Alan
Alan 是 IT Governance 母公司 GRC International Group PLC 的集团首席执行官,也是公认的国际安全大师。
他还是一位屡获殊荣的作家,参与开发了广泛的信息安全和数据隐私培训课程,为全球客户提供咨询,并且是一名定期媒体评论员和演讲者。我们坐下来与他讨论 2024 年的行业挑战。
Q
距离2024年还有六个月,你认为年底前我们会遇到哪些挑战?
A
首先,到2024年,维护数据隐私和GDPR[通用数据保护条例] 合规性将变得越来越复杂,特别是对于跨多个司法管辖区运营的组织而言。
欧盟内部的 GDPR 执法,加上欧盟-美国数据隐私框架以及英国 GDPR 的计划变更,都给掌握必须要做的事情带来了挑战。
此外,美国 14 个州现已制定了自己的数据隐私法,类似 GDPR 的立法也在全球范围内激增。
除了这些隐私法之外,网络安全和网络弹性立法的数量也在激增,这些法律对组织如何履行其数据隐私义务具有额外且重大的影响
问
关于“类似 GDPR 的立法”,你能详细说明一下吗?
答:在数据隐私立法方面,GDPR 被全世界公认为“黄金标准”,为个人数据提供了其他地方无法比拟的保护水平——当然是在 2016 年,当时 GDPR 首次以其最终形式发布。
从那时起,我们看到更多类似的法律出现,包括加利福尼亚州的CPRA [加利福尼亚隐私权法案]、巴西的LGPD [一般个人数据保护法] 和日本的APPI [个人信息保护法]。
考虑到欧盟 GDPR 设定的高标准,以及该法规本身适用于欧洲经济区以外的事实,这并不奇怪:
代表欧盟数据控制者或处理者进行的个人数据处理;
处理与向欧盟居民提供商品或服务或监控其行为有关的个人数据
欧盟成员国法律根据国际公法适用。
确保遵守 GDPR 和类似法律的重要建议是什么?
所有组织的管理层应考虑以下五点:
01
检查你的隐私声明
确保它是最新的并反映你正在处理个人数据的司法管辖区。
如果你对如何处理人们的数据保持透明,那么你的整体合规性就不太可能受到质疑和合规策略。
02
检查你的营销选择退出机制
确保这些机制都正常工作,并且在内部,你清楚与人们联系的合法依据。
如果你对营销活动的合规性非常谨慎,就不太可能引发可能导致更全面调查的投诉。
即便如此,ICO(信息专员办公室)一直严格执行PECR(隐私和电子通信法规),尤其是在涉及主动营销的情况下。
03
绘制数据流图
确保你了解 1) 哪些数据流向何处,包括分包商、服务提供商和支持软件系统;
2)谁有权访问该数据;
3) 如何保护它。这确保你可以确定相关的法律义务,以及评估和改进数据安全措施
04
检查你的数据保护措施
确保它们能够胜任任务:网络基础知识和反网络钓鱼培训是简单的措施,可大大帮助你摆脱麻烦。渗透测试也非常值得投资。
05
寻找一个合规平台
使你能够经济高效地交叉映射各种监管要求,识别相关控制措施,并生成必要的政策、程序和其他文档。
这些活动的组合应该足以使组织摆脱困境。毕竟,如果你不给数据主体投诉的理由,并且避免安全漏洞,你就不太可能发现自己需要承担违反 GDPR 的后果。
网络合规
这种基于云的端到端解决方案简化了对一系列数据隐私和网络安全法律和标准的遵守,包括 GDPR:
在一处管理你的所有网络安全和数据隐私义务
立即了解关键数据和关键绩效指标
借助我们可扩展的合规解决方案,领先于监管变化
减少错误并提高风险管理流程的完整性
在隐私和安全风险成为严重问题之前识别并处理它们
文章来源于www.itgovernance.co.uk,由隐私合规交流圈 隐小私整理,转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
在线客服
微信
