In den letzten zehn Jahren hat sich die datenschutzbezogene Gesetzgebung erheblich weiterentwickelt. Die „Datenschutzbranche“ hat eine Metamorphose durchlaufen, die in vielen anderen Disziplinen nicht zu beobachten ist. Wenn wir jetzt über die Zukunft nach der Pandemie nachdenken, müssen wir erkennen, dass es für alle von grundlegender Bedeutung ist, schnell auf genaue Daten zugreifen und diese teilen zu können.
Wenn Sie darüber nachdenken, ist es wichtig, sich daran zu erinnern, dass es eine starke Überschneidung zwischen geschäftlichen und persönlichen Aspekten gibt, ein Beispiel dafür sind Passwort-Manager. Auf diesen werden sowohl persönliche als auch arbeitsbezogene Anmeldeinformationen gespeichert, die schwer zu unterscheiden sein können, und deshalb gibt es Pläne für die Familiennutzung von Unternehmen.
Wie messen Sie als Unternehmen die Einhaltung von Richtlinien in Ihrem Unternehmen? wenn immer mehr Daten geteilt werden? Und wie entscheiden Sie, wann „gut genug“ tatsächlich gut genug ist?
Wie schützen Sie Ihre Informationen für Einzelpersonen?
Eine Alles-oder-Nichts-Gleichung?
Daten als Ware haben sich von lang gehegten Ansichten über Struktur und Starrheit zu Big-Data-Informationsspeichern entwickelt, die größtenteils genau sind. Diese Datenspeicher können verwendet werden, um das Verhalten von Einzelpersonen zu verstehen, oft für kommerzielle Zwecke.
Zum Beispiel erhalten Sie möglicherweise e-Mails über Autos, weil Sie ein Bild Ihres neuen Fahrzeugs in den sozialen Medien gepostet haben. Dies ist ein subtiler Eingriff in die Privatsphäre, wenn Sie nicht wissen, dass dies geschieht (wir nennen dies Zustimmungserfordernis), und kann besonders ärgerlich sein, wenn Sie nicht mehr auf dem Automarkt tätig sind und nicht mit solchen Anzeigen angesprochen werden möchten.
Als Einzelpersonen können wir beruhigt sein, dass zumindest einige große Technologieunternehmen sich bemühen, den Datenschutz standardmäßig anzuwenden. Dies ist von unschätzbarem Wert, da es bedeutet, dass viele von uns von solchen Datenschutzmaßnahmen profitieren können, wie sie von GDPR und CPRA erlassen werden, ohne es überhaupt zu merken.
Für Unternehmen müssen jedoch viel mehr Anstrengungen unternommen werden in dies einzubeziehen.
Wir messen den Geschäftserfolg oft nur anhand von Gewinnen und Verlieren, wie z. B. schwarze oder rote Zahlen, Compliance oder Non-Compliance. Sie können beispielsweise kein zu 80 Prozent ausgeglichenes Budget oder ein zu 90 Prozent sicheres Medizinprodukt haben. Daten halten sich nicht immer an diese Regeln.
Es wird bemerkenswerte Ausnahmen für extrem hohe Genauigkeiten geben, beispielsweise für Nuklearorganisationen oder militärische Einrichtungen. Im Großen und Ganzen verfügt die Welt des kommerziellen und öffentlichen Sektors jedoch über begrenzte Ressourcen und muss weise wählen, um die beste Rendite zu erzielen.
Das ist neu und kann dazu führen, dass sich Ja/Nein-Funktionen eines Unternehmens unangenehm anfühlen. Insbesondere angesichts neuer Technologien (wie ChatGPT) und kürzlich aktualisierter Compliance-Standards (ISO 27001/2 2022) oder neue (NIST kündigt die ersten vier quantenresistenten kryptografischen Algorithmen an | NIST). Es bedeutet, auszuwählen und zu priorisieren, welche Compliance-Frameworks zu implementieren sind, welche Verhaltenskodizes zu befolgen sind und welche Zertifizierungen anzustreben sind.
Was ist „gut genug“ für Compliance und Wahrung der Privatsphäre?
Diese Frage stellt uns immer wieder vor neue Herausforderungen. Ab wann sollten wir unsere Bemühungen als zufriedenstellend betrachten? Es gibt zwei Dinge zu beachten:
Wie wichtig ist Ihre Aktivität für die Gesamtstrategie oder das Lebensziel? Welche Risiken sind mit dem Szenario verbunden?
Je nachdem, wo Sie sich auf Ihrer Datenschutzreise befinden, werden Sie sich auf verschiedene Bereiche konzentrieren. Als Einzelperson kann das so einfach sein wie zu verstehen, wie Sie Ihre Passwörter schützen und verwalten und Social-Media-Konten löschen oder deaktivieren. Außerdem können Sie den Sperrmodus von Apple aktivieren, wenn Sie wahrscheinlich Ziel der organisierten Kriminalität sind.
Eine Organisation kann feststellen, dass sie bestimmte Mindestzertifizierungs-oder Akkreditierungsanforderungen erfüllen muss, um Geschäfte zu tätigen – und es kann viele verschiedene Anforderungen geben, die Sie erfüllen müssen! Oft gibt es Überschneidungen in diesen Frameworks. Eine schnelle Online-Suche nach einer Zuordnung von NIST zu ISO 27001 und mehrere Tabellenkalkulationen zeigen Ihnen, dass die Erfüllung eines Frameworks 75 Prozent des anderen erreicht.
Egal auf welches Framework Sie sich konzentrieren, es ändert nichts daran Lücken, die ein ernsthaftes Problem darstellen würden. Wenn Sie ein KMU sind, sollten Sie mit der Anleitung auf unserer Website und der CISA und NCSC Websites.
Verbessern des Verhaltens der Mitarbeiter und sich mit dem Datenschutz vertraut machen
Haben Sie schon einmal eine Mitarbeiterbesprechung durchgemacht und gegen Ende gibt es eine kurze Erklärung, dass Ihre Compliance-Schulung steht nächste Woche an? Die Chancen stehen gut, dass viele Mitarbeiter es überstürzen und vieles von dem vergessen, was sie gerade eingepfercht haben.
Der Trick, um diesen Prozess zu verbessern, ist eigentlich gar kein Trick – der Schlüssel liegt darin, sichtbar zu sein und sich für Ihr Unternehmen zu engagieren-Arbeitskräfte. Hören Sie sich ihre Herausforderungen aktiv an und seien Sie bereit, Ihre Meinung darüber zu ändern, wie Compliance erreicht werden kann. (Denken Sie daran, es gibt mehr als einen Weg, um Compliance zu erreichen!). Wenn sich Ihre Kollegen auch nur ein bisschen um Sicherheit und Datenschutz kümmern, wie Sie es tun, ist das ein positiver Moment und Ihr vom Menschen aktiviertes Risiko wird geringer sein.
Es ist eine Lernkurve für uns alle, sich mit dem Umgang mit der Privatsphäre vertraut zu machen. Vor ein paar Jahren war es sehr ungewöhnlich, über die Verwendung eines Passwort-Managers zu chatten. Leider nimmt die Zahl der Betrügereien, die auf gefährdete Personen abzielen, immer noch zu. Es wird immer häufiger, darüber nachzudenken und darüber zu sprechen, welche Berechtigungen eine App auf Ihrem Smartphone anfordert. Dies ist einigen Dingen zu verdanken, nicht zuletzt dem Bewusstseinstraining in der Wirtschaft und den unglücklichen Opfern von Verbrechen, die auf die harte Tour gelernt haben, diese Erfahrungen in der Presse zu teilen.
The Stick
Ob FTC, FCA, ICO, CNIL, Dept of HHS oder eine andere der zahlreichen öffentlichen Stellen, die die Durchsetzung durchsetzen können, das beständige Thema ist die zunehmende Höhe und Häufigkeit von Bußgeldern. Es ist jetzt schwierig, eine Mainstream-Schlagzeile zu übersehen, ohne einen Verstoß oder eine Geldstrafe zu bemerken. Meta, Clearview AI, Nissan, LastPass, Amazon, Vodafone, Dialpad und die Yale University wurden alle entweder Opfer eines Hacks oder der Verletzung ihrer Compliance-Verpflichtungen. Es wird nicht nur wichtiger, sondern auch teurer, wenn Sie feststellen, dass Sie nicht in die Tools, Mitarbeiter und Designentscheidungen investieren, um Informationen privat zu halten.
Bildnachweis: BeeBright/depositphotos.com
Kevin Tunison ist Datenschutzbeauftragter bei Egres. Die Produkte Egress Defend, Egress Prevent und Egress Protect schützen Ihre Informationen. Für Unternehmen bedeutet die Verwendung von Defend auch, dass die Compliance viel einfacher nachzuweisen sein wird, wenn sie eine ISO 27001-Zertifizierung für Threat Intelligence erneuern.