Hva vi trenger å gjøre for en vellykket overholdelse og skystyring
En del av et stort antall popup-vinduer som forstyrrer din nettopplevelse, er det General Data Protection Regulation (GDPR) har gitt oss det lenge tiltrengte fokuset på personvern og sikkerhetsproblemer på nettet. Denne mest omfattende reguleringen implementert så langt er etablert for å gi et høyere nivå av kontroll over brukerdata, ikke til juridiske personer, men til de som faktisk trengte det – brukerne. Forordningen trådte i kraft i mai 2018, og forpliktet selskaper og institusjoner til å gjøre det de burde ha gjort i utgangspunktet – å bruke felles personvern- og sikkerhetsstandarder og gi åpenhet i hvordan de håndterer sårbare data fra brukere innenfor og utenfor EU.
Til tross for de komplekse prosedyrene og samsvarsproblemene som måtte løses for å gjøre implementeringen av reguleringen vellykket, utløste dette et lignende initiativ over Atlanterhavet også, i form av California Consumer Privacy Act fra 2018. Loven har blitt mye kritisert som forhastet og overfladisk, sammenlignet med GDPR som var et produkt av år med planlegging og forberedelser. Ikke desto mindre reiste det igjen viktige spørsmål angående de etiske og operasjonelle aspektene ved databeskyttelse og skystyring.
Overholdelse av GDPR-prinsippene medfører naturligvis behovet for avanserte programvareløsninger som vil gjøre et sett med arkiverings-, sikkerhets- og datakontrollverktøy til et stabilt system.
Gitt det faktum at de fleste virksomheter mangler den nødvendige opplæringen og forståelsen av disse prosessene, hva er de viktigste aspektene som må være bekymret for en godt planlagt og nøye implementering av GDPR?
Omfattende lesning: Seks måneder med GDPR: Hva vi har lært om overholdelse, og hva du bør gjøre med det
Automasjon
En av de viktigste aspektene ved skystyring setter absolutt personvern i stedet for en vellykket forretningsorganisasjon. Privacy by Design ber om å etablere nødvendige tiltak for å gi personvern i alle trinn i alle forretningsprosesser, inkludert programvare- og produktutvikling, IT-systemer, interne prosjekter etc. På den annen side sikrer Privacy by Default at ved lansering av et produkt eller en tjeneste, brukes de strengeste personverninnstillingene som standard, uten manuelle innstillinger gjort av brukeren. Dermed er intensjonen med nye personvernportaler å kartlegge alle datakilder effektivt og gi synlighet og kontroll til sluttbrukeren.
Ombygging av virksomhet
Ettersom GDPR forhindrer deling av mer brukerdata enn nødvendig, gjør det å selge data ekstremt vanskelig ettersom det ber om dokumentasjon som angir et selskaps rett og gyldige grunn til å manipulere dataene på en slik måte (forhåpentligvis forhindrer en ny Cambridge Analytica-skandale). Dette påvirker de eksisterende forretningsmodellene drastisk, så vi kan være vitne til det økende antallet freemium-forretningsmodeller i fremtiden.
Beskyttelse og motivasjon
Popup-vinduer er irriterende, men de er den minst komplekse tingen å møte innen GDPR-implementering. Hele prosessen krever betydelige forretningsendringer som påvirker alle i virksomhetens økosystem, både ansatte og brukere. Derfor må argumentasjonen for det være tydelig forklart, og både team og kunder må beskyttes og motiveres til å ta sin del i prosessen, for deres egen skyld. Sikkerhets- og databeskyttelsestiltak må bli en integrert del av virksomheten din og alle forretningsprosesser. Og alle må være med for å få det til.
IAM, CIAM, hvem er jeg?
Identity & Access Management (IAM) og Customer Identity & Access Management (CIAM) håndterer sikkerhetsspørsmål, både innenfra og utenfra. IAM takler med autentiseringspolicyer og ansattes legitimasjon for å forhindre sikkerhetsbrudd eller kompromitterte data i systemet. Mens CIAM tar sikte på å lette personaliseringen av brukeropplevelsen, påloggings- og kontoadministrasjonsfunksjoner, og gir brukerne et høyere kontrollnivå. Det avgjørende å tenke på når du velger et bestemt IAM- eller CIAM-verktøy, er balansen mellom det optimale sikkerhetsnivået og den effektive brukeropplevelsen.
Åpenhet
Bortsett fra åpenheten i databruk og sikkerhetstiltak som brukes, er bedrifter nå forpliktet til å informere brukerne om eventuelle brudd og systembrudd, samt krisehåndteringstrinn tatt i prosessen. Dette kan virke som en vei til å miste kunder og inntekter, men i det lange løp skaper dette faktisk et høyere nivå av tillit og forhindrer å tape penger på bøter forutsagt av loven.