Veri gizliliği dünyasında işler hızla değişiyor. Bu yılın başlarında bana en sık sorulan soru şuydu: “Önerilen federal gizlilik yasası (APRA) AB’nin GDPR’sine ne kadar benzeyecek?” Şimdi APRA Kongre gözlemcileri tarafından neredeyse tamamen ortadan kaldırıldığı için duyduğum soru şu: “ABD’de ulusal bir gizlilik yasamız olacak mı?”
Mevcut durum ve bu noktaya nasıl geldik
GDPR gizlilik yasası 2016’da AB tarafından onaylanıp 2018’de yürürlüğe girdikten sonra gizlilik sektöründeki tüm gözler Amerika Birleşik Devletleri’ne çevrildi. ABD’de federal düzeyde benzer bir yasa için ivme kazanılamayınca, eyalet hükümetleri bu boşluğu doldurmaya başladı. Bugün, Amerika Birleşik Devletleri’nde 20 eyalet gizlilik yasamız var ve daha fazlası bekleniyor.
Bu yeni düzenlemelerde bazı örtüşmeler olsa da, bunların eyaletten eyalete nasıl işletileceği konusunda hala önemli farklılıklar var ve bu da gizlilik ve uyumluluk ekipleri için muazzam bir karmaşıklık yaratıyor. Rekabet eden eyalet düzenlemelerinin bu giderek karmaşıklaşan karmaşasına ek olarak, gizlilik yasaları olmayan uzun bir eyalet listesi de var. Bu, ABD nüfusunun büyük bir yüzdesini herhangi bir tür gizlilik yasasıyla korunmadan bırakıyor.
Çelişkili eyalet yasaları, korunmasız Amerikalıların sayısının fazlalığı, işletmelerin karşı karşıya olduğu karmaşıklık, ortaya çıkan teknolojilerin evrimi ve GDPR’nin başarılı bir şekilde yürürlüğe girmesi gibi faktörlerin birleşimi, Kongre üzerinde Amerika Birleşik Devletleri’nde ulusal bir yasaya doğru ilerleme yönünde baskıyı artırdı.
2022’de federal düzeyde ADPPA adlı bir çerçeveyle ilgili bazı hareketler oldu, ancak hızla ivme kaybetti ve terk edildi. Bu yılın baharında, Amerikan Gizlilik Hakları Yasası (APRA) adlı iki partili yasa tasarısı sunulduğunda Kongre konuyu tekrar ele aldı.
Yasa tasarısı, Senatör Cathy McMorris Rodgers (R-WA) (Temsilciler Meclisi Enerji ve Ticaret Komitesi Başkanı) ve Maria Cantwell (D-WA) (Senato Ticaret, Bilim ve Ulaştırma Komitesi Başkanı) tarafından ortaklaşa desteklendi. Uzun zamandır federal bir yasa savunan gizlilik uzmanları için, iki partili bir teklif APRA’yı gerçek bir ilerleme gibi hissettirdi.
Ancak bu ivme, Kongre’nin yasayı tartışmasının Haziran sonunda resmen başlamasının planlandığı günün arifesinde durdu. İvme, mevzuatta önerilen değişiklikler nedeniyle dağıldı ve temel korumaların ortadan kaldırıldığı suçlamalarına yol açtı. Şimdi, mevzuat rafa kaldırılmış gibi görünüyor.
Bu bizi, pek çok ilgili tarafın bana sorduğu soruya geri getiriyor:
ABD’de ulusal bir gizlilik yasası olacak mı?
Her yerde bulunan teknoloji çağında daha fazla gizlilik koruması isteyen vatandaşlar ve mevcut düzenlemelerin karmaşık yapısı nedeniyle daha fazla operasyonel karmaşıklıkla karşı karşıya kalan iş dünyası olmak üzere iki kaynaktan artarak devam edecek baskıyı göz önünde bulundurarak, federal bir yasanın kaçınılmaz olduğunu düşünüyorum.
Ancak bir şeyin kaçınılmaz olması, yakın zamanda gerçekleşeceği anlamına gelmez. ADPPA’nın ardındaki başarısız çabaların APRA umutlarına yol açması iki yıl sürdü. Kongre’nin buna tekrar bakmaya karar vermesi ne kadar sürecek?
Bunu öngörmek için kimsenin elinde kristal bir küre yok, ancak size kesin olarak söyleyebileceğim şey, güvenlik, gizlilik ve uyumluluk profesyonellerinin o zamana kadar bir hayatta kalma rehberine ihtiyaç duymaları çünkü gizlilik ortamının daha da karmaşık hale geleceği.
APRA’nın Kongre’de oyalanmasının ardından, ABD’de faaliyet gösteren şirketler için gizliliği yönetmek, aşağıdaki faktörler nedeniyle daha da zorlaşacak:
- Genel olarak veriler ve özel olarak sağlık verileri için daha fazla eyalet düzeyinde düzenleme yürürlüğe giriyor
- Beyaz Saray Yürütme Kararlarının Hassas Veriler Üzerindeki Etkisi
- Ülkenin en kalabalık eyaletinde müşterilere satış yapan işletmelere önemli yeni talepler getiren Kaliforniya’nın veri gizliliği düzenlemelerinin yürürlüğe girmesi
- Yapay zeka, tüketici verileri ve içerik denetimiyle ilgili gizlilik sorunları için neredeyse günlük olarak gerçekleşen eyalet kurallarındaki değişiklikler
- Siber güvenlik, yapay zeka ve çevrimiçi güvenlik gibi gizlilikle ilgili düzenlemeler, artan dijital düzenleme ve yönetişime olan ihtiyacı daha da artırıyor.
Her geçen gün bu karmaşıklık büyüyor ve ABD’yi gizlilik için GDPR benzeri tekdüze bir düzenleyici manzara vizyonundan daha da uzaklaştırıyor. Bu, gizlilik programları üzerinde iş birliği yapan gizlilik, güvenlik ve uyumluluk ekiplerinin ABD operasyonları ve müşterileri için tek tip gizlilik politikalarına sahip olamayacağı anlamına geliyor. Bulmaca 25 parçadan 250 parçaya ve 25.000 parçaya çıktıkça uyum sağlayabilen bir stratejiye ihtiyaçları var – kapsamlı bir federal yasanın yokluğunda hızla ilerlediğimiz yol bu.
Bu yasaların her biri, vatandaşların mahremiyetini korumak ve işletmelerin faaliyet gösterebileceği net bir kurallar dizisi sağlamak için bir adım ileridir. Ancak bunlar arasındaki fark ve günlük damla damla değişiklikler, şirketlerin ayak uydurması için zorludur.
Gizlilik uzmanı ne yapmalı?
Federal bir yasayı beklerken, şirketlerin bu düzeydeki çeşitlilik ve dinamik değişime uygun olarak oluşturulmuş bütünsel bir gizlilik stratejisine sahip olması zorunludur.
Öncelikle, kuruluşlar neye sahip olduklarını anlamak için verilerini haritalamalı veya envanterlemelidir. Verileri haritalayarak ve envanterleyerek, kuruluşlar riskleri daha iyi görselleştirebilir, bağlamlandırabilir ve önceliklendirebilir. Ve, hangi verilere sahip olduğunuzu bilerek, yalnızca mevcut gizlilik uyumluluğu risklerini yönetemezsiniz, aynı zamanda yeni gereksinimlere yanıt vermek için daha iyi hazırlanabilirsiniz. Örneğin, bu veri haritaları, verileri paylaştığınız yerdeki veri akışlarını görmenizi sağlayabilir; bu, üçüncü taraf risklerinizi doğru bir şekilde incelemenin anahtarıdır.
Mevcut ve yeni gizlilik yasalarına hazırlıklı olmanızı sağlamanın yanı sıra, kuruluşların verilerinizi nereye dağıttığınızı daha iyi anlayarak riske maruz kalma veya tehlikeye girme riskini en aza indirmek için veri akışlarını tanımlamalarına da olanak tanır.
İkinci olarak, şirketler öncelikli alanları işletmenize yerleştirmek için nasıl işlevsel hale getireceklerini düşünmelidir. Bu, gizlilik şampiyonlarının eğitilmesi ve veriyle ilgili etkiyi daha iyi anlamanızı sağlayan bir değerlendirme programı uygulamak gibi gizlilik uyumluluğu yükümlülüklerini otomatikleştirmek için teknoloji benimsenmesi yoluyla olabilir. Veri satışı veya hedefli reklamlarda kullanımı gibi yüksek risk oluşturan verileri işleyen şirketlerin bazı eyaletlerde bunu yapması gerekebilir.
Ancak, gerekmediğinde bile, verileri tüketici beklentilerine uygun şekilde işlediğinizden emin olmak için bunu yapmak iyi bir uygulamadır. Yukarıda belirtilen veri haritalarını kullanmak ve değerlendirmeleri otomatikleştirmek için tasarlanmış bir süreci otomatikleştirmek, şirketlerin uyumluluk yükümlülüklerini operasyonel hale getirmelerine ve gelecekteki ihtiyaçlara proaktif olarak hazırlanmalarına yardımcı olabilir.
Üçüncüsü, şirketler tedarik zinciri risklerini daha iyi anlamak için adımlar atmalıdır. Paylaştığınız verileri en aza indirmeniz gerekiyor mu? Tedarikçileriniz saygın mı? Gizlilik yasalarına uyuyorlar mı? Dijital ayak izinizi daha iyi anlamak, genel gizlilik riskinizi iyileştirmenize yardımcı olabilir – ancak başka faydaları da vardır. Ne kadar az veri paylaşırsanız, tedarikçiniz tehlikeye girdiğinde verilerinizin tehlikeye girme olasılığı o kadar düşük olur.
Artan siber tehditler ve günlük ihlallerle birlikte, bu kuruluşlar için çok yaygın bir sorundur. Gizlilik programınızı proaktif bir şekilde yönetmek ve verileri daha bütünsel olarak korumak için gizlilik ekiplerinizle çalışmak, kuruluşların bugün uyumluluk gereksinimlerini yönetmelerine ve (umarız!) kabul edildiğinde gelecekteki bir federal gizlilik yasasına hazırlanmalarına yardımcı olur.
Kuralların her saat değiştiği bu bekleme oyununda hayatta kalmak için kritik adımlar bunlar.