Det har varit några händelserika veckor. När vi passerade ettårsdagen av genomförandet av GDPR verkade det som om många organisationer hade förblivit relativt oskadda från hotet om ekonomiska sanktioner för bristande efterlevnad av den nya förordningen.
Enligt Europeiska dataskyddsstyrelsen utfärdade tillsynsmyndigheter i 11 länder böter på sammanlagt 55,96 miljoner euro för brott mot GDPR. Större delen av denna summa var dock böter på 50 miljoner euro som utfärdades till Google av den franska dataskyddskommissionen (CNIL). Företaget hade ställts till svars för att ha behandlat personuppgifter i reklamsyfte utan att ha fått det tillstånd som krävs enligt GDPR.
Organisationer andades en kollektiv suck av lättnad över att böterna inte var så omfattande som man först hade räknat med, men under två dagar släppte Information Commissioner's Office (ICO ) loss sin makt.
British Airways fick böta ett enormt bötesbelopp på 183 miljoner pund för en säkerhetsöverträdelse som avslöjade över 565 000 kunders personuppgifter. Bara en dag senare fick den internationella hotellkoncernen Marriott böter på 99,2 miljoner pund för ett enormt dataintrång som avslöjade 339 miljoner gästers personuppgifter över hela världen. ICO bekräftade att omkring 30 miljoner av de hackade uppgifterna gällde invånare i 31 länder i Europeiska ekonomiska samarbetsområdet.
Det är värt att notera att ICO i båda fallen inte ålade det maximala bötesbeloppet på 4 % av den globala årsomsättningen. Böterna beror på hur allvarlig överträdelsen är och hur mycket samarbete som krävs. British Airways samarbetade fullt ut med ICO och fick i sin tur böter på 1,5 % av sin globala årsomsättning. Om ICO hade krävt maximalt 4 % av företagets totala omsättning hade böterna kunnat uppgå till hela 489 miljoner pund.
Båda böterna är helt klart en förändring av GDPR och har banat väg för ännu större böter i framtiden. ICO har visat hur allvarligt de tänker ta överträdelser av förordningen och organisationer har blivit mycket medvetna om konsekvenserna av bristande efterlevnad.
GDPR 2019 - Vad har vi lärt oss av de senaste 12 månaderna?
De senaste 12 månaderna har varit en brant inlärningskurva för många organisationer. Det har aldrig varit lätt att följa GDPR, men för vissa organisationer, särskilt större multinationella företag, har det visat sig vara en svår uppgift. Enorma datamängder som är spridda på en mängd olika plattformar, oändliga åtkomstpunkter och en ökning av begäran om uppgifter har gjort efterlevnaden svårare än många kunde ha föreställt sig.
GDPR har verkligen gjort sitt avtryck i världen och under ett år har den lett till följande:
Ökad rapportering
Dataskyddsförordningen verkar uppmuntra rapporter om dataintrång, eftersom nästan 60 000 rapporter har lämnats in sedan lagen om skydd av privatlivet trädde i kraft den 25 maj 2018. Dataskadorna varierade i svårighetsgrad från mindre brott till större cyberattacker som påverkade miljontals människor.
Konsumenterna har också blivit mer medvetna om sin rätt till privatliv. Efter att dataskyddsförordningen trädde i kraft rapporterade ICO en 160-procentig ökning av antalet klagomål, och den irländska dataskyddskommissionen registrerade 6 000 klagomål under samma period.
Behov av att säkra leveranskedjan
Attackerna mot British Airways och Marriott visar återigen på de ständiga svårigheterna med att säkra ett företags leveranskedja. BA:s intrång har alla kännetecken på en Magecart-attack. Hotgruppen är känd för att injicera kortskimningsskript i sårbara e-handelsdomäner. För att få tillgång till BA:s värdefulla kunduppgifter tros gruppen ha utnyttjat en sårbarhet i en äldre version av e-handelsplattformen Magento, som används av företaget.
I Marriotts fall rapporteras brottet ha uppstått i Starwoods databas för gästbokningar, innan företaget slogs samman med Marriott. Cyberkriminella tycks ha ändrat sina strategier och i stället för att rikta sig direkt mot ett företag försöker de orsaka skada genom att utnyttja sårbarheter i dess nätverk för leveranskedjan.
För att undvika att hamna i konflikt med lagstiftningen måste organisationer göra detaljerade riskbedömningar av leverantörer och övervaka deras efterlevnad av GDPR.
Behov av personalutbildning
I dataskyddsförordningen står det att anställda måste få regelbunden utbildning i informationssäkerhet. Utbildningen är viktig för att se till att personalen har kunskap om företagets policyer, bestämmelser och de rättsliga krav som gäller för deras dagliga roll.
ICO frågar specifikt på sitt formulär för anmälan om brott mot personuppgifter om den personal som är inblandad i brottet har fått utbildning i dataskydd under de senaste två åren. Om organisationer inte kan visa detta kommer ytterligare undersökningar att göras.
Organisationer måste bevisa att personalen både har läst och förstått GDPR-policyerna. Genom att kunna bevisa detta har organisationer en stark position för att visa att "integritet" har blivit en integrerad del av deras dagliga verksamhet.
Vikten av dataskyddsombud (DPO)
Enligt IAPP beräknas mer än 500 000 organisationer ha registrerat dataskyddsombud sedan GDPR trädde i kraft. Dataskyddsombud spelar en viktig roll i skyddet av privatlivet och är centrala för en effektiv ansvarsskyldighet. För organisationer som utför vissa typer av behandlingsverksamhet är det obligatoriskt att utse ett dataskyddsombud.
Ett dataskyddsombud måste utses om:
- Du är en myndighet
- Din kärnverksamhet kräver storskalig, regelbunden och systematisk övervakning av enskilda personer.
- din kärnverksamhet består av storskalig behandling av särskilda kategorier av uppgifter eller uppgifter om brottsdomar och brott.
Dataskyddsombudet bör vara en expert på GDPR och integritetsskydd, eftersom de ansvarar för övervakning och rapportering av efterlevnaden av GDPR. Dataskyddsombud förväntas hjälpa till att vägleda registeransvariga och databehandlare genom att granska den interna efterlevnaden och föreslå lämpliga korrigerande rekommendationer vid behov.
Så vad är nästa steg för GDPR?
Inom loppet av ett år har dataskyddsförordningen i hög grad påverkat det globala integritetslandskapet. Förordningen har fått många andra länder runt om i världen att titta närmare på sina egna säkerhets- och integritetslagar.
Argentina och Japan har redan börjat anpassa sin nationella dataskyddslagstiftning till dataskyddsförordningen, och Brasilien har infört en liknande lagstiftning kallad den allmänna dataskyddslagen som kommer att träda i kraft den 15 augusti 2020.
I USA har delstaterna Kalifornien, New York och Colorado antagit lokala dataskyddslagar, och den amerikanska kongressen överväger att införa en federal dataskyddslag, eftersom trycket ökar för ett strängare dataskydd i hela landet.
Det råder ingen tvekan om att GDPR har varit en positiv kraft och fått organisationer att ta integritetsskyddet på större allvar. Om GDPR följs på rätt sätt gör den det möjligt för organisationer att bli mer cybersäkra, effektiva och konkurrenskraftiga på marknaden.
Genom att visa att GDPR efterlevs kan företag sannolikt dra nytta av minskade organisatoriska risker och bygga upp ett större förtroende hos sina kunder. Denna öppenhet kommer i sin tur att förbättra varumärkets rykte och leda till utvecklingen av mer meningsfulla relationer.
I takt med att cyberbrottsligheten utvecklas och brottslingarna blir mer vilseledande i sina angreppsmetoder måste organisationerna dock kontinuerligt ta itu med integritets- och säkerhetsrisker för att se till att de är ansvariga för de personuppgifter de innehar och följer lagstiftningen.
MetaPrivacy har utformats för att erbjuda bästa praxis för att uppfylla kraven på dataskydd. Kontakta oss för mer information om hur vi kan hjälpa din organisation att förbättra sin struktur för efterlevnad.
ANSVAR: Innehållet och åsikterna i den här bloggen är endast för informationsändamål. De är inte avsedda att utgöra juridisk eller annan professionell rådgivning och bör inte förlitas på eller behandlas som en ersättning för specifik rådgivning som är relevant för särskilda omständigheter, dataskyddslagen eller annan nuvarande eller framtida lagstiftning. MetaCompliance tar inget ansvar för eventuella fel, utelämnanden eller vilseledande uttalanden, eller för eventuella förluster som kan uppstå till följd av att man förlitar sig på material som finns i denna blogg.
