Neredeyse on yıl süren “yapacaklar mı, yapmayacaklar mı?” tartışmasının ardından ABD, kendi kapsamlı veri gizliliği yasasının eşiğinde. Yakın zamanda önerilen Amerikan Gizlilik Hakları Yasası (APRA) Avrupa’nın Genel Veri Koruma Yönetmeliği’nin (GDPR) uygulanmasından yaklaşık sekiz yıl sonra sağlam düzenlemeler oluşturmayı hedefliyor.
Fakat, Uyumluluğa giden yol pürüzsüz olmayacak. Avrupa’nın GDPR ile ilgili deneyimine baktığımızda, ufukta ticari büyümede önemli sıkıntılar olduğunu görüyoruz. Yönetmelik yürürlüğe girmeden önce bile, AB şirketlerinin üçte biri teknolojilerinin verileri etkili bir şekilde yönetemeyeceğinden endişe ediyorlardı. Kuruluşlar GDPR’nin geniş kapsamı, karmaşık risk değerlendirmeleri ve sıkı kayıt tutma gereklilikleri ile uğraşırken bu korkuların haklı olduğu ortaya çıktı. Ortalama olarak, firmalar şaşırtıcı bir harcama yaptı 1,3 milyon euro sadece yeni kurallara hazırlanmak için.
ABD, veri gizliliği revizyonuna hazırlanırken, işletmelerin Avrupa’nın sıkıntılarına ve sıkıntılarına kulak vermesi gerekiyor. Veri uygulamalarını güncelleyerek, personeli eğiterek ve uyumluluğu en baştan sağlayarak APRA’nın önünde kalmak, aynı maliyetli yanlış adımlardan kaçınmak için kritik öneme sahip olacaktır.
Veri Gizliliğine Giden Uzun Yol
ABD’de veri gizliliği konusunda bir kaçınılmazlık hissi var. Kaliforniya’nın Tüketici Gizliliği Yasası’ndan Virginia’nın Tüketici Verilerinin Korunması Yasası’na kadar yavaş ama emin adımlarla, ulusal düzenlemelerin yokluğunda eyaletler başı çekiyor. Sekiz eyalet daha kapsamlı gizlilik yasalarını yürürlüğe koymaya hazır önümüzdeki iki yıl içinde.
Devlet düzenlemeleri mahremiyet açısından elbette iyidir, ancak çeşitli kuralların bir karışımını oluşturur. Federal bir yaklaşım, eyalet mevzuatının önüne geçecek, oyun alanını eşitleyecek ve şirketler için çok ihtiyaç duyulan öngörülebilirliği sunacaktır. Daha da önemlisi, anket verileri gösteriliyor Siyasi yelpazede daha sıkı veri gizliliği için geniş halk desteği.
İki partili öneri tanıdık bir okuma sağlıyor. GDPR’ye benzer şekilde APRA da şirketlere daha güçlü veri güvenliği standartlarına uyma veya yaptırımlarla karşılaşma sorumluluğunu yüklüyor, tüketicilere hedefli reklamlardan vazgeçme ve üzerlerinde tutulan kişisel verileri en aza indirme gücü veriyor.
Teorik olarak APRA, tüketiciler ve onların bilgileri için gecikmiş bir korumadır. Uygulamada, Avrupa GDPR’sinin de gösterdiği gibi, kanunun lafzına uymak söylenenden daha kolaydır.
Avrupa Geleceğe Bir Bakış
GDPR, şirketlerin tüketici verilerini nasıl ele aldığına dair büyük sorular sordu. Avrupalı şirketlerin, özellikle 20 milyon avro veya yıllık cironun %4’ü kadar potansiyel cezalar söz konusu olduğunda büyük ve hızlı yanıtlara ihtiyacı vardı. Uyumluluk konusundaki acele, bugüne kadar hala etkisini sürdüren hatalara ve verimsizliklere yol açtı.
İlk olarak, düzenlemenin tam kapsamı var. Avrupalı işletmeler, yaşam döngülerini takip etmekten belirli depolama protokollerine bağlı kalmaya kadar veri yönetimi altyapılarını elden geçirmekle boğuşuyordu. Açık bir politikası veya iç savunucusu olmayan şirketler, mevcut sistem ve süreçleri yenilemek için çabaladılar.
Eğitim veya eğitim eksikliği, uyum çabalarını daha da zorlaştırıyor. Yönetim her zaman yeni veri taleplerini iletmedi ve çalışanlara gelişen rolleri ve sorumlulukları konusunda talimat vermedi. Bu, kişisel verilerin korunamaması veya verilerin yetkisiz taraflarla paylaşılması gibi insan hatalarına yol açtı.
Üçüncüsü, bazıları yardım istememe hatasına düştü. Küçük işletmeler, yönetmeliğin gerektirdiği risk değerlendirmelerine veya kayıt tutma süreçlerine ayak uyduramadı. Yine, uygun veri haritalaması ve sorumlulukların somut bir şekilde anlaşılması olmadan şirketler kendilerini başarısızlığa hazırlıyor.
Bugün bile bu sorunlar, Avrupalı şirketlerin çoğunluğu için tam uyumu ulaşılmaz hale getiriyor. Ocak ayında yayınlanan bir rapor 1.000’den fazla gizlilik uzmanıyla anket yapıldı ve bunların yalnızca %7’si “çoğu” denetleyicinin GDPR’nin herhangi bir bölümüne tamamen uyduğuna inanıyor. Ayrıca ortalama bir şirketin dörtte üçünde hâlâ ilgili ihlaller mevcut.
Kendi veri gizliliği düzenlememizin arifesinde Amerikan şirketleri için alınacak ders nedir? Şimdi hazırlanın.
Düzenlemenin Önüne Geçin
APRA bu seçim yılında engellerle karşılaşsa bile, ki muhtemelen federal veri denetiminin arkasında bir ivme var. Her geçen durum argümana ağırlık katıyor ve bir devrilme noktası yaklaşıyor.
Amerikan şirketleri bu önemli pencereden faydalanmalı. Veri koruma planınızı oluşturarak veya tekrar kontrol ederek erken başlayın. Ekosisteminizi izleyen ve tüketici verilerinizin nerede bulunduğunu anlayan bir veri koruma görevlisini işe almayı düşünün. Daha da önemlisi, bu kişi yönetim ekibiyle yakın işbirliği içinde çalışabilir ve tüm paydaşların tüketici verilerinin korunmasının önemini (ve bunu yapmamanın sorumluluğunu) anlamasını sağlayabilir.
Daha sonra çalışanlarınızı geziye getirin. Çalışanların tüketici verileriyle özel etkileşimlerine göre eğitimleri uyarlayın. Bu bir defaya mahsus değil, tüm ekibin en iyi uygulamaları, neyin tehlikede olduğunu ve nasıl uyulması gerektiğini anlamasını sağlayan sürekli bir faaliyettir.
Son olarak, kritik veri sorumluluklarını otomatikleştiren akıllı araçları ve platformları benimseyin. Uyumluluk çözümleri, bir şirketin güvenlik kontrollerinin sürekli olarak izlenmesi ve kanıtlarının toplanması açısından çok değerli olabilir. Ek olarak, birleşik uç nokta yönetimi, güçlü parolaları ve yazılım güncellemelerini zorunlu kılarken veri şifrelemeyi ve konteynerleştirmeyi kolaylaştırabilir. Bu platformlar aynı zamanda kayıt tutma ve hata kaydı süreçlerini de otomatik hale getirebilir. Ayrıca, hiçbir cihazın doğası gereği güvenilir olmadığı sıfır güven güvenlik modellerinin uygulanması, kuruluşunuzun güvenlik duruşunu önemli ölçüde güçlendirebilir ve tüketici verilerini daha iyi koruyabilir.
Veri gizliliğinin önüne geçmek sadece kendinizi iyi hissetmenizi sağlayacak bir uygulama değil, aynı zamanda Avrupalı işletmelerin karşılaştığı düzenleme tuzaklarından kaçınmak için de kritik önem taşıyor. Amerikan işletmeleri veri koruma planları geliştirerek, personeli eğiterek ve otomasyonu şimdi gerçekleştirerek kaçınılmaz olana hazırlanabilir ve halkın güvenini koruyabilir.