GDPR及其對您的網絡安全戰略的影響
歐盟通用數據保護條例(GDPR)規定了組織必須採取的許多措施來保護屬於歐盟居民的個人數據。域外法律適用於歐盟以外的組織,自2018年5月25日起由歐盟監管機構執行。
網絡犯罪正在以極快的速度發展,這意味著法規和立法通常很難跟上不斷變化的安全格局。歐盟的通用數據保護法規(GDPR)提供了一個機會,可以擴大規模並推動網絡安全與合規之間的更大融合 – 這兩個領域通常被企業領導者視為不同。
GDPR影響的10個關鍵事項
1.增加個人對數據隱私的期望以及組織遵循既定網絡安全實踐的義務。
2.因不遵守規定而處以高額罰款。嚴重違反GDPR的行為,例如導致公眾暴露敏感個人信息的數據安全性差,可能會導致數百萬甚至數十億美元的罰款(有兩層違規行為,更高等級的行為將受到超額罰款2000萬歐元或公司淨收入的4%)。
3.提供詳細且要求嚴格的違規通知要求。當局和受影響的客戶都需要“在沒有不當延誤的情況下得到通知,並且在可行的情況下,不得遲於知道[違規]後72小時”。習慣於美國國家數據洩露報告的美國受影響公司可能需要調整其違規通知政策和程序,以避免違反GDPR。
4.要求許多組織指定數據保護官(DPO)。如果您的核心活動(包括數據控制器或數據處理器)涉及“大規模定期和系統地監控數據主體”,您將需要指定DPO。對於已經擁有首席隱私官的公司,使該人員成為DPO有意義,但如果組織中沒有CPO或類似職位,則需要創建DPO角色。
5.加強同意的定義。數據主體必須通過自由明確的聲明或肯定性行動,確認他們同意您使用其個人數據。換句話說:沉默,預先勾選的框或不活動不再構成同意。
6.廣泛了解個人數據的構成,可能包含Cookie,IP地址和其他跟踪數據。
7.改變被遺忘的權利,以便個人可以要求您的組織刪除他們的個人數據。尚未擁有滿足此類請求的流程的組織需要對此進行處理。
8.使數據主體有權以通用格式接收數據,並要求將其數據傳輸到另一個控制器。尚未擁有滿足此類請求的流程的組織需要對此進行處理。
9.清楚地表明數據控制器對他們選擇的數據處理器的操作負責。 (控制器- 處理器之間的關係應受合同的約束,該合同詳細說明所涉及的數據類型,其目的,使用,保留,處置和保護性安全措施。對於美國公司,請考慮HIPAA下的涵蓋實體和業務夥伴。)
10.增加16歲以下兒童的父母同意要求。