Mendefinisikan Kepatuhan: Kemana Arah Privasi dan Keamanan Data Global pada 2019

Diterbitkan: 2019-01-31

Musim semi lalu lebih dari sedikit sibuk bagi pemasar, profesional TI, dan pengacara, berkat Peraturan Perlindungan Data Umum (GDPR) Uni Eropa , yang mulai berlaku pada Mei 2018. Undang-undang transformasional ini mengguncang privasi dan keamanan data seperti yang kita ketahui itu—tidak hanya di UE, tetapi di seluruh dunia—dengan meminta pertanggungjawaban perusahaan atas cara mereka menangani data pelanggan, dan menekankan kembali hak individu untuk mengontrol informasi mereka sendiri.

Dalam beberapa bulan sejak itu, kami telah mendengar kasus demi kasus di mana raksasa teknologi seperti Facebook dan Google menghadapi denda dan tindakan hukum lainnya sehubungan dengan gagal mengungkapkan secara memadai bagaimana mereka menggunakan data pribadi dan penyimpangan lainnya dalam kepatuhan. Selain itu, GDPR telah memulai gelombang percakapan dan tindakan tambahan seputar privasi dan keamanan data yang memperjelas bahwa dasar di area utama ini masih jauh dari penyelesaian.

Saat 2019 berlangsung, salah satu pertanyaan besar yang dihadapi merek besar dan kecil di seluruh dunia adalah: apa yang akan terjadi di tahun baru untuk privasi dan keamanan data global? Dan sementara kami tidak memiliki bola kristal yang berfungsi di sini di Braze, kami memiliki hal terbaik berikutnya—SVP Hukum, Penasihat Umum, dan Sekretaris Perusahaan Susan Wiseman dan Penasihat Umum Asosiasi dan Direktur Senior (EMEA) Marjorie Armitage, yang telah berada di garis depan ruang yang berkembang ini dalam beberapa tahun terakhir. Baca terus untuk melihat mereka memetakan prediksi mereka untuk tahun mendatang:

1) Penekanan pada hak privasi konsumen akan menyebar ke luar UE

Banyak ahli hukum akan memberi tahu Anda bahwa GDPR tidak terlalu baru dalam hal konsep hukum intinya. Peraturan tersebut seringkali tidak jelas dan sengaja dibuat demikian—bagian dari upaya para perancangnya untuk memungkinkan undang-undang tersebut tetap fleksibel dan relevan seiring dengan berkembangnya teknologi. (Lagi pula, undang-undang UE yang digantikan oleh GDPR, Data Protection Directive, telah berlaku selama 23 tahun, sejak smartphone hanya sekejap mata di mata Steve Jobs.) Apa yang membuat GDPR menonjol dari yang lain adalah caranya bahwa ia bekerja untuk melindungi warga negara-negara Uni Eropa. Dengan menggambarkan privasi dan keamanan data sebagai semacam hak asasi manusia, undang-undang tersebut melakukan banyak hal untuk memastikan bahwa organisasi di negara lain yang berurusan dengan data pribadi warga negara Uni Eropa menangani masalah ini—dan kepatuhan—secara serius.

Faktanya, UE dan sejumlah negara lain di dunia memiliki undang-undang yang ketat untuk melindungi data pribadi. UE mengizinkan perusahaan untuk mentransfer data pribadi dari UE ke negara-negara lain yang memiliki undang-undang yang sama ketatnya. UE merujuk negara-negara ini sebagai yurisdiksi "memadai". Tetapi jika, misalnya, Anda adalah perusahaan media yang berbasis di Amerika Serikat—yang merupakan negara yang saat ini tidak diakui memadai oleh standar UE—Anda masih dapat memproses data pribadi dari pelanggan Anda di UE, selama Anda memiliki setuju dengan pelanggan Anda bahwa Anda akan melindungi data pribadi dengan cara yang melebihi persyaratan hukum AS. Anda dapat melakukannya dengan melakukan sertifikasi sendiri ke Privacy Shield, atau dengan menandatangani Klausul Model dengan pelanggan Anda. Baik Privacy Shield maupun Klausul Model berfungsi untuk memvalidasi transfer data pribadi ke AS; melakukannya tanpa metode yang diakui oleh UE akan menjadi pelanggaran hukum UE.

Jenis perjanjian ini sangat penting karena sulit bagi suatu negara untuk mencapai kecukupan. Misalnya, karena Amerika Serikat belum memiliki undang-undang nasional menyeluruh yang sejalan dengan GDPR, perusahaan yang berbasis di AS hanya dapat memproses data pribadi UE jika mereka telah menandatangani Klausul Model dengan pelanggan mereka atau jika mereka memiliki sertifikasi mandiri ke EU-US Privacy Shield Framework—yang memungkinkan perusahaan UE untuk mentransfer data pribadi warga negara UE ke perusahaan AS (Seperti Braze, misalnya!)

2) Amerika Serikat mungkin tidak akan menyusun undang-undang privasi data federal pada tahun 2019—tetapi undang-undang negara bagian akan mengambilnya

Meskipun benar bahwa AS tidak memiliki undang-undang nasional yang memenuhi standar yang disyaratkan oleh otoritas perlindungan data di UE, dalam hal privasi dan keamanan data konsumen, kami perlahan tapi pasti mulai melihat negara bagian demi negara bagian. undang-undang ikut bermain.

Tahun lalu, California menjadi negara bagian pertama di negara itu yang meloloskan undang-undang privasi data baru dengan pembuatan California Consumer Privacy Act. Undang-undang ini merupakan terobosan dalam hal persyaratan privasi data AS, menjamin hak konsumen atas akses dan penghapusan data, serta mewajibkan perusahaan untuk memperbarui kontrak pemrosesan data pihak ketiga untuk memastikan kepatuhan dengan cara yang mengingatkan pada aturan pengontrol/pemroses yang ditetapkan. di GDPR, di antara persyaratan pertama lainnya di AS

Ketika pemberlakuan GDPR mulai berlaku pada Mei 2018, lebih dari beberapa perusahaan AS memilih untuk menangani peraturan baru yang besar ini dengan, yah... tidak menanganinya. Artinya, beberapa organisasi yang tidak memiliki pelanggan di UE memilih untuk tidak mengupayakan kepatuhan GDPR karena mereka tidak memiliki pelanggan di UE; sementara itu, perusahaan lain yang memiliki pelanggan di UE memilih untuk menutup mereka daripada mencoba mengikuti undang-undang baru. Beberapa merek di California, pusat teknologi dan media utama di AS, juga terlibat dalam masalah ini—ingat ketika Los Angeles Times menghapus situs web mereka sepenuhnya di UE, semuanya agar mereka tidak harus mematuhi GDPR? Nah, sekarang perusahaan yang sama memiliki waktu kurang dari satu tahun untuk mematuhi California Consumer Privacy Act sebelum penegakan dimulai pada 1 Januari 2020.

Secara keseluruhan, sangat diperlukan perusahaan yang berbasis di AS—besar dan kecil, baru dan mapan—untuk mulai bergerak menuju kenyataan di mana privasi data pelanggan dan hak keamanan diberikan. Sementara California adalah negara bagian pertama yang meloloskan undang-undang privasi data yang sepenuhnya baru setelah GDPR, kami melihat negara bagian lain seperti Louisiana, Alabama, Colorado, dan Virginia mengambil langkah untuk memperkuat undang-undang yang ada seputar privasi data. (Selain itu, Vermont sebelumnya mengesahkan undang-undang baru yang memperketat peraturan pialang data dan menetapkan standar keamanan minimum.)

Meskipun sejauh ini tidak ada tanda-tanda bahwa pemerintah federal AS akan mengambil langkah-langkah untuk merancang undang-undang federal bergaya GDPR tahun ini, perluasan tambal sulam dan undang-undang baru yang diperkuat seputar privasi data di negara bagian demi negara bagian adalah tanda kunci untuk bisnis. bahwa mereka perlu berpikir serius tentang bagaimana mereka saat ini menangani data. Jika tidak, mereka berisiko dibutakan ketika undang-undang nasional yang baru mulai berlaku atau pukulan keras undang-undang negara bagian demi negara bagian membuat tidak mungkin melakukan bisnis di AS tanpa merombak cara mereka memproses dan mengelola data konsumen.

Tidak mungkin Kongres AS ini akan mengesahkan undang-undang [privasi nasional] dalam waktu dekat. Meskipun demikian, privasi jelas ada di pikiran orang. Bahkan di AS, ada peningkatan momentum dan penekanan pada hak privasi dan kebutuhan akan undang-undang yang lebih baik dan lebih banyak. Saya pikir alih-alih melihat Undang-Undang Privasi Federal yang baru dan menyeluruh, kita akan melihat sekelompok negara bagian memberlakukan undang-undang yang serupa dengan apa yang dilakukan California tahun lalu dengan CCPA.

Susan Wiseman, SVP Hukum, Penasihat Umum, dan Sekretaris Perusahaan di Braze

3) Privasi menurut desain akan menjadi normal baru

“Privasi berdasarkan desain” berarti memastikan bahwa sistem dibangun dari awal dengan tujuan untuk menyimpan, melindungi, mentransfer, dan memproses data pribadi menggunakan praktik keamanan standar industri dan mengikuti keinginan konsumen sehubungan dengan data pribadi mereka. Tetapi sementara konsep tersebut telah ada untuk sementara waktu, GDPR adalah peraturan pertama yang memasukkannya sebagai bagian dari persyaratan kepatuhannya. Meskipun parameter apa yang memenuhi syarat sebagai privasi menurut desain dalam GDPR agak kabur, ini memastikan bahwa perusahaan yang patuh mengambil langkah-langkah untuk merancang sistem mereka dengan mempertimbangkan keamanan data.

Memastikan bahwa perusahaan Anda telah memenuhi standar “privacy by design” membutuhkan perhatian dan kewaspadaan dalam hal mengelola informasi. Anda harus tahu dari mana data berasal, individu dan sistem apa yang menyentuhnya, dan kapan data tersebut dapat dan tidak dapat diakses atau digunakan. Semua itu jauh lebih mudah jika Anda membangun sistem dan proses manajemen data yang mengintegrasikan konsep privasi dan keamanan data yang kuat sejak awal.

GDPR menekankan pada memberikan pemahaman yang jelas kepada konsumen tentang bagaimana data mereka digunakan oleh organisasi (tanpa harus membaca dokumen hukum yang besar), memberi mereka kemampuan untuk mengubah preferensi data mereka kapan saja, dan hak untuk mengakses dan meminta penghapusan informasi mereka kapan pun mereka mau. Privasi secara default juga sesuai dengan konsep ini, artinya jika pelanggan belum memperbarui preferensi mereka, pengaturan default harus menjadi tingkat perlindungan dan kontrol data tertinggi. Seperti yang diketahui pemasar, pembatasan semacam ini terkadang dapat berdampak negatif pada pengalaman pelanggan—misalnya, pengguna aplikasi transportasi online akan mengalami pengalaman yang cukup membuat frustrasi jika mereka tidak menyediakan akses ke lokasi mereka. Itu berarti perusahaan harus menggunakan pesan kreatif (dan patuh!) untuk membuat konsumen kasus memutuskan bahwa ada nilai nyata dalam mengizinkan perusahaan tersebut menggunakan data pribadi mereka untuk mendukung pengalaman yang lebih relevan dan lebih berdampak.

GDPR sengaja dibuat luas dalam hal kepatuhan dalam upaya untuk memungkinkan teknologi berkembang. Aspek-aspek tertentu dari Petunjuk Perlindungan Data kedaluwarsa dalam waktu sekitar lima tahun karena internet meledak, jadi anggota parlemen sangat berhati-hati untuk memastikan GDPR agnostik teknologi.

Marjorie Armitage, Associate General Counsel dan Senior Director (EMEA) di Braze

4) Perusahaan akan semakin mencari Validasi Pihak Ketiga

Ketidakjelasan yang disengaja dan melekat pada GDPR adalah inti dari undang-undang tersebut, dan ketidakjelasan itu telah menjadi rintangan utama bagi banyak perusahaan yang ingin mematuhi undang-undang tersebut. Namun untungnya ketidakjelasan yang sama juga memungkinkan bisnis untuk bersama-sama menentukan seperti apa penanganan data yang sesuai, sementara juga memungkinkan ruang bagi teknologi untuk tumbuh dan berkembang. Dan karena membuktikan bahwa perusahaan Anda benar-benar melakukan apa yang Anda klaim dalam hal privasi data adalah komponen kunci kepatuhan GDPR, sistem validasi pihak ketiga akan menjadi semakin penting bagi merek.

Seperti apa itu? Nah, di Braze, fokus kami untuk memastikan bahwa kami memprioritaskan privasi dan keamanan data telah mendorong kami untuk mengejar validasi pihak ketiga atas sistem dan proses kami—yang terbaru, kami berhasil menyelesaikan sertifikasi SOC 2, Tipe 2, dan ISO 27001 selama tahun kalender 2018. Sertifikasi ISO menegaskan bahwa suatu organisasi telah melakukan penilaian komprehensif risiko keamanan dan telah menciptakan Sistem Manajemen Keamanan Informasi (ISMS) yang sesuai dengan persyaratan yang ditetapkan dalam standar manajemen keamanan informasi global ISO, memastikan bahwa perusahaan penerima telah mencapai standar industri protokol keamanan.

Standar ini ditentukan oleh pemangku kepentingan dari seluruh dunia di bawah proses penetapan standar global ISO. Faktanya, Marjorie Armitage kami sendiri saat ini menjabat sebagai wakil ketua subkelompok kerja Inggris dari badan standar Eropa yang bekerja untuk menentukan standar privasi industri yang terkait dengan kepatuhan GDPR. Dan karena jumlah standar yang terkait dengan peraturan privasi data baru meningkat, cari sertifikasi untuk standar seperti ini untuk menjadi taruhan meja bagi perusahaan yang ingin membuktikan kepatuhan mereka kepada konsumen dan regulator.

Akuntabilitas selalu menjadi prinsip utama perlindungan data, tetapi GDPR akhirnya mengkodifikasikannya dalam undang-undang. Anda harus dapat menunjukkan bahwa Anda patuh dan bahwa Anda melakukan semua yang Anda katakan.

Marjorie Armitage, Associate General Counsel dan Senior Director (EMEA) di Braze

Pikiran Akhir

Teknologi telah memungkinkan perusahaan untuk memperoleh pandangan yang kaya dan lebih bernuansa tentang pelanggan dan perilaku mereka daripada sebelumnya—namun penggunaan data pelanggan terperinci yang memperkuat pemahaman itu juga dapat membawa risiko bagi merek dan penggunanya. Bagian dari memanfaatkan data secara efektif adalah memastikan bahwa Anda memiliki proses, alat, dan pengetahuan yang Anda butuhkan untuk melindungi informasi yang dipercayakan pelanggan Anda kepada Anda.

Itulah dunia tempat kita berada, dan risiko serta imbalannya hanya akan semakin besar seiring kemajuan teknologi dan perubahan perilaku konsumen. Untuk menggali lebih dalam pertimbangan utama seputar GDPR, HIPAA, dan yang terbaru tentang bagaimana keamanan data memengaruhi keterlibatan pelanggan, lihat Roundup Keamanan Braze .