Gdpr dimulai hari ini! Apa yang perlu Anda ketahui

Mulai hari ini, 25 Mei 2018, undang-undang Peraturan Perlindungan Data Umum (GDPR) Uni Eropa akan secara efektif menjadi hukum global ketika menyangkut pertanyaan tentang bagaimana data pribadi harus ditangani oleh bisnis. Meskipun Anda mungkin berpikir bahwa undang-undang perlindungan data yang disahkan di Eropa hanya akan berlaku untuk orang Eropa, Anda akan salah. Itu karena GDPR melindungi semua warga negara Uni Eropa di mana pun mereka tinggal dan tidak peduli dengan siapa mereka berbisnis, yang berarti bahwa perusahaan Amerika dengan pelanggan UE secara langsung tunduk pada persyaratan GDPR dan, lebih buruk lagi, hukuman. Lebih buruk karena, menurut laporan baru-baru ini dari Crowd Research Partners, hanya 7 persen dari perusahaan yang berada di jalur yang sesuai dengan GDPR pada batas waktu hari ini.

Dan meskipun ada langkah-langkah yang dapat Anda ambil bahkan hari ini untuk menjaga perusahaan Anda setidaknya sedikit GDPR-aman, mencapai kepatuhan penuh bukanlah proyek yang ringan. Proses pengumpulan data harus relevan dengan bagaimana data akan digunakan oleh perusahaan (misalnya, data belanja konsumen tetapi bukan data riwayat medis untuk perusahaan e-commerce). Perusahaan harus mau dan mampu menjelaskan dengan tepat data apa yang telah dikumpulkan dan mengapa. Praktik keamanan harus menunjukkan kemampuan yang jelas untuk melindungi dari kehilangan, kerusakan, dan kehancuran, dan data tidak boleh disimpan lebih lama dari yang diperlukan. Perusahaan mana pun yang gagal mematuhi peraturan akan dikenakan penyitaan 4 persen dari pendapatan tahunannya.

"Ini bukan seperangkat aturan dan peraturan ompong, " kata Ankur Laroia, Pemimpin Solusi Strategis di penyedia sistem manajemen informasi Alfresco. Laroia menyatakan bahwa beberapa masalah dalam peraturan perundang-undangan akan mempersulit perusahaan untuk tetap patuh. Misalnya, beberapa masalah termasuk aturan tertulis secara abstrak tentang mengapa data dikumpulkan, persyaratan penjangkauan berlebihan untuk menggosok data pelanggan saat diminta, dan kebutuhan bagi beberapa perusahaan untuk mengubah prosedur keamanan sepenuhnya hanya untuk tujuan memastikan kepatuhan. Meski begitu, Laroia tidak berpikir Uni Eropa mengacau.

"Uni Eropa akan mengejar pelanggar, " ia memperkirakan. "Seandainya ini diberlakukan, Equifax akan mendapat banyak masalah."

GDPR, sementara berfokus terutama pada warga negara Uni Eropa, juga menghadirkan skenario mimpi buruk bagi pemilik bisnis Amerika., kami akan menguraikan apa yang perlu diketahui orang Amerika untuk memulai perjalanan menuju kepatuhan GDPR.

1. Perusahaan Amerika Harus Mematuhi

Jika toko buku ibu-dan-pop Anda tidak pernah mengirim paket ke luar kota asal Anda, maka Anda mungkin tidak perlu khawatir dengan GDPR. Namun, jika Anda bahkan memiliki satu pelanggan yang berbasis di UE, maka Anda harus segera memulai proses untuk menjadi sesuai dengan GDPR. Menurut peraturan, data warga negara Uni Eropa harus dilindungi dan Anda harus memberikan data tersebut kepada warga negara jika ia memintanya. Lebih penting lagi, Anda mungkin diminta untuk membersihkan data itu dari sistem Anda jika dan ketika warga negara mengajukan permintaan. Jika Anda tidak melakukannya dan pengawas GDPR mengetahuinya, maka Anda akan kehilangan 4 persen dari pendapatan tahunan Anda.

"Meskipun ini adalah arahan UE, ini berdampak pada perusahaan mana pun di seluruh dunia yang memiliki penduduk UE sebagai pelanggan, " kata Pete Lindstrom, Wakil Presiden Riset Keamanan di IDC. "Jika Anda memiliki bidang alamat dan itu adalah alamat Eropa, mereka kemungkinan akan dianggap Eropa."

Tidak ada perbedaan antara perusahaan yang berkantor pusat di UE atau di kota seperti Skokie, Illinois. Undang-undang sebaliknya berfokus pada informasi pengidentifikasi pribadi (PII) dan di mana orang yang terkait dengan data berada. Siapa pun yang memiliki data PII apa pun pada pelanggan Eropa harus mematuhinya.

Sekalipun perusahaan Anda memiliki beberapa pelanggan berbasis di UE, sangat kecil kemungkinan toko buku lokal Anda akan diaudit oleh pengawas GDPR. Tetapi perusahaan-perusahaan besar, seperti Facebook dan Yahoo, tidak akan dapat mengklaim kesetiaan Amerika sebagai cara untuk rok GDPR.

"Jika kau seorang ibu-dan-pop dan kamu memiliki pelanggaran, kamu secara hukum bertanggung jawab, " kata Laroia. "Sulit untuk mengatakan apakah mereka secara realistis akan mengejar Anda… setiap negara anggota UE akan memiliki kantor kepatuhan. Kantor itu akan mulai meminta skema kepatuhan semua orang. Mereka akan membuat inventaris perusahaan yang melakukan bisnis di geografi mereka. Mereka akan langsung memeriksa pria yang lebih besar dan mulai mengajukan pertanyaan."

Perusahaan-perusahaan Amerika yang tidak mematuhi seharusnya tidak mengharapkan pemerintah AS untuk melindungi mereka ketika negara-negara Uni Eropa yang didukung GDPR berusaha untuk mengumpulkan pendapatan yang hangus itu. "Pemerintah AS terpaksa memastikan putusan itu ditegakkan, " kata Laroia. "Apakah mereka ditegakkan belum terlihat, tetapi pemerintah di UE harus berjuang."

2. 25 Mei Berarti 25 Mei

Meskipun peraturan tersebut mulai berlaku hari ini, 25 Mei 2018, undang-undang tersebut telah diratifikasi oleh Parlemen UE pada 14 April 2016. Ini berarti sejauh menyangkut UE, perusahaan memiliki banyak waktu untuk menerapkan praktik-praktik yang mematuhi GDPR pada tempatnya. Jadi, jika perusahaan Anda dilanda serangan cyber besar-besaran besok dan sekumpulan data yang telah Anda kumpulkan pada pelanggan, pengunjung situs web, dan bahkan mitra keluar ke web gelap jahat, maka Anda tidak dapat mengklaim "waktu yang tidak mencukupi" sebagai alasan untuk membocorkan data warga negara Uni Eropa.

"Undang-undang itu mulai berlaku, " kata Laroia. "Anda dapat diminta untuk menunjukkan perjalanan Anda dalam kepatuhan. Apakah Anda telah menginventarisasi? Apa protokol Anda untuk warga negara Uni Eropa untuk bertanya tentang data Anda? Perusahaan-perusahaan ini dapat meminta informasi ini sekarang. Mereka akan mulai didenda tahun depan jika mereka tidak dapat menunjukkan kepatuhan setelah Mei."

3. Jangan Mengharapkan Ekstensi

Tidak seperti kebanyakan pertempuran regulasi hukum yang kita miliki di AS (misalnya, Netralitas Net), tidak ada seorang pun di UE yang melangkah pada 24 Mei 2018 untuk menantang GDPR dan dengan demikian menunda regulasi tanpa batas. Orang Eropa menginginkan ini dan sekarang mereka sudah mendapatkannya.

"Ini adalah keindahan dari cara peraturan itu dibuat, " kata Laroia. "Karena mereka memberi perusahaan satu tahun untuk meluruskan tindakan mereka, tidak ada tantangan di luar sana dari perspektif litigasi. Jika kita melihat itu, itu sudah terjadi. Bisakah seseorang melakukan itu setelah mereka digugat? Saya yakin mereka akan mencoba, tetapi itu akan terlihat buruk pada mereka pada saat itu."

4. Apa yang Harus Anda Lakukan untuk Mematuhi

Seperti yang disyaratkan oleh peraturan, Anda harus menempatkan seseorang yang bertanggung jawab untuk mengelola proses kepatuhan. Orang ini, yang dijuluki hukum GDPR sebagai "Petugas Perlindungan Data" (DPO), akan menjadi orang yang bertanggung jawab untuk memimpin tim pengawas GDPR melalui cara-cara di mana perusahaan Anda mengamankan data. Orang ini juga akan bertanggung jawab untuk menyatukan lini bisnis yang berbeda dalam perusahaan Anda untuk menghasilkan metodologi untuk mendapatkan dan tetap mematuhi GDPR.

Singkatnya, tugas DPO akan dipecah menjadi empat kategori utama:

• Pertama, mereka harus cukup terbiasa dengan rincian GDPR untuk bertindak sebagai orang utama tidak hanya untuk proses kepatuhan awal tetapi untuk semua pertanyaan penanganan data terkait GDPR di masa depan, dan tentu saja cukup sehingga mereka dapat mengajukan pertanyaan oleh kedua senior eksekutif dan penanganan data operasi TI di lapangan.
• Kedua, mereka harus dapat memantau semua proses penanganan data yang sedang berlangsung di organisasi Anda dan mengevaluasi efektivitasnya dalam hal keamanan data pribadi.
• Ketiga, mereka perlu memiliki kemampuan audit dan pemantauan di setiap area bisnis Anda yang mungkin terkena dampak GDPR dan mengevaluasinya untuk kepatuhan secara teratur.
• Dan yang terakhir, mereka perlu menghubungi otoritas GDPR untuk industri Anda, bekerja sama dengan mereka, dan bertindak sebagai orang utama untuk setiap permintaan yang datang dari otoritas itu.

Semua itu bermuara pada seseorang yang memahami aliran data, dan langkah-langkah serta teknologi perlindungan data, serta tidak hanya pengetahuan tentang perincian undang-undang GDPR tetapi juga pengetahuan tentang perundangan UE terkait dan relevan, seperti E-Privacy Directive-nya. Kemungkinan kurangnya keterampilan ini telah menciptakan peluang lapangan hijau untuk konsultasi bisnis dan TI, tetapi, jika Anda ingin mengembangkan bakat ini secara internal, maka taruhan yang baik adalah mencari sumber belajar online berbahasa Inggris, Eropa, banyak yang telah mengembangkan courseware GDPR DPO untuk tujuan ini. Selain itu, ada organisasi industri multinasional, seperti Asosiasi Internasional Profesional Privasi (IAPP), yang menawarkan courseware dan sertifikasi pelatihan GDPR.

Pada catatan yang lebih teknis, agar tetap patuh, Anda harus menggunakan setidaknya satu metode enkripsi untuk server fisik, penyimpanan yang terpasang jaringan (NAS), disk dan drive, dan akses jaringan. Anda harus memverifikasi identitas karyawan dan melembagakan otentikasi multifaktor (MFA) saat mengakses PII dan untuk transaksi yang menyertakan data PII. Anda harus menghentikan praktik apa pun yang mengakses atau memproses data untuk tujuan yang tidak sah, terus-menerus memantau dan memverifikasi data untuk memastikan relevansi, dan sepenuhnya dan secara permanen mengubah data pelanggan ketika diminta untuk melakukannya. Organisasi akan diminta untuk melakukan penilaian risiko penuh dan bekerja dengan mitra, terutama yang terhubung melalui antarmuka pemrograman aplikasi (API), untuk memastikan kepatuhan yang sedang berlangsung.

Terakhir, jika data organisasi Anda dilanggar, maka Anda harus segera memberi tahu atasan GDPR terkait untuk menjelaskan pelanggaran dan konsekuensinya secara penuh. Dan Anda harus mengomunikasikan konsekuensi pelanggaran terhadap pelanggan yang terpengaruh.

5. Pelanggan AS

Laroia mengatakan bahwa pada akhirnya bisnis memiliki akal sehat untuk dijaga dan menjadi pelayan informasi pelanggan yang baik. "Anda harus melihat ini dari sudut pandang pelanggan akhir, " kata Laroia. "Mereka adalah alasan perusahaan ini dalam bisnis. Ya, sementara itu menyakitkan untuk bisnis, perusahaan belum berinvestasi dalam teknologi atau mengikuti laju inovasi."

Sayangnya, peraturan AS yang serupa tidak ada dalam buku. Perusahaan yang melakukan bisnis di New York di bawah Persyaratan Keamanan Cyber ​​Departemen Keuangan New York dilindungi sampai batas tertentu. Peraturan ini mensyaratkan bisnis yang berbasis di New York untuk menerapkan dan memelihara kebijakan atau kebijakan tertulis, yang disetujui oleh Pejabat Senior atau dewan direksi Entitas Tertutup (atau komite yang sesuai) atau badan pengatur yang setara. Ini menetapkan kebijakan dan prosedur Entitas Tertutup untuk melindungi Sistem Informasi dan Informasi Nonpublik yang disimpan pada Sistem Informasi tersebut, sesuai dengan undang-undang tertulis.

Negara-negara lain, seperti Colorado, telah membahas penerapan peraturan serupa. Namun, tidak ada hukum federal AS yang menyapu. Namun Laroia optimis AS akan menjadi yang berikutnya. "Orang Amerika tidak punya hak seperti itu, " katanya. "Tapi berikan lima tahun."