Med 65% av den globale befolkningen forventes å ha sine personopplysninger dekket under moderne personvernforskrifter innen 2023, respekt for personvern har aldri vært mer kritisk. Som et eksempel, innføringen av den føderale American Data Privacy and Protection Act (ADPPA), sammen med den nylige vedtaket av et lappeteppe av personvernlover på statlig nivå, har gjort det nåværende amerikanske personvernlandskapet stadig mer komplekst. Dette resulterer i utfordringer for organisasjoner, både når det gjelder å håndtere eksploderende datamengder og å forstå hvordan spesifikke personvernregler gjelder for dem.
Ettersom bedrifter av alle størrelser prøver å holde seg på toppen av stadig skiftende personvernlover og proaktivt overvåker relevante regler, bør de også ta nødvendige skritt for å kartlegge hvor forbruker- og arbeidsdata bor, og de potensielle risikoene for disse dataene. Ved å styrke cybersikkerhetsforsvaret kan organisasjoner være bedre forberedt på personvernforskrifter, nå og i fremtiden.
La oss huske hvorfor dette har blitt så viktig. For det første er forbrukere og ansatte mer informert enn noen gang om personlige rettigheter og hvordan personvernregler gjelder for dem. Dette er en viktig og positiv utvikling, tatt i betraktning den dramatiske økningen i risiko for bøter og rettssaker for manglende overholdelse — et av grunnlagene som er nødvendige for å beskytte individuelle rettigheter.
Konvergensen av personlig identifiserbar informasjon (PII) og beskyttet helseinformasjon (PHI) representerer også datarisiko. For eksempel kan betalingsinformasjon fra et forsikringskrav, sammen med en e-postadresse og andre digitale brødsmuler som finnes på Internett, brukes til å stjele identiteter eller føre til dataeksfiltrering. I tillegg kan adopsjon og langsiktig aksept av hybride arbeidsmodeller skape utfordringer. Noen organisasjoner stiller sine ansatte svært fokuserte spørsmål om atferd og arbeid hjemmefra-ordninger for måling av produktivitet. Avhengig av de spesifikke spørsmålene, kan det være ytterligere personvernimplikasjoner.
Landskap av forvirring
Gitt de store variasjonene og jurisdiksjonene til gjeldende forskrifter for personvern og beskyttelse av data, kan det være en viss forvirring. For eksempel kan amerikanske selskaper lokalisert i North Dakota som driver virksomhet innenlands være noe mindre opptatt av regler som gjelder utenlands. Derimot, for amerikanske organisasjoner som tilbyr varer og tjenester i Storbritannia eller EU, kan forskrifter som General Data Protection Regulation (GDPR) – sammen med potensialet for straff hvis de brytes – godt gjelde.
I tillegg, i noen organisasjoner kan forutinntatthet knyttet til størrelsen på selskapet føre til overholdelse eller regulatoriske problemer, for eksempel å tro at et selskap er for lite til at personvernforskriftene kan gjelde. Selv om det er sant at de fleste av de nyere forskriftene fokuserer på selskaper av en viss størrelse, kan de faktiske størrelseskriteriene forholde seg til en rekke faktorer, for eksempel antall ansatte eller årlig omsetning. Hvorvidt personvernforskrifter gjelder eller ikke kan også avhenge av mengden forbrukerinformasjon en organisasjon håndterer.
Poenget er at hvert sett med forskrifter har nyanser, og det er derfor det er viktig å forstå både relevansen og grensene til hver enkelt. Dette bør overvåkes under regelmessig gjennomgang, spesielt ettersom organisasjoner vokser og regelverk begynner å gjelde der de ikke gjorde det før. For eksempel har det vært Nylige utviklinger rundt det nye EU–UK Data Privacy Framework, også kjent som Privacy Shield 2.0, angående etterretningsaktiviteter.
En god tommelfingerregel er å følge beste praksis så snart som mulig, så når behovet for formell etterlevelse kommer, er alt på plass. Risikoen for å ta feil er alvorlig, med organisasjoner som potensielt kan risikere massive bøter for manglende overholdelse. Det sier ingenting om innvirkningen på merkevarens omdømme når et alvorlig brudd blir avslørt, inkludert tap av forbruker-, ansatte- eller investortillit, der effektene kan bli langvarige og smertefulle.
På tide med føderale lover?
Nye lover om personvern blir foreslått med jevne mellomrom. Det er fem amerikanske stater som skal ha viktige forskrifter som trer i kraft i 2023: California, Virginia, Colorado, Connecticut og Utah. Med 10 % av amerikanske stater som skal dekkes av personvernlovgivning innen utgangen av neste år, er det klart at en føderal lov vil være nyttig.
Spesielt kan føderal lovgivning spille en kritisk rolle i å samkjøre USA med andre land når det gjelder datavern. Det vil også gi leverandører og brukere sårt tiltrengt klarhet i hvordan de skal bruke, lagre og administrere sensitive data. Dette alene vil langt på vei rydde opp i den utbredte forvirringen som florerer på grunn av det eksisterende lappeteppet av regulering. Selv om det nøyaktige tidspunktet for føderal lovgivning som den foreslåtte ADPPA er uklart, er det ikke et spørsmål om, men når.
Totalt sett eksisterer data og lovene som styrer beskyttelsen av dem i et raskt utviklende regulatorisk økosystem. Ytterligere endringer – både innenlands og internasjonalt – er uunngåelig. Derfor må organisasjoner fokusere på det kort- og langsiktige ansvaret for håndtering og sikring av data. Det er ikke bare det riktige å gjøre etisk og moralsk, det representerer også forsvarlig beslutningstaking for helsen til virksomheten.
