Prošli tjedan bio je važan za vas i vaše osobne podatke, bilo da živite u EU ili ne.
GDPR, Opća uredba o zaštiti podataka koja postavlja smjernice o tome kako se osobni podaci građana EU-a prikupljaju i obrađuju, sada je službena. Odlična je ideja - ujednačena pravila o načinu na koji se prikupljaju vaše informacije, kako se pohranjuju i kako ih možete vratiti natrag su predugo kasnjena. Bilo je (i nastavit će se) dosta rasprava oko toga što je dobro, loše i ružno u vezi s GDPR-om, ali većina ljudi koji rade na informacijskoj sigurnosti slaže se da su ciljevi dobronamjerni i pružit će vrstu zaštite koja nam je svima potrebna 21. stoljeće.
Hrpa popularnih web stranica jednostavno nisu dostupne europskim posjetiteljima jer nisu usklađeni sa GDPR-om.
Pojedinačni članci GDPR-a nisu tako univerzalno hvaljeni. Stupajući na snagu u petak, 25. svibnja, već primjećujemo ispadanje: New York Daily News, Chicago Tribune, LA Times i druge visokopozicionirane web stranice sada su nedostupne u zemljama obuhvaćenim GDPR uredbama, jer nisu bile spremne za nova pravila, Mnoge druge web stranice i internetske usluge bombardirale su korisnike novim uvjetima na koji pristaju, a već su podnesene žalbe protiv uglednih tehnoloških divova Google i Facebook jer ne nude besplatne usluge bez omogućavanja korisnicima da se odreknu prikupljanja podataka.
Više: Google olakšava razumijevanje i upravljanje korisničkim podacima koje prikuplja {.cta.large}
Ovakvi problemi ne iznenađuju. Niti je mišljenje da će usluge temeljene na oblaku izgubiti prihod i biti prisiljene podizati cijene kao rezultat GDPR-a, za što polovica polaznika Infosecurity Europe 2018 smatra da će se uskoro dogoditi. Oni također smatraju da će GDPR zaustaviti inovaciju jer male organizacije neće moći priuštiti potrebnu infrastrukturu. Ovo je dobra rasprava ljudi koji trebaju o tome raspravljati. Bolja je privatnost vrijedna više sati unazad kako bi se ispravio.
Ali postoji jedan dio GDPR-a za koji mislim da će učiniti više štete nego koristi - članak 33. pravila o 72-satnom izvještavanju. Cijeli tekst možete pročitati ovdje, ali suština je u tome što je tvrtka koja čuva osobnu identifikaciju građana EU-a u potpunosti odgovorna za svako kršenje sigurnosti, bez obzira na razlog, i mora u roku od 72 sata pružiti potpuno otkrivanje nadzornom odboru prekršaja. Nema ništa veliko u ovom pravilu, ali dva dijela će dovesti do pružatelja usluga koji prikrivaju kršenje podataka umjesto da ih odgovorno prijavljuju.
Prvi je nadzorni odbor. Različite zemlje imaju različite načine upravljanja svojim građanima, ali jedno što imaju zajedničko je preferencijalni tretman kada je u pitanju stvaranje i osoblje bilo kojeg službenog odbora. Prijatelj ili onaj treći rođak koji ne može prestati tražiti brošuru glavni su kandidati za bilo koje mjesto u komitetu, a kada je glavni cilj zaštita podataka korisnika, trebaju se uzeti u obzir samo najkvalificiraniji pojedinci. Nadajmo se da upravo to što se ovdje radi i propise mogu prilagoditi i provesti ljudi koji su nam u najboljem interesu i koji su kvalificirani.
Male tvrtke bez resursa potrebnih da provedu potpunu istragu kršenja pravila mogu se odlučiti za njihovo prikrivanje.
Veći problem je i prisilno izvještavanje u trajanju od 72 sata. Čak ni potpuno opremljena organizacija Fortune 500 neće znati dovoljno o kršenju podataka da bi mogla početi podnositi izvještaje vladinoj agenciji. S obzirom na ovako kratko vrijeme, očekujte malo više od službenika za informacijsku sigurnost tvrtke koji kaže da je došlo do kršenja pravila, a još nismo sigurni u detalje. To je malo više od gubitka vremena za sve koji su uključeni, a radije bih da to vrijeme provedem pokušavajući da otkrijem zašto, kako, kada i tko okružuje bilo kakvu vrstu kršenja podataka.
Manja tvrtka koja se možda već bori da ispuni zahtjeve GDPR-a naći će se na ispitivanju može li sadržavati kršenje i sama ublažiti štetu bez ikakvih izvještaja. Kada ste pod pritiskom i nema dovoljno osoblja, zataškavanje može zvučati kao prava opcija.
Jasno, nikad nije. No, poznate su velike i male tvrtke da odaberu pogrešnu opciju uvijek iznova kad se dođe do žice. Svaki propis dizajniran da zaštiti korisnike od tvrtki koje donose loše odluke bolje je bez pravila koje ih može natjerati na upravo to.
Odgovorno i brzo izvještavanje o pisti podataka je nužno. Prisiljavanje tvrtki koje beru i čuvaju naše podatke da rade ispravne stvari ne koristi mnogo bez toga. Stvaranje pravog nadzornog odbora ispunjenog pravim ljudima koji će revidirati kako se provale postupaju - ili čak nuditi pomoć kad se dogode - prošao bi dug put do izrade GDPR-a predložak za ostatak svijeta koji treba slijediti.
