GDPR'nin İşletmeler için Nasıl İyi Olabileceğine Hazırlanmak

Yayınlanan: 2018-05-24

Gizlilik ve veri koruması sadece moda sözcükler değildir. Artan sayıda veri ihlali ve siber güvenlik tehdidinden kaynaklanan ciddi tüketici endişeleridir ve bu da tüketicilerin kişisel bilgilerini tehlikeye atmakta ve tüketici güvenini sarsmaktadır.

RSA'nın beş ülkede 7.500 kişiyle yaptığı Veri Gizliliği ve Güvenliği Anketine göre, tüketiciler çevrimiçi güvenlik ihlallerine daha fazla dikkat ettiklerini bildiriyor. Ve bilgileri çalındığında şirketleri sorumlu tutuyorlar.

İşte o anketten iki önemli bulgu:

  • Ankete katılanların yüzde 73'ü, veri ihlallerinin beş yıl öncesine göre daha fazla farkında.
  • Yüzde 62'si bilgisayar korsanlarını suçlamadan önce verilerini kaybeden şirketi suçlayacaklarını söyledi.

Genel olarak tüketiciler, dijital mahremiyetlerini daha fazla koruduklarını gösteriyor. Unutmayın, tüketici verilerinin ihlali, özel bilgilerin kasıtlı olarak çalınmasını veya toplu olarak ihlal edilmesini gerektirmez. Üçüncü bir taraf, bir şirketin e-posta aboneleri listesini satın aldığında, bu listeye istenmeyen e-postalar gönderdiğinde, bu da bir veri ihlali teşkil edebilir.

Bu faaliyetlerin hiçbiri tüketiciler için pek uygun değil ve bu tüketici duyarlılıkları, şirketleri çevrimiçi tüketici verilerini nasıl koruduklarını yeniden düşünmeye zorluyor.

Bu duygular aynı zamanda hükümetleri tüketici bilgilerinin korunmasını düzenlemede daha aktif bir yaklaşım benimsemeye zorluyor. Bazı hükümetler, bu verileri kimin sakladığı önemli değil, tüketicilere verileri üzerinde daha fazla sahiplik sağlayan yasalar çıkarmaya başlıyor.

Bu düzenlemelerden biri, 25 Mayıs 2018'de yürürlüğe giren Avrupa Birliği Genel Veri Koruma Yönetmeliği'dir (GDPR). Tüketicileri, verilerine kimlerin erişebileceğine ilişkin onay vermeleri veya vermemeleri için yetki vermek üzere tasarlanan bu veri koruma standardı, ciddi zorluklar ortaya koymaktadır. e-ticaret şirketleri için.

Ancak bu, şirketlerin tüketicilerle daha iyi ilişkiler kurma fırsatı olarak karşılaması gereken bir meydan okumadır.

Tüketicilerin veri ihlalleri için bir şirketi suçlama olasılığı daha yüksekse, verilerini korumak için kendileriyle birlikte çalışan bir şirketi övme olasılıkları da daha yüksek olabilir. Bu nedenle, kuruluşların GDPR uyumluluğu için hızla çalışarak tüketicilerini korumak istediklerini göstermeleri akıllıca olacaktır.

GDPR'nin Kapsamı

Genel Veri Koruma Yönetmeliği, Avrupa Birliği'ndeki 28 üye devletin tamamında veri koruma yasalarını standart hale getirir. Düzenlemenin temel amacı, AB ülkeleri genelinde tüketici verilerinin daha tutarlı bir şekilde korunmasını sağlamaktır.

GDPR, 200'den fazla sayfa ve 90'dan fazla makale içeren çok kapsamlı bir düzenlemedir. Digital Guardian'dan Nate Lord, GDPR'nin işletmeler üzerinde önemli etkisi olacak bazı temel gereksinimlerine işaret ediyor:

  • Veri işleme için onay
  • Anonimleştirilmiş ve şeffaf veriler
  • Veri ihlallerinin bildirimleri
  • Silme hakkı
  • Veri koruma görevlileri
  • Uyumsuzluk için cezalar

MarTech Today'in belirttiği gibi, temel GDPR korumaları, tüketicilerin açık ve olumlu onayı ile yapılan açık ve özlü süreçleri ve iletişimleri zorunlu kılar. Bu amaçla GDPR, bir kişiyi doğrudan veya dolaylı olarak tanımlamak için kullanılabilecek her türlü bilgiyi korur. Bu, temel tanımlayıcı bilgileri, web verilerini, sağlık verilerini, etnik verileri ve siyasi görüşleri içerir.

GDPR uyumlu olmak için şirketler, tüketicilere özel olan tüm verileri dikkatli bir şekilde işlemeli ve tüketicilere, isterlerse bilgilerini kontrol etmeleri, izlemeleri ve silmeleri için çeşitli yollar sağlamalıdır.

GDPR, iki ana varlık grubu için geçerlidir:

  • AB'de yerleşik firmalar
  • Ücretsiz veya ücretli mal veya hizmetler sunan veya AB'de ikamet edenlerin davranışlarını izleyen AB'de yerleşik olmayan firmalar

Dolayısıyla, esas olarak ABD'li tüketicilere satış yapan ABD merkezli e-ticaret şirketleri için bile, bir AdWords yeniden hedefleme kampanyası kadar basit bir şey, AB'de ikamet edenlerin davranışlarını izlemek olarak nitelendirilebilir.

AB üyesi olmayan e-ticaret şirketleri için iki seçenek vardır: GDPR uyumluluğu elde edin veya AB tüketici pazarına erişimi tamamen kaybedin.

İkinci seçenek hantal ve dar görüşlü olacaktır. AB vatandaşlarının sitenizde vitrinlerden alışveriş yapmasını engellemek için ne kadar uğraşmanız gerektiğini bir düşünün.

Bunun yerine, akıllı hareket GDPR ile uyumlu hale gelmek ve sonuç olarak pazarlama ve satış yaptığınız tüketicilerin taleplerini yerine getirmektir.

GDPR, e-Ticaret için Neden İyidir?

Egnyte'nin kurucu ortağı ve güvenlik sorumlusu Kris Lahiri, GDPR'nin tüketicilere şirketlere emanet ettikleri veriler üzerinde önemli ölçüde daha fazla kontrol sağladığını söylüyor.

Buradaki ana fikir "güven"dir: GDPR, işletme-tüketici ilişkileri için yeni temel kurallar koymayı amaçlamaktadır ve bu yeni ortamda doğrudan tüketiciye satış başarısı, bir perakendecinin güvenilirliğini gösterme yeteneğine bağlı olacaktır. Gördüğümüz gibi, tüketicilerin yaklaşık üçte ikisi, veri koruma sorumluluğunun onu toplayan şirkete ait olduğunu savunuyor. Bu sorumluluğu yasaların gerektirdiği kadar ciddiye alarak, çevrimiçi perakendeciler tüketicilere güvenilirliklerini gösterebilirler.

Yine, GDPR sadece bir veri güvenliği önlemi değildir. Bu, şirketleri AB tüketicilerinin kendi verilerine sahip olma haklarını onurlandırmaya zorlayan ilerici bir yasadır. Bu yasa, diğer şeylerin yanı sıra, bir AB vatandaşının, önce bu konuşmayı seçmeden pazarlama mesajlarının hedefi olmama hakkına sahip olduğunu söylüyor.

Tüketici sadakatinin zamanla kazanılması gereken e-Ticaret gibi sektörlerde, bir tüketicinin mahremiyet hakkını onurlandırmak sadece iyi bir şey değildir.

Güvenin temel bir unsurudur.

Çarpıcı Rakamlar: Uyumluluk Konusunda Proaktif Olmak İçin İş Örneği

Bir kuruluşun mevcut güvenlik yapılarına ve süreçlerine ve bunların GDPR'den ne kadar farklı olduklarına bağlı olarak, işletmelerin uyumlu hale gelmesi için gereken iş yükü potansiyel olarak ağırdır. GDPR uyumluluğu ayrıca şirketler için çok maliyetli olma potansiyeline sahiptir. Mart 2018 tarihli bir Propeller Insights anketine göre, şirketlerin yüzde 36'sı GDPR uyum çabalarına 50.000 ila 100.000 ABD Doları arasında harcama yapmayı planlıyor. Diğer yüzde 24'ü ise 100.000 ila 1 milyon dolar arasında harcayacak.

Ancak, tüketiciler bir kuruluşa olan güvenlerini kaybederse, bu parasal yatırımlar iş kaybına kıyasla sönebilir. Çevrimiçi ortamda mahremiyetlerinin korunması tüketiciler için çok önemlidir ve kendilerini korumak için yeterince çaba göstermeyen şirketlere zarar verme gücüne sahiptirler.

GDPR uyumluluğu için çaba sarf eden kuruluşlar, düzenlemeleri tüketicilerle daha iyi ilişkiler kurmak için kullanabilecekleri sağlam iş uygulamalarına dönüştürebilir.

Ayrıca, iş açısından bakıldığında, uyumluluk için önceden zaman ve para yatırımı yapmak, maliyetli ihlalleri önleyerek uzun vadede şirketlerin paradan tasarruf etmesini sağlayabilir. Ponemon Enstitüsü tarafından yapılan 2017 Veri İhlali Maliyeti Araştırmasına göre, bir veri ihlalinin ortalama maliyeti 3,62 milyon dolardır. Bu, önlenebilir bir neden için önemli miktarda para.

Şirketler, GDPR'nin güvenlik gereksinimlerini uygulayarak, daha sonra yedi haneli bir meblağ ödemek zorunda kalmamak için şimdi beş haneli bir meblağ harcıyor olabilir.

GDPR Uyumluluğuna Nasıl Hazırlanılır?

GDPR'ye hazırlık kuruluşa göre değişir, ancak burada e-ticaret şirketlerinin doğru yönde ilerlemek için atabileceği birkaç temel adım var.

1. Tüm Paydaşları Dahil Edin

Yapılacak ilk şey, organizasyonun her seviyesinden ekip üyelerini içeren bir GDPR görev gücü oluşturmaktır. Şirket içinde tüketici verilerini toplayan, analiz eden, işleyen veya başka bir şekilde etkileşime giren herhangi bir grup dahil edilmelidir. Bu ekip üyeleri, GDPR uyumluluğu için gerekli değişiklikleri uygulamaya yardımcı olabilecek her türlü bilgiyi kolayca paylaşabilir ve ilgili ekipleri üzerindeki etkiyi ele alabilir.

Görev gücünü motive etmek için, Marsh & McLennan'dan Peter Beshar, şirketleri, organizasyon boyunca akan ve uyumluluğun önemini destekleyen, yönetim düzeyinde bir farkındalık ve aciliyet tonu oluşturmaya teşvik ediyor.

Daha fazla etki için yönetmeliği kişiselleştirin. Kimse özel bilgilerinin tehlikeye girmesini istemez. Uyumluluğun önemini vurgularken bu açıyı kullanın. Bunu kişiselleştirerek, ekip üyeleriniz, organizasyonu uyumlu hale getirmek için yapılması gereken çalışmanın değerini daha iyi anlayacaktır.

GDPR kapsamlıdır. Beyond the Law'ın kurucu editörü David Lat, tüm paydaşların eğitim oturumları geliştirmeyi, bilgi kaynakları sağlamayı ve çalışanlara düzenli olarak danışmayı içeren GDPR gereklilikleri konusunda eğitilmesi gerektiğini açıklıyor. Bilgilerin herkesin anlayabileceği ve materyalleri sindirebileceği şekilde sunulması çok önemlidir, bu nedenle posterler ve videolar gibi görseller GDPR'nin inceliklerini açıklamak için harika araçlar olabilir.

2. Bir SIEM Aracı uygulayın

Bilgi güvenliği şirketi AlienVault'un güvenlik savunucusu Javvad Malik'e göre GDPR, denetleyicilerin sorumlulukları altındaki tüm işleme faaliyetlerini izlemesini ve kaydetmesini gerektirir ve çoğu kuruluş bunu yapmak için bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) aracı kullanır.

Teknoloji yazarı Paul Rubens, eSecurity Planet için bir raporda, bir SIEM aracının bir donanım ve yazılım sistemleri ağından veri topladığını ve olayları ilişkilendirmek ve bir güvenlik ihlaline işaret edebilecek anormallikleri veya davranış kalıplarını tespit etmek için verileri gerçek zamanlı olarak analiz ettiğini açıklıyor. Rubens, SIEM araçlarının çeşitli cihazlarda güvenlik günlüklerini yönettiğini, tehditleri tespit ettiğini, ihlalleri önleyip tespit ettiğini ve bir güvenlik olayının nasıl meydana geldiğini ve olası etkisini belirlemek için adli kanıtlar sağladığını belirtiyor.

Malik, bir SIEM aracını uygulamadan önce, tüketicilerin kişisel bilgilerine erişimi olan tüm kritik varlıkların bir envanterini oluşturduğunuzdan emin olun, diyor Malik. Ve envantere mobil cihazları dahil etmeyi unutmayın. Mobil güvenlik şirketi Lookout, Inc. tarafından yapılan bir anket, kurumsal çalışanların yüzde 63'ünün bir mobil cihazdayken müşteri, iş ortağı ve çalışan verilerine eriştiğini gösteriyor.

Bu bilgiyi bilmek, bir SIEM sistemi tarafından veri toplanması için gerekli tüm sistemlerin dahil edilmesini sağlar.

3. Risk Değerlendirmeleri Yürütün

Çok geniş anlamda, GDPR düzenlemeleri, şirketlerin sistemlerinin karşı karşıya olduğu risklere uygun güvenlik önlemleri uygulamasını gerektirir. Düzenlemeler bilerek riski tanımlamaz, riske en iyi nasıl yaklaşılacağını ve GDPR uyumluluğunu nasıl sağlayacağını kuruluşa bırakır.

Kapsamlı bir risk değerlendirmesi, hem risklerin belirlenmesini hem de bu tanımlanan risklerle mücadele etmek için azaltma planlarının oluşturulmasını içerir. Siber güvenlik ve uyumluluk şirketi Netwrix'in EMEA genel müdürü Matt Middleton-Leal, işletmelere risk değerlendirmeleri yapma çabalarında birkaç adım öneriyor:

  • İlham almak için alternatif uyumluluk standartlarını gözden geçirin (örn. PCI, DSS).
  • Herkesin tüm veri noktalarını ve hassasiyetlerini bilmesi ve anlaması için verileri sınıflandırın.
  • Belirli riskleri belirleyin ve bunları bir risk/fayda oranı üzerinden tartın.
  • Sürekli değerlendirin.

Tüm GDPR uyum süreci boyunca hukuk ekibinize danışmak en iyisidir, ancak özellikle bu adım, hukuk departmanının çok önemli bir ortak olabileceği bir adımdır. Hukuk, risk değerlendirmenizi yönlendirmenize, devam eden planlamanıza yardımcı olabilir ve uyumluluğunuzu sürekli olarak kontrol edebilir.

4. Tehdit Tespit Kontrollerini Uygulayın

GDPR, şirketlerin güvenlik ihlallerini 72 saat içinde bildirmelerini şart koşuyor. Bu talebi karşılamak için kuruluşların, bir ihlal meydana geldiğinde anında uyarıları tetikleyecek uygun tehdit algılama kontrollerine sahip olmaları gerekir. Kontroller, bu küçük zaman aralığında yanıt vermeye yetecek kadar olmalıdır.

Veri güvenliği şirketi Imperva'dan Sara Pan, aşağıdaki gibi sorular sormanızı önerir:

  • “Verilere kim erişiyor?”
  • “Erişim kullanıcı için uygun mu?”
  • “En hızlı insidans yanıtını nasıl elde ederiz?”

Tehdit algılama, bir ayarla ve unut işlemi değildir. İç ve dış tehditler için sürekli izleme gerektirir, bu nedenle şirketlerin sürekli değerlendirmeler için süreçler oluşturması ve ayrıntılı bir olay müdahale planına sahip olması önemlidir. Müdahale planının, kaynağı ve onu içerme sürecini belirlemek için olayı araştırmaya odaklanması gerekir.

Şirketler, bu süreçleri ve planları düzenli olarak test ederek, tehditlere ve saldırılara GDPR uyumlu bir şekilde yanıt vermek için daha iyi konumlanırlar.

Bu, Tüketici Verilerinin Korunmasına Şampiyonluk Etmek İçin Bir Şanstır

GDPR, 25 Mayıs 2018'den itibaren uyumlu olmayan şirketlere para cezaları uygulamayı planlamaktadır. Kuruluşların bilmesi gereken iki ceza düzeyi vardır ve bunlar GDPREU.org'da daha ayrıntılı olarak açıklanmaktadır.

  • Alt Seviye: 10 milyon Euro'ya kadar veya önceki mali yılın dünya çapındaki yıllık gelirinin yüzde 2'si (hangisi daha yüksekse).
  • Üst Düzey: 20 milyon Euro'ya kadar veya önceki mali yılın dünya çapındaki yıllık gelirinin yüzde 4'ü (hangisi daha yüksekse).

Para cezaları ağır olsa da, şirketlerin odak noktası, cezalardan kaçınmak için kısayollar kullanmak yerine, veri koruma ve gizliliği sağlamak için uygun süreçleri uygulamaya daha fazla odaklanmalıdır. Sadece para cezalarından kaçınmak için süreçleri atlatmaya çalışan kuruluşlar, yalnızca düzenleyici kurumların değil, aynı zamanda onları iş başında tutan tüketicilerin de öfkesini riske atıyor. GDPR, işletmeleri cezalandırmak için değil, tüketicileri korumak için çıkarıldı.

Bu amaç akılda tutularak, kuruluşlar tüketicilere özel bilgileri korumayı önemsediklerini ve tüketicilerin çıkarlarını esas alan güvenlik önlemleri almaya istekli olduklarını göstermek için motive edilmelidir. Uyum için harcanan tüm enerji ve kaynaklar, tüketiciler güvendikleri şirketlerle iş yapmaya daha istekli olduklarında karşılığını verecektir.

Ancak şirketler tarafından özel bir çaba gerektirecektir. 25 Mayıs son tarihi yaklaşırken, kuruluşların GDPR uyumluluğunu aktif olarak takip etmesi gerekiyor.

Sorumluluk Reddi: Bu yayın herhangi bir hukuki tavsiye niteliği taşımamaktadır ve nitelikli bir avukattan kendi hukuki tavsiyenizi almanızı engellememelidir. Ayrıca, bu makale yasal olarak bağlayıcı bir belge değildir ve yürütme için değildir. Bu makalede sağlanan içerik değişebilir ve yürürlükteki mevzuat kapsamındaki gereklilikleri bütünüyle yansıtmaz. Scalefast, bu yayını sağlarken, yasal olarak bağlayıcı herhangi bir belgeyi yürüteceğine dair hiçbir taahhütte bulunmaz ve herhangi bir zamanda herhangi bir yükümlülük altına girmeden tartışmalardan çekilme hakkını saklı tutar.

Görüntüler: Comfreak, rawpixel.com, Ücretsiz Fotoğraflar