Yeni bir CYTRIO’ya göre, çoğu kuruluş veri gizliliği için yaklaşmakta olan uyumluluk standartlarını karşılama konusunda yeterli donanıma sahip değil. bildiri GDPR ve Kaliforniya Tüketici Gizliliği Yasası (CCPA) ve Kaliforniya Gizlilik Hakları Yasası (CPRA) Veri Sahibi Erişim Talebi (DSAR) gerekliliklerine odaklanmıştır.
Ancak sonuçlar, uyumlu olmayan şirketlerin süreçleri otomatikleştirmeye geçerek uyumluluk olgunluk eğrisinde ilerleme kaydettiğini de gösterdi.
Ankete katılan neredeyse tüm kuruluşlar için önemli bir engel, veri gizliliği yönetimi çözümlerinin maliyeti ve karmaşıklığıdır.
CYTRIO CEO’su Vijay Basani, anket bulgusunu en çok ilgilendirenin, CCPA ve CPRA’ya uymaları gerektiğini söyleyen katılımcıların %52’sinin tüketicilerin veri gizliliği haklarını kullanmaları için bir mekanizma sağlamaması olduğunu söylüyor.
“Bu, şirketlerin yarısından fazlasının veri gizliliğini göz ardı etmeyi seçtiği ve tüketicilerin ve onların müşterilerinin haklarına saygı duymaları gerektiğini düşünmediği anlamına geliyor” diyor.
Hala GDPR ve DSAR gereklilikleri için hataya açık ve zaman alan manuel süreçleri kullanan kuruluşlar, çok düşük hacimli (yılda bir ila beş) veri talebi aldıkları için bunu yapıyor olabilir.
Basani, “Bu, tüketicilerin erişim hakkı, bilgilerimi silme veya satmama hakkı gibi veri haklarının farkında olmamaları ve ABD’de aktif yaptırım ve uyumsuzluk nedeniyle para cezaları olmamasının bir işlevi olabilir” diyor.
Theon Technology’de danışma konseyi üyesi olan Bryan Cunningham, pek çok uyum programının çoğunlukla teknolojiyi değerlendirmek için yeterli donanıma sahip olmayan avukatlar veya finans uzmanları tarafından yürütüldüğünü ve genellikle yeni teknolojiyi benimseme konusunda “biraz çılgınca” olduğunu açıklıyor.
“Ayrıca riskten oldukça kaçınıyorlar ve kısmen anlayış eksiklikleri nedeniyle, otomatikleştirilmiş süreçlerin manuel, insan denetimi olmadan uygunluğu sağlayabileceğinden şüphe duyuyorlar” diyor.
Ayrıca, bu tür işleri yapmak için yüksek performanslı, güvenilir ve uygun fiyatlı teknolojiler, çözümler geliştirmek ve satmak için çalışan birçok satıcıya rağmen henüz hazır değil.
Gizlilik Yönetimi Çözümleri Karmaşık, Maliyetli
Basani, birinci nesil veri gizliliği yönetimi çözümlerinin çoğunun etkili iş akışı otomasyonu yetenekleri sunduğunu ancak otomatikleştirilmiş veri keşfetme yetenekleri sağlamadığını söylüyor.
Veri keşfi ve belirli bir bireye ait tüm kişisel bilgilerin (PI) tanımlanması en çok zaman alan görevdir.
“Tipik bir şirket, SharePoint, Office 365, Mailchimp, AWS S3 vb. gibi yapılandırılmış veritabanları ve yapılandırılmamış veri depolarının yanı sıra Salesforce gibi SaaS uygulamaları dahil olmak üzere birçok veri deposunda PI verilerinin parçalarını ve parçalarını kaydedecektir. HubSpot ve Shopify” diye açıklıyor.
Yapılandırılmış, yapılandırılmamış ve hizmet olarak yazılım (SaaS) uygulamalarında PI verilerini keşfetmek için teknoloji geliştirmek kolay değildir ve önemli miktarda yatırım gerektirir.
Basani, “Bunu yapan teknoloji araçlarının tedarik edilmesi maliyetli ve konuşlandırılması zaman alıyor” diyor. “Dağıtım sırasında çeşitli veri paydaşlarının işbirliği yapmasını ve bir veri isteğine yanıt vermesini gerektirir.”
Symmetry Systems veri güvenliği baş savunucusu Claude Mandy’ye göre, veri sahibi taleplerine etkili bir şekilde yanıt vermek için çözümlerin çok çeşitli ve önemli hacimli veri deposu türleri ve bulut ortamlarında görünürlüğe sahip olması gerekiyor.
“Bu isteklere yanıt vermek için gereken izinler ve entegrasyonlar, karmaşıklık ve ölçek açısından zorlu bir iştir” diyor.
Çoğu çözümün maliyetine ek olarak, birçok kuruluşun geleneksel SaaS yaklaşımını benimsemesi, bu verileri çözüm sağlayıcının tek ortamına endekslemesini gerektirmesi, depolama ve ağ maliyetlerini artırması gerçeğidir.
Bütünsel Veri Gizliliği Yönetiminin Anahtarları
Basani’nin bakış açısına göre, bütünsel bir veri gizliliği politikası, hem tüketicileri KB verilerinin toplandığını açıkça bildiren dışa dönük iletişimi hem de dahili kullanıcıları ve ortakları gizliliğe saygı duyma ve veri gizliliği düzenlemelerine uyma ihtiyacı konusunda eğitmeyi içermelidir.
“Hangi PI verilerinin toplandığını tartışın, tüketicilerden onay alın, verilerin nasıl kullanıldığını, paylaşıldığını, saklandığını ve işlendiğini paylaşın” diyor. “Bir gizlilik politikası, bir tüketicinin şirket tarafından toplanan kişisel verileri hakkında hangi haklara sahip olduğunu açıkça belirtmelidir.”
Ayrıca, bir tüketicinin bilgilerine erişme veya bilgileri silme hakkı gibi veri gizliliği haklarını kullanması için kolay bir mekanizma sağlamalıdır.
Paydaşlar, bir kuruluştaki hukuk ve uyum ekiplerini, veri sahiplerini, veri işleyicileri ve veri kullanıcılarını içerir.
Symmetry Systems’den Mandy, bütüncül bir veri gizliliği politikasının her zaman bir kuruluşun topladığı, kullandığı, sakladığı ve paylaştığı kişisel bilgilerin doğru ve kesin bir şekilde anlaşılmasıyla başlaması gerektiğini söylüyor.
“Organizasyonların, gerçek uygulamalarını yansıtan bir veri gizliliği politikasını güvenilir ve şeffaf bir şekilde oluşturabilmeleri ancak bilgilerin doğru bir şekilde anlaşılmasıyla mümkündür” diyor.
Politikanın fiili uygulamadan istenen duruma rafine edilmesi, baş hukuk müşaviri, güvenlik, gizlilik ve veri ekiplerinin katılımını gerektirecektir.
Mandy, “En önemlisi, kişisel bilgilerin nasıl kullanıldığını ve neden gerekli olduğunu açıklayabilen iş paydaşlarıdır” diye ekliyor.
Uyumluluk Gereksinimlerinin 2023’te Artması Muhtemel
CYTRIO raporu, California, Colorado, Virginia ve en son olarak Utah’ın hamlelerini takiben, artan sayıda eyaletin kendi gizlilik yasalarını tartmasıyla geldi.
Basani, “Veri gizliliği uyumluluğunun 2023’te birkaç eyalette ilerlemeye devam etmesini beklemeliyiz” diyor.
1 Ocak 2023’te yürürlüğe girecek olan CPRA’ya ek olarak, birçok eyalette uygulama başladığında, veri gizliliği hakları hakkında tüketici eğitiminin artırılacağını belirtiyor.
“CPPA, dikkatini önemli ölçüde daha fazla kaynakla CPRA yaptırımına çevirdikçe, CCPA/CPRA kapsamındaki CPRA uygulama eylemlerinde ve para cezalarında anlamlı bir artış bekliyoruz” diyor.
Basani, artan sayıda CCPA/CPRA cezalarının ve medya kapsamının, tüketicinin veri gizliliği hakları konusunda daha fazla eğitim almasıyla sonuçlanacağını da ekliyor.
“Bunun Avrupa’da GDPR kapsamında gerçekleştiğini gördük ve bunun CCPA/CPRA ile gerçekleştiğini göreceğiz” diyor. “Çalışanların CPRA kapsamındaki veri gizliliği hakları, CPRA kapsamındaki uyumsuzluk nedeniyle şikayet sayısını ve olası para cezalarını da artırmalıdır.”
Coalfire’da strateji, mahremiyet ve riskten sorumlu yönetici Mandy Pote, daha fazla eyalet kendi eyalet mahremiyet yasalarını geliştirdikçe, mahremiyet ortamı daha karmaşık hale gelmeye devam edecek, diye ekliyor.
“Kuruluşlar, uygulanabilirliği anlamak ve raporlama gerekliliklerini belirlemek gibi yeni gereksinimlere ayak uydurmakta zorlanabilirler” diyor.
Onun bakış açısına göre en iyi çözüm, mevcut ve gelecekteki gizlilik yasalarını takip edecek şekilde en sıkı gizlilik kontrol gerekliliklerini uygulamak amacıyla kapsamlı bir veri gizliliği programı benimsemektir.
“Bu programı belirli sistemlere veya belirli bir veri alt kümesine uygulamak yerine, gizliliğin uygun kapsamı sağlamak için kuruluş genelinde kapsamlı bir şekilde uygulanması gerekir” diye belirtiyor.