GDPR風(fēng)暴即將來(lái)臨,您準(zhǔn)備好了嗎?
如果您還不遵守GDPR法規(guī),那么在接下來(lái)的幾個(gè)月里您可能會(huì)遇到一些大麻煩。
回想2018年初,全球充滿了各種評(píng)論GDPR的聲音。它是否意味著營(yíng)銷的終結(jié)?有企業(yè)真的合規(guī)嗎?這對(duì)企業(yè)來(lái)說(shuō)是好消息還是壞消息?GDPR會(huì)像Cookie指令一樣成為啞炮嗎?
如果您認(rèn)為GDPR只是一個(gè)很熱門話題,那么接下來(lái)的幾個(gè)月您可能要為自己辯護(hù)了。GDPR在很大程度上已經(jīng)脫離了大多數(shù)媒體的關(guān)注范圍,許多企業(yè)主也是如此。然而,我們只是處在風(fēng)暴的中心。在過(guò)去的一段時(shí)間里,由于未能遵守GDPR,F(xiàn)acebook和Twitter受到監(jiān)管機(jī)構(gòu)的直接關(guān)注,歐盟已經(jīng)發(fā)出嚴(yán)厲警告,將在今年年底前對(duì)其處以高額罰款。同樣,英國(guó)信息委員會(huì)辦公室(ICO)也加大了警告力度,表示可能會(huì)采取重大行動(dòng)。除了這種勢(shì)頭之外,還有一系列引人注目的數(shù)據(jù)泄露事件,其中最新的處罰對(duì)象是Google+。
對(duì)于那些自5月份以來(lái)就把GDPR合規(guī)性放在次要位置的企業(yè)主來(lái)說(shuō),警告再清楚不過(guò)了:如果不遵守GDPR合規(guī)性,那么在接下來(lái)的幾個(gè)月里您可能會(huì)遇到一些大麻煩。
Facebook很快成為糟糕數(shù)據(jù)治理的典型,劍橋分析、數(shù)據(jù)泄露和GDPR失敗都很快相繼出現(xiàn),為企業(yè)如何收集和管理數(shù)據(jù)提供了一個(gè)研究案例。雖然人們可能會(huì)陶醉于某種幸災(zāi)樂(lè)禍,但更好的方法是看看每個(gè)企業(yè)都能從Facebook學(xué)到什么,以及如何保護(hù)自己免受預(yù)期的GDPR風(fēng)暴影響。
數(shù)據(jù)治理的弱點(diǎn)
首先,不用說(shuō),金融機(jī)構(gòu)擁有一些最敏感的個(gè)人數(shù)據(jù),值得慶幸的是,與帳戶信息相關(guān)的最重要數(shù)據(jù)在很大程度上得到了很好保護(hù),然而,在銀行賬戶周邊設(shè)置的高安全標(biāo)準(zhǔn)會(huì)滋生自滿情緒,尤其是當(dāng)您認(rèn)為這不是普通金融企業(yè)掌握的唯一信息時(shí)。市場(chǎng)營(yíng)銷、客戶服務(wù)和銷售部門通常都有自己的客戶數(shù)據(jù)庫(kù),這些數(shù)據(jù)庫(kù)可能會(huì)受到截然不同的安全和治理標(biāo)準(zhǔn)的制約。與這些數(shù)據(jù)相關(guān)的違規(guī)行為可能會(huì)對(duì)金融機(jī)構(gòu)造成致命傷害,并導(dǎo)致GDPR的巨額罰款。
普遍自滿是數(shù)據(jù)管理和保護(hù)的弱點(diǎn)。對(duì)于Facebook來(lái)說(shuō),它的自滿表現(xiàn)在標(biāo)準(zhǔn)松懈、做法可疑以及認(rèn)為自己永遠(yuǎn)不會(huì)被追究責(zé)任。對(duì)于金融機(jī)構(gòu)而言,它可能導(dǎo)致與被認(rèn)為不那么“敏感”數(shù)據(jù)相關(guān)的盲點(diǎn)。通常,為了實(shí)現(xiàn)順暢的營(yíng)銷、客戶管理和銷售操作,客戶數(shù)據(jù)比財(cái)務(wù)信息更容易獲取,與更多方共享,更新更頻繁,并輸入更多平臺(tái),這些過(guò)程中的每一個(gè)都會(huì)增加風(fēng)險(xiǎn)。使這一問(wèn)題更加復(fù)雜的是,普遍缺乏與這些數(shù)據(jù)造成傷害能力的相關(guān)教育。許多人會(huì)問(wèn),電子郵件地址對(duì)黑客有什么用?簡(jiǎn)單的回答是,用處很多。這就是為什么GDPR尋求保護(hù)個(gè)人數(shù)據(jù)的原因。
如果您已經(jīng)遇到了本文中說(shuō)的這些內(nèi)容,并且您開(kāi)始對(duì)數(shù)據(jù)實(shí)踐感到懷疑——那很好,現(xiàn)在是審核和審查所有數(shù)據(jù)流程和安全標(biāo)準(zhǔn)的最佳時(shí)機(jī)。基線應(yīng)該是——是否符合GDPR標(biāo)準(zhǔn)? 而新技術(shù)、團(tuán)隊(duì)和計(jì)劃都會(huì)影響您的數(shù)據(jù)流程并導(dǎo)致不合規(guī)。
個(gè)人數(shù)據(jù)文化
如果您不希望GDPR成為一個(gè)問(wèn)題,那么就必須立即著手。在這種情況下,購(gòu)買技術(shù)并利用專家顧問(wèn)服務(wù)將是最快(但不是最便宜)的選擇。
接下來(lái),您的員工總體理解是什么?如果您的同事不了解什么是GDPR以及數(shù)據(jù)泄露的危險(xiǎn),那么所有程序和技術(shù)保障都將毫無(wú)意義。定期開(kāi)展全企業(yè)范圍的培訓(xùn),并將數(shù)據(jù)管理專業(yè)知識(shí)和道德納入員工發(fā)展和評(píng)估中,這是衡量和改進(jìn)教育的有力方法。
最后,如果最壞的情況發(fā)生并且存在違規(guī)行為—您準(zhǔn)備好應(yīng)對(duì)了嗎?我們一次又一次地看到,對(duì)數(shù)據(jù)泄露的處理不當(dāng)通常會(huì)比違規(guī)本身造成的損害更大。再一次——我要指出Facebook及其對(duì)它遇到每一個(gè)數(shù)據(jù)問(wèn)題的答復(fù)都不及時(shí)、不完整和不令人滿意。
不及時(shí)回應(yīng)是未能制定正確程序的表現(xiàn)。這可能是因?yàn)闆](méi)有技術(shù)或?qū)I(yè)知識(shí)可以在第一時(shí)間確定違規(guī)行為,或者沒(méi)有授權(quán)合適的人快速做出決策。您需要從這樣一個(gè)立場(chǎng)出發(fā),任何違規(guī)行為,無(wú)論看起來(lái)多么輕微,都是嚴(yán)肅的,應(yīng)該向首席執(zhí)行官領(lǐng)導(dǎo)的專家小組報(bào)告。團(tuán)隊(duì)中應(yīng)該有IT主管、營(yíng)銷、客戶服務(wù)和法律部門。應(yīng)該盡快通知消費(fèi)者,既要符合GDPR,又要安撫消費(fèi)者。企業(yè)需要確定誰(shuí)受到了影響、如何、出了什么問(wèn)題、如何修復(fù),以及未來(lái)如何保護(hù)消費(fèi)者。確定和交流這些內(nèi)容的速度越快,最終結(jié)果就越好——尤其是在ICO參與的情況下。和任何事情一樣,熟能生巧,與這樣團(tuán)隊(duì)一起進(jìn)行實(shí)戰(zhàn)操練并制定的理想應(yīng)對(duì)措施和應(yīng)急計(jì)劃一定會(huì)有所不同。
我們現(xiàn)在生活在一個(gè)企業(yè)聲譽(yù)和未來(lái)可能被黑客和數(shù)據(jù)泄露摧毀的世界,這種環(huán)境通常都是由企業(yè)造成的。長(zhǎng)期以來(lái),有一種文化認(rèn)為個(gè)人數(shù)據(jù)是企業(yè)可以隨意處理的商品,現(xiàn)在環(huán)境不同了,如果您是眾多企業(yè)所有者之一,這些企業(yè)仍然認(rèn)為數(shù)據(jù)治理只是IT部門需要擔(dān)心的事情——那么您將會(huì)大吃一驚。到今年年底,許多大型企業(yè)將遭受近乎致命的罰款,作為對(duì)其他企業(yè)的警告。那么,現(xiàn)在采取行動(dòng)將確保您的企業(yè)不是這些警示故事之一。
