחשב בהשפעת ה-GDPR, ברור שרגולציה זו הביאה לשינויים משנים בשיטות הגנת מידע ברחבי העולם. GDPR העצים אנשים, קבע סטנדרטים גבוהים יותר וטיפח דיאלוג עולמי בנושא פרטיות ואבטחת מידע.

ההרמוניה של חוקי הגנת המידע במדינות החברות באיחוד האירופי הייתה הישג משמעותי, ומספקת מסגרת אחידה לעסקים ולאנשי מקצוע בתחום הפרטיות. זה מפשט את מאמצי הציות ומבטיח סטנדרטים עקביים מעבר לגבולות ולחברות. הרמוניזציה זו צריכה לשמש מודל לתקינה נוספת, לשיפור האכיפה ולאפשר הבנה ויישום טובים יותר של התקנות.

עם מעל 140 פרטיות מידע התקנות הפועלות כעת ברחבי העולם, עם זאת, יש הרמוניזציה מועטה עבור עסקים שחייבים לציית או להוכיח עמידה בתקנות האזוריות והספציפיות הרבות הללו, מחוץ לתקנות ה-GDPR. במהלך חמש השנים הבאות, ניהול מורכבות התאימות יהיה אתגר מתמשך.

למרות שאתגרי ציות עשויים להיראות מרתיעים, חיוני להכיר בערכה של תוכנת ניהול תאימות יעילה. יישום איתן של תוכנת תאימות מייעל תהליכים, מבטל משימות שחוזרות על עצמן ומאפשר לארגונים להתמקד בפערים ספציפיים בציות. על ידי מינוף תוכנת ציות, עסקים יכולים לחסוך זמן ומשאבים יקרים, לשפר את היעילות הפנימית ולספק לרגולטורים הוכחות לציות.

בשבוע שבו קיבלה Meta קנס של 1.2 מיליארד דולר בגין הפרות GDPR, זוהי תזכורת בזמן לארגונים לתעדף ציות. זה גם מעביר מסר ברור - עשה סדר בבית שלך! ארגונים שיבצעו זאת היטב יפתחו יתרונות הרבה מעבר לציות לרגולציה. מידע טוב הוא עסק טוב.