Die vergangene Woche war für Sie und Ihre persönlichen Daten wichtig, unabhängig davon, ob Sie in der EU leben oder nicht.
Die DSGVO, die allgemeine Datenschutzverordnung, die Leitlinien für die Erfassung und Verarbeitung personenbezogener Daten von EU-Bürgern festlegt, ist jetzt offiziell. Das ist eine großartige Idee - einheitliche Regeln darüber, wie Ihre Informationen gesammelt, gespeichert und wie Sie sie zurücknehmen können, sind längst überfällig. Es gab (und wird) viele Diskussionen darüber, was gut, schlecht und hässlich an der DSGVO ist, aber die meisten Menschen, die im Bereich der Informationssicherheit arbeiten, sind sich einig, dass die Ziele gut gemeint sind und die Art von Schutz bieten, die wir alle brauchen das 21. Jahrhundert.
Einige beliebte Websites stehen europäischen Besuchern nicht zur Verfügung, da Sie nicht GDPR-konform sind.
Die einzelnen Artikel der DSGVO sind jedoch nicht so allgemein gelobt. Nach dem Inkrafttreten am Freitag, dem 25. Mai, sehen wir bereits einen Niederschlag: Die New York Daily News, die Chicago Tribune, die LA Times und andere hochkarätige Websites sind jetzt in Ländern, die den Bestimmungen der DSGVO unterliegen, nicht mehr verfügbar, da sie nicht für die neuen Regeln bereit waren. Viele andere Websites und Onlinedienste haben die Nutzer mit neuen Bedingungen bombardiert, denen sie zustimmen müssen, und es wurden bereits Beschwerden gegen die namhaften Technologiegiganten Google und Facebook eingereicht, da sie keine kostenlosen Dienste anbieten, ohne dass die Nutzer die Datenerfassung ablehnen können.
Mehr: Durch Google wird es einfacher, die von Google erfassten Benutzerdaten zu verstehen und zu verwalten. {.Cta.large}
Themen wie diese sind nicht überraschend. Ebenso wenig ist zu befürchten, dass Cloud-basierte Dienste aufgrund der DSGVO Umsatzverluste und Preiserhöhungen erleiden werden, von denen die Hälfte der Teilnehmer von Infosecurity Europe 2018 glaubt, dass sie bald eintreten werden. Sie sind auch der Ansicht, dass die DSGVO Innovationen hemmen wird, da kleine Unternehmen sich nicht die notwendige Infrastruktur leisten können, um die Anforderungen zu erfüllen. Dies ist eine gute Diskussion unter den Leuten, die darüber diskutieren müssen. Besserer Datenschutz ist die stundenlangen Hin- und Herbewegungen wert, die erforderlich sind, um das Problem zu beheben.
Aber es gibt einen Teil der DSGVO, von dem ich denke, dass er mehr schaden als nützen wird - die 72-Stunden-Melderegel von Artikel 33. Sie können den vollständigen Text hier lesen, aber das Wesentliche ist, dass ein Unternehmen, das die persönlichen Daten von EU-Bürgern aufbewahrt, für jeden Verstoß gegen die Sicherheit, gleich aus welchem Grund, voll verantwortlich ist und diese Informationen innerhalb von 72 Stunden einem Überwachungsausschuss vorlegen muss einer Verletzung. Diese Regel ist nicht besonders wichtig, aber zwei Teile werden dazu führen, dass Dienstanbieter Datenverletzungen vertuschen, anstatt sie verantwortungsbewusst zu melden.
Der erste ist der Überwachungsausschuss. Verschiedene Länder haben unterschiedliche Arten, ihre Bürger zu regieren, aber eines haben sie alle gemeinsam: Sie werden bevorzugt, wenn es darum geht, einen offiziellen Ausschuss zu schaffen und zu besetzen. Ein Freund eines Freundes oder dieser dritte Cousin, der nicht aufhören kann, nach einem Handout zu fragen, ist der Hauptkandidat für einen Ausschusssitz. Wenn das Hauptziel der Schutz von Benutzerdaten ist, sollten nur die qualifiziertesten Personen berücksichtigt werden. Hoffen wir, dass genau das hier getan wird und die Vorschriften von Menschen angepasst und durchgesetzt werden können, die im besten Interesse und qualifiziert sind.
Kleine Unternehmen, die nicht über die erforderlichen Ressourcen verfügen, um eine vollständige Untersuchung von Verstößen durchzuführen, können sich dafür entscheiden, diese zu vertuschen.
Ein größeres Problem ist die erzwungene 72-Stunden-Meldung. Selbst eine Fortune 500-Organisation mit vollem Personal wird nicht genug über eine Datenverletzung wissen, um Berichte bei einer Regierungsbehörde einzureichen. Erwarten Sie in so kurzer Zeit kaum mehr als den Informationssicherheitsbeauftragten eines Unternehmens, der von einem Verstoß spricht und dessen Einzelheiten noch nicht bekannt sind. Das ist für alle Beteiligten kaum mehr als Zeitverschwendung, und ich würde mir lieber die Zeit nehmen, um herauszufinden, warum, wie, wann und von wem Daten verletzt werden.
Ein kleineres Unternehmen, das möglicherweise bereits Probleme mit der Einhaltung der DSGVO hat, ist versucht, zu untersuchen, ob es den Verstoß begrenzen und die Schäden selbstständig abmildern kann, ohne dass dies gemeldet wird. Wenn Sie unter Druck stehen und unterbesetzt sind, kann eine Vertuschung die richtige Option sein.
Klar ist es nie. Es ist jedoch bekannt, dass große und kleine Unternehmen immer wieder die falsche Option wählen, wenn es um Kabel geht. Jede Vorschrift zum Schutz der Benutzer vor Unternehmen, die schlechte Entscheidungen treffen, ist besser, ohne dass eine Vorschrift sie dazu zwingt, genau das zu tun.
Eine verantwortungsvolle und zeitnahe Meldung eines Datenraubes ist ein Muss. Unternehmen, die unsere Daten sammeln und aufbewahren, dazu zu zwingen, das Richtige zu tun, ist ohne sie nicht von großem Nutzen. Die Schaffung des richtigen Aufsichtsausschusses, der mit den richtigen Personen besetzt ist, um zu überarbeiten, wie Einbrüche behandelt werden, oder sogar Hilfe zu leisten, wenn sie eintreten, würde dazu beitragen, die DSGVO zu einer Vorlage für den Rest der Welt zu machen.
