Przygotowanie się na to, jak RODO może być dobre dla biznesu

Opublikowany: 2018-05-24

Prywatność i ochrona danych to nie tylko modne hasła. Są to poważne obawy konsumentów, które wynikają z rosnącej liczby naruszeń danych i zagrożeń bezpieczeństwa cybernetycznego, które następnie zagrażają informacjom osobowym konsumentów i podważają zaufanie konsumentów.

Według ankiety RSA dotyczącej prywatności i bezpieczeństwa danych, która objęła 7500 osób w pięciu krajach, konsumenci zgłaszają, że zwracają większą uwagę na naruszenia bezpieczeństwa online. I pociągają firmy do odpowiedzialności, gdy ich informacje zostaną skradzione.

Oto dwa kluczowe wnioski z tej ankiety:

  • 73 procent respondentów jest bardziej świadomych naruszeń bezpieczeństwa danych niż pięć lat temu.
  • 62 procent powiedziało, że obwiniałoby firmę, która utraciła ich dane, zanim obwiniłaby hakerów.

Na całym świecie konsumenci pokazują, że coraz bardziej chronią swoją cyfrową prywatność. Pamiętaj, że naruszenie danych konsumenta nie musi wiązać się z umyślną kradzieżą lub masowym naruszeniem prywatnych informacji. Kiedy osoba trzecia kupuje listę subskrybentów poczty e-mail firmy, a następnie wysyła niechciane wiadomości e-mail na tę listę, może to również stanowić naruszenie danych.

Żadna z tych czynności nie odpowiada konsumentom, a te nastroje konsumenckie zmuszają firmy do ponownego przemyślenia, w jaki sposób chronią dane konsumentów w Internecie.

Nastroje te zmuszają również rządy do aktywniejszego podejścia do regulowania ochrony informacji konsumenckich. Niektóre rządy zaczynają wprowadzać przepisy, które dają konsumentom większą własność ich danych, bez względu na to, kto je przechowuje.

Jednym z takich przepisów jest ogólne rozporządzenie Unii Europejskiej o ochronie danych (RODO), które wchodzi w życie 25 maja 2018 r. Ten standard ochrony danych — mający na celu wzmocnienie pozycji konsumentów, aby mogli wyrażać lub odmawiać zgody na to, kto może uzyskać dostęp do ich danych — stwarza poważne wyzwania dla firm eCommerce.

Jest to jednak wyzwanie, które firmy powinny przyjąć jako okazję do nawiązania lepszych relacji z konsumentami.

Jeśli konsumenci są bardziej skłonni obwiniać firmę o naruszenie danych, mogą również częściej chwalić firmę, która współpracuje z nimi w celu ochrony ich danych. W związku z tym organizacje byłyby mądre, aby pokazać, że chcą chronić swoich konsumentów, działając szybko na rzecz zgodności z RODO.

Zakres RODO

Ogólne rozporządzenie o ochronie danych standaryzuje przepisy dotyczące ochrony danych we wszystkich 28 państwach członkowskich Unii Europejskiej. Głównym celem rozporządzenia jest stworzenie bardziej spójnej ochrony danych konsumentów w krajach UE.

RODO to bardzo obszerne rozporządzenie, zawierające ponad 200 stron i ponad 90 artykułów. Nate Lord z Digital Guardian wskazuje niektóre z kluczowych wymagań RODO, które będą miały znaczący wpływ na firmy:

  • Zgoda na przetwarzanie danych
  • Anonimowe i przejrzyste dane
  • Powiadomienia o naruszeniach danych
  • Prawo do usunięcia
  • Inspektorzy ochrony danych
  • Kary za nieprzestrzeganie przepisów

Jak zauważa MarTech Today, w swojej istocie zabezpieczenia RODO wymuszają jasne i zwięzłe procesy i komunikację, które są realizowane za wyraźną i pozytywną zgodą konsumentów. W tym celu RODO chroni wszelkie informacje, które można wykorzystać do bezpośredniej lub pośredniej identyfikacji osoby. Obejmuje to podstawowe informacje identyfikacyjne, dane sieciowe, dane dotyczące zdrowia, dane etniczne i opinie polityczne.

Aby zachować zgodność z RODO, firmy muszą ostrożnie obchodzić się z wszelkimi danymi osobowymi konsumentów i zapewniać konsumentom różne sposoby kontrolowania, monitorowania i usuwania swoich informacji, jeśli tak zdecydują.

RODO dotyczy dwóch podstawowych grup podmiotów:

  • Firmy zlokalizowane w UE
  • Firmy spoza UE, które oferują bezpłatne lub płatne towary lub usługi lub które monitorują zachowanie mieszkańców UE

Tak więc nawet w przypadku firm handlu elektronicznego z siedzibą w USA, które sprzedają głównie klientom amerykańskim, coś tak prostego jak kampania retargetingowa AdWords może kwalifikować się jako monitorowanie zachowania mieszkańców UE.

W przypadku firm handlu elektronicznego spoza UE istnieją dwie opcje: uzyskanie zgodności z RODO lub całkowita utrata dostępu do rynku konsumenckiego UE.

Druga opcja byłaby kłopotliwa i krótkowzroczna. Pomyśl tylko, ile pracy wymagałoby zablokowanie obywatelom UE możliwości przeglądania witryn w Twojej witrynie.

Zamiast tego mądrym posunięciem jest uzyskanie zgodności z RODO — a co za tym idzie, uszanowanie wymagań konsumentów, którym sprzedajesz i sprzedajesz.

Dlaczego RODO jest dobre dla handlu elektronicznego

Kris Lahiri, współzałożyciel i dyrektor ds. bezpieczeństwa w Egnyte, mówi, że RODO daje konsumentom znacznie większą kontrolę nad danymi, które powierzyli firmom.

Kluczową ideą jest tutaj „zaufanie”: RODO ma na celu ustanowienie nowych podstawowych zasad dotyczących relacji między przedsiębiorstwami a konsumentami, a w tym nowym krajobrazie sukces sprzedaży bezpośredniej do konsumenta będzie zależał od zdolności sprzedawcy do wykazania wiarygodności. Jak widzieliśmy, prawie dwie trzecie konsumentów twierdzi, że odpowiedzialność za ochronę danych spada na firmę, która je zbiera. Traktując tę ​​odpowiedzialność tak poważnie, jak wymaga tego prawo, sprzedawcy internetowi mogą wykazać konsumentom swoją wiarygodność.

Ponownie, RODO nie jest po prostu środkiem bezpieczeństwa danych. Jest to postępowe prawo, które zmusza firmy do poszanowania praw konsumentów UE do posiadania własnych danych. Prawo to mówi między innymi, że obywatel UE ma prawo nie być celem wiadomości marketingowych bez uprzedniego włączenia się w tę rozmowę.

W branżach takich jak handel elektroniczny, w których na lojalność konsumentów trzeba z czasem zapracować, poszanowanie prawa konsumenta do prywatności nie jest tylko dobrą rzeczą.

To podstawowy element zaufania.

Krytyczne liczby: uzasadnienie biznesowe za proaktywnym podejściem do zgodności

Nakład pracy na firmy związane z zapewnieniem zgodności jest potencjalnie duży, w zależności od obecnych struktur i procesów bezpieczeństwa w organizacji oraz tego, jak bardzo różnią się one od RODO. Zgodność z RODO może również być bardzo kosztowna dla firm. Według ankiety Propeller Insights z marca 2018 r. 36 procent firm planuje wydać od 50 000 do 100 000 USD na działania związane z zapewnieniem zgodności z RODO. Kolejne 24 procent wyda od 100 000 do 1 miliona dolarów.

Ale te inwestycje pieniężne mogą blednąć w porównaniu z utratą biznesu, jeśli konsumenci stracą zaufanie do organizacji. Ochrona prywatności w Internecie ma kluczowe znaczenie dla konsumentów i mogą oni zaszkodzić firmom, które nie robią wystarczająco dużo, aby ich chronić.

Podejmując wysiłki na rzecz zgodności z RODO, organizacje mogą przekształcić regulacje w solidne praktyki biznesowe, które mogą wykorzystać do budowania lepszych relacji z konsumentami.

Ponadto z perspektywy biznesowej zainwestowanie czasu i pieniędzy z góry na zapewnienie zgodności może na dłuższą metę zaoszczędzić firmom pieniędzy, zapobiegając kosztownym naruszeniom. Według badania Cost of Data Breach Study przeprowadzonego przez Ponemon Institute w 2017 r. średni koszt naruszenia danych wynosi 3,62 mln USD. To znaczna kwota na przyczynę, której można zapobiec.

Wdrażając wymagania bezpieczeństwa RODO, firmy mogą teraz wydawać pięciocyfrową sumę, aby uniknąć konieczności płacenia później siedmiocyfrowej kwoty.

Jak przygotować się na zgodność z RODO

Przygotowanie do RODO będzie się różnić w zależności od organizacji, ale oto kilka podstawowych kroków, które firmy eCommerce mogą podjąć, aby iść we właściwym kierunku.

1. Zaangażuj wszystkich interesariuszy

Pierwszą rzeczą do zrobienia jest utworzenie grupy zadaniowej RODO, która obejmuje członków zespołu z każdego poziomu organizacji. Należy uwzględnić każdą grupę w firmie, która gromadzi, analizuje, przetwarza lub w inny sposób wchodzi w interakcję z danymi konsumentów. Ci członkowie zespołu mogą łatwo udostępniać wszelkie informacje, które mogą być pomocne we wdrażaniu niezbędnych zmian w celu zapewnienia zgodności z RODO, a także radzić sobie z wpływem na ich zespoły.

Aby zmotywować grupę zadaniową, Peter Beshar z firmy Marsh & McLennan zachęca firmy do nadania tonu świadomości i pilności na poziomie wykonawczym, który spływa po organizacji i promuje znaczenie zgodności.

Spersonalizuj rozporządzenie, aby uzyskać większy wpływ. Nikt nie chce, aby jego prywatne informacje zostały naruszone. Używaj tego kąta, gdy podkreślasz znaczenie przestrzegania przepisów. Dzięki temu, że jest to osobiste, członkowie zespołu lepiej zrozumieją wartość pracy, którą należy wykonać, aby organizacja była zgodna.

RODO jest obszerne. Wszyscy interesariusze muszą zostać przeszkoleni w zakresie wymagań RODO, co obejmuje opracowywanie szkoleń, zapewnianie zasobów informacyjnych i regularne konsultacje z pracownikami – wyjaśnia David Lat, redaktor założyciel Above the Law. Ważne jest, aby informacje były prezentowane w taki sposób, aby każdy mógł zrozumieć i przetrawić materiały, więc wizualizacje, takie jak plakaty i filmy, mogą być świetnym narzędziem do wyjaśniania zawiłości RODO.

2. Zaimplementuj narzędzie SIEM

RODO wymaga od administratorów śledzenia i rejestrowania wszystkich czynności przetwarzania w ramach ich obowiązków, a większość organizacji wykorzystuje w tym celu narzędzie do zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM), zauważa Javvad Malik, rzecznik ds. bezpieczeństwa w firmie AlienVault zajmującej się bezpieczeństwem informacji.

Narzędzie SIEM zbiera dane z sieci systemów sprzętowych i programowych i analizuje je w czasie rzeczywistym, aby skorelować zdarzenia i wykryć anomalie lub wzorce zachowań, które mogą wskazywać na naruszenie bezpieczeństwa, wyjaśnia autor technologii Paul Rubens w raporcie dla eSecurity Planet. Narzędzia SIEM zarządzają dziennikami bezpieczeństwa na różnych urządzeniach, wykrywając zagrożenia, zapobiegając i wykrywając naruszenia, a także dostarczając dowody kryminalistyczne w celu ustalenia, w jaki sposób doszło do zdarzenia bezpieczeństwa i jego potencjalnego wpływu, zauważa Rubens.

Przed wdrożeniem narzędzia SIEM należy utworzyć spis wszystkich krytycznych zasobów, które mają dostęp do danych osobowych konsumentów, sugeruje Malik. I nie zapomnij uwzględnić urządzeń mobilnych w ekwipunku. Z ankiety przeprowadzonej przez firmę Lookout, Inc. zajmującą się bezpieczeństwem mobilnym wynika, że ​​63% pracowników przedsiębiorstw uzyskuje dostęp do danych klientów, partnerów i pracowników podczas korzystania z urządzenia mobilnego.

Znajomość tych informacji zapewnia, że ​​wszystkie niezbędne systemy są uwzględniane w celu gromadzenia danych przez system SIEM.

3. Przeprowadź ocenę ryzyka

W bardzo szerokim znaczeniu przepisy RODO nakładają na firmy obowiązek wdrożenia środków bezpieczeństwa, które są adekwatne do zagrożeń, przed którymi stoją ich systemy. Przepisy celowo nie definiują ryzyka, pozostawiając organizacji określenie najlepszego podejścia do ryzyka i osiągnięcia zgodności z RODO.

Dokładna ocena ryzyka obejmuje zarówno identyfikację zagrożeń, jak i tworzenie planów łagodzenia w celu zwalczania tych zidentyfikowanych zagrożeń. Matt Middleton-Leal, dyrektor generalny na region EMEA w firmie Netwrix zajmującej się cyberbezpieczeństwem i zgodnością, sugeruje firmom kilka kroków w ich wysiłkach zmierzających do przeprowadzenia oceny ryzyka:

  • Przejrzyj alternatywne standardy zgodności dla inspiracji (np. PCI, DSS).
  • Klasyfikuj dane tak, aby wszyscy znali i rozumieli wszystkie punkty danych oraz ich wrażliwość.
  • Zidentyfikuj określone ryzyka i rozważ je na podstawie stosunku ryzyka do korzyści.
  • Oceniaj w sposób ciągły.

Najlepiej konsultować się ze swoim zespołem prawnym przez cały proces zgodności z RODO, ale w szczególności na tym etapie prawo może być kluczowym partnerem. Dział prawny może pomóc pokierować oceną ryzyka, pomóc w bieżącym planowaniu i stale kontrolować zgodność z przepisami.

4. Wdrożenie kontroli wykrywania zagrożeń

RODO wymaga od firm zgłaszania naruszeń bezpieczeństwa w ciągu 72 godzin. Aby sprostać temu zapotrzebowaniu, organizacje muszą dysponować odpowiednimi mechanizmami wykrywania zagrożeń, które uruchamiają natychmiastowe alerty w przypadku wystąpienia naruszenia. Kontrole muszą być wystarczające, aby umożliwić reakcję w tym krótkim czasie.

Sara Pan z firmy Imperva zajmującej się bezpieczeństwem danych sugeruje zadawanie pytań takich jak:

  • „Kto ma dostęp do danych?”
  • „Czy dostęp jest odpowiedni dla użytkownika?”
  • „Jak osiągnąć najszybszą reakcję na częstość występowania?”

Wykrywanie zagrożeń nie jest procesem typu „ustaw i zapomnij”. Wymaga ciągłego monitorowania pod kątem zagrożeń wewnętrznych i zewnętrznych, dlatego ważne jest, aby firmy stworzyły również procesy ciągłej oceny i miały szczegółowy plan reagowania na incydenty. Plan reagowania musi koncentrować się na zbadaniu incydentu, aby określić źródło i proces jego powstrzymania.

Regularne testowanie tych procesów i planów pozwala firmom lepiej reagować na zagrożenia i ataki w sposób zgodny z RODO.

To szansa na mistrza ochrony danych konsumenckich

RODO planuje nałożyć kary pieniężne na firmy, które nie przestrzegają przepisów, począwszy od 25 maja 2018 r. Istnieją dwa poziomy grzywien, o których organizacje muszą być świadome i które zostały szczegółowo wyjaśnione na stronie GDPREU.org.

  • Niższy poziom: do 10 milionów euro lub 2% światowych rocznych przychodów z poprzedniego roku finansowego, w zależności od tego, która wartość jest wyższa.
  • Wyższy poziom: do 20 milionów euro lub 4% światowych rocznych przychodów z poprzedniego roku finansowego, w zależności od tego, która wartość jest wyższa.

Chociaż grzywny są wysokie, firmy powinny bardziej skupić się na wdrażaniu odpowiednich procesów w celu zapewnienia ochrony danych i prywatności, a nie na skrótach tylko po to, by uniknąć kar. Próbując obejść procesy tylko w celu uniknięcia kar, organizacje ryzykują gniew nie tylko organów regulacyjnych, ale także konsumentów, którzy utrzymują je w biznesie. RODO nie zostało uchwalone po to, by karać przedsiębiorców, ale by chronić konsumentów.

Mając na uwadze ten cel, organizacje powinny być zmotywowane, aby pokazać konsumentom, że zależy im na ochronie prywatnych informacji i są gotowe wprowadzić środki bezpieczeństwa, które mają na celu dobro konsumentów. Cała energia i zasoby wydane na zapewnienie zgodności zwrócą się, gdy konsumenci będą bardziej skłonni do prowadzenia interesów z firmami, którym ufają.

Ale będzie to wymagało poświęcenia wysiłków firm. W obliczu zbliżającego się terminu 25 maja organizacje muszą aktywnie dążyć do zgodności z RODO.

Zastrzeżenie: Niniejsza publikacja nie stanowi porady prawnej i nie powinna uniemożliwiać uzyskania własnej porady prawnej od wykwalifikowanego prawnika. Ponadto artykuł ten nie jest dokumentem prawnie wiążącym i nie jest przeznaczony do wykonania. Treść podana w tym artykule może ulec zmianie i nie odzwierciedla w całości wymagań wynikających z obowiązujących przepisów. Dostarczając tę ​​publikację, Scalefast nie składa żadnych oświadczeń, że wykona jakikolwiek prawnie wiążący dokument i zastrzega sobie prawo do wycofania się z dyskusji bez ponoszenia jakiejkolwiek odpowiedzialności w dowolnym momencie.

Zdjęcia: Comfreak, rawpixel.com, Free-Photos