Med 65% av den globala befolkningen förväntas ha sina personuppgifter täckta av moderna integritetsbestämmelser senast 2023, att respektera dataintegriteten har aldrig varit viktigare. Som ett exempel, införandet av den federala Amerikansk Data Privacy and Protection Act (ADPPA), tillsammans med den senaste passagen av ett lapptäcke av integritetslagar på statlig nivå, har gjort det nuvarande amerikanska integritetslandskapet allt mer komplext. Detta leder till utmaningar för organisationer, både när det gäller att hantera exploderande datamängder och att förstå hur specifika datasekretessbestämmelser gäller dem.
Eftersom företag av alla storlekar försöker hålla koll på ständigt föränderliga dataskyddslagar och proaktivt övervaka relevanta regler, bör de också vidta nödvändiga åtgärder för att kartlägga var konsument- och anställningsdata finns, och de potentiella riskerna med denna data. Genom att stärka cybersäkerhetsförsvaret kan organisationer vara bättre förberedda för datasekretessbestämmelser, nu och i framtiden.
Låt oss komma ihåg varför detta har blivit så viktigt. För det första är konsumenter och anställda mer informerade än någonsin om personliga rättigheter och hur dataskyddsbestämmelser gäller för dem. Detta är en viktig och positiv utveckling med tanke på den dramatiska ökningen av risk för böter och rättstvister för bristande efterlevnad — en av grunderna som krävs för att skydda individuella rättigheter.
Konvergensen av personlig identifierbar information (PII) och skyddad hälsoinformation (PHI) representerar också datarisker. Till exempel kan betalningsinformation från ett försäkringskrav, tillsammans med en e-postadress och andra digitala brödsmulor som finns på Internet, användas för att stjäla identiteter eller resultera i dataexfiltrering. Dessutom kan antagandet och långsiktig acceptans av hybridarbetsmodeller skapa utmaningar. Vissa organisationer ställer sina anställda mycket fokuserade frågor om beteenden och arrangemang hemifrån för att mäta produktivitet. Beroende på de specifika frågorna kan det finnas ytterligare integritetskonsekvenser.
Landskap av förvirring
Med tanke på de stora variationerna och jurisdiktionerna för de nuvarande dataskydds- och dataskyddsbestämmelserna kan det uppstå viss förvirring. Till exempel kan amerikanska företag belägna i North Dakota som bedriver verksamhet på hemmaplan vara något mindre upptagna av regler som gäller utomlands. Däremot, för amerikanska organisationer som erbjuder varor och tjänster i Storbritannien eller EU, kan förordningar som General Data Protection Regulation (GDPR) – tillsammans med risken för påföljder om de överträds – mycket väl gälla.
I vissa organisationer kan dessutom förutfattade meningar relaterade till företagets storlek orsaka efterlevnads- eller regulatoriska frågor, som att tro att ett företag är för litet för att datasekretessbestämmelserna ska gälla. Även om det är sant att de flesta av de nyare reglerna fokuserar på företag av en viss storlek, kan de faktiska storlekskriterierna relatera till en rad faktorer, såsom antalet anställda eller årliga intäkter. Huruvida datasekretessbestämmelser gäller eller inte kan också bero på mängden konsumentinformation som en organisation hanterar.
Poängen är att varje regelverk har nyanser, varför det är viktigt att förstå både relevansen och gränserna för var och en. Detta bör övervakas under regelbunden översyn, särskilt när organisationer växer och regler börjar gälla där de inte gjorde det tidigare. Det har till exempel funnits senaste utvecklingen kring det nya EU–UK Data Privacy Framework, även känt som Privacy Shield 2.0, om underrättelseverksamhet.
En bra tumregel är att följa bästa praxis så snart som möjligt, så när behovet av formell efterlevnad kommer är allt på plats. Risken att göra fel är allvarlig, med organisationer som kan riskera massiva böter för bristande efterlevnad. Det säger ingenting om påverkan på varumärkets rykte när ett allvarligt brott avslöjas, inklusive förlust av konsumenternas, anställdas eller investerarnas förtroende, där effekterna kan bli långvariga och smärtsamma.
Dags för federala lagar?
Nya dataskyddslagar föreslås regelbundet. Det finns fem amerikanska delstater som kommer att ha viktiga regler som träder i kraft 2023: Kalifornien, Virginia, Colorado, Connecticut och Utah. Med 10 % av USA:s delstater som ska omfattas av dataskyddslagstiftningen i slutet av nästa år, är det uppenbart att en federal lag skulle vara användbar.
I synnerhet kan federal lagstiftning spela en avgörande roll för att anpassa USA till andra länder när det gäller datasekretess. Det skulle också ge leverantörer och användare välbehövlig klarhet om hur man använder, lagrar och hanterar känslig data. Enbart detta skulle gå långt för att reda ut den utbredda förvirringen som finns i överflöd på grund av det befintliga lapptäcket av reglering. Även om den exakta tidpunkten för federal lagstiftning som den föreslagna ADPPA är oklar, är det inte en fråga om om, utan när.
Sammantaget existerar data och de lagar som styr dess skydd inom ett snabbt föränderligt regulatoriskt ekosystem. Ytterligare förändring – både nationellt och internationellt – är oundviklig. Därför måste organisationer fokusera på det kort- och långsiktiga ansvaret för att hantera och skydda data. Det är inte bara rätt sak att göra etiskt och moraliskt, det representerar också ett sunt beslutsfattande för företagets hälsa.
