Gerekli olmasına rağmen, veri korumaya yönelik son yasal gereklilikler kuruluşlar için ek bir yük haline geldi. Hedef ülkenin mevzuatının da dikkate alınması gerektiğinden, uluslararası veri paylaşımı söz konusu olduğunda bu durum daha da karmaşık hale gelir. Bu, büyük çok uluslu şirketler için olduğu kadar küçük kuruluşlar için de geçerli olduğundan, veri koruma yasalarına uyulmasını sağlamak artık her zamankinden daha önemli.
Artan sayıda veri ihlali ve bunların yol açtığı ilgili zararın ardından, hükümetler veri koruma mevzuatlarını güncelleyerek kuruluşları kişisel verileri korumak için uygun önlemleri almaya zorladı.
“Veri koruma gerekliliği konusunda artan farkındalık, risk oyuncularının ve risk yüzeylerinin artmasından kaynaklandı. Herkesin evden çalıştığı için Covid’in de oynayacağı bir rol vardı – birdenbire tüm bu güvensiz ağlar verilere erişmek için kullanılmaya başlandı. Şu anda inovasyon ve girişim merkezi Plexal’s Cyber tarafından desteklenen altı şirketten biri olan Naq Cyber’in CEO’su Nadia Kadhim, “Dizüstü bilgisayarlar, verilerle nasıl başa çıkmaları gerektiğini ve verileri nasıl korumaları gerektiğini bilmeden evden çalışan insanlara verildi” diyor. Pist Ateşleme şeması.
Birleşik Krallık yasalarında 2018 Veri Koruma Yasası olarak yürürlüğe giren Avrupa Birliği’nin (AB) Genel Veri Koruma Yönetmeliği (GDPR), modern veri koruma yönetmeliği için fiili şablon haline geldi. “Kaliforniya Tüketici Gizliliği Yasası’ndan (CCPA) Güney Afrika’daki Kişisel Bilgilerin Korunması Yasası’na (POPIA) kadar dünyanın dört bir yanındaki veri koruma mevzuatına bakarsanız, bunların tümü GDPR’ye dayalıdır. Orta Doğu ülkeleri bile kendi farklılıklarını yaratmadan önce GDPR’ye bakıp ondan olabildiğince çok şey alarak aynı şeyi yaptı” diyor Kadhim.
“İlginç olan, AB içinde bile bazı ülkelerin GDPR’yi farklı şekillerde yorumlaması ve bunu ulusal mevzuatına koyması” diyor. “Değişiklikler çok büyük olmadı çünkü ülkeler, GDPR’den çok fazla sapmaları halinde kendi ülkelerindeki şirketlerin AB ile iş yapmasını zorlaştıracağının farkında.”
Veri koruma mevzuatları tipik olarak üç veri koruma aşaması içerir:
- İnsanlar: Uygun eğitime ve verilere erişime sahip çalışanlar.
- Koruma: Kullanıcı verilerini maruz kalmaya ve kötüye kullanıma karşı koruyan politikalar.
- Teknoloji: Bilgisayar korsanlığını azaltmak için veri ve ağ güvenlik sistemlerine sahip olmak.
Kültürel etkiler
GDPR’nin veri koruma mevzuatı için bir standart olarak kabul edilmesine rağmen, ülkeler hükümleri farklı yorumladıkları ve kendi kültürel etkilerini uyguladıkları için ülkeler arasında farklılıklar mevcuttur. Örneğin, Birleşik Krallık Veri Koruma Yasası 2018, GDPR’de açıklandığı gibi veri koruma temsilcileri gerektirmez. AB’de bile farklılıklar var. Alman kuruluşlarının resmi olarak kayıtlı bir veri koruma görevlisine (DPO) sahip olması zorunludur, ancak Hollanda’da bu yalnızca bir kamu kurumu için geçerlidir.
Veri koruma mevzuatı arasındaki bu birlik eksikliği, ülkeler arasında veri paylaşımını karmaşık bir süreç haline getirebilir.
İttifak, üye devletler arasında verilerin serbest dolaşımına izin verdiğinden, AB içinde veri paylaşımı nispeten kolaydır. Ancak, AB üyesi olmayan ülkeler için, iki ülke arasında bir yeterlilik kararı alınması gerekir. Bu, her iki ülkenin de diğer ülkenin veri koruma mevzuatının vatandaşlarının verilerini korumak için yeterli olduğunu kabul ettiği yerdir.
Ülkenin AB’nin bir parçası olmadığı ve bir yeterlilik anlaşmasının bulunmadığı durumlarda, AB ve ekonomik yapıları (tek pazar ve gümrük birliği) dışındaki herhangi bir ülkeyi ifade eden üçüncü bir ülke olarak listelenirler. Bu durumda, karmaşık ve zaman alıcı olabilecek her veri alışverişi için standart sözleşme maddelerine ihtiyaç duyulacaktır.
Bu özellikle İngiltere için zor. Başlangıçta Birleşik Krallık, bilgileri diğer üye devletlerle özgürce paylaşabiliyordu. Ancak İngiltere 31’de AB’den ayrıldığında Ocak 2020, ülke, AB veri koruma yasaları söz konusu olduğunda esasen “üçüncü bir ülke” haline geldi. Bu, 28’de tekrar değişti Haziran 2021, İngiltere’nin AB ile bir yeterlilik anlaşması kazandığı zaman. Ancak, göçmenlik ile ilgili bilgi paylaşımı yeterlilik kararı kapsamı dışında tutulmuştur.
Bilgi Komiserliği Ofisi (ICO) gibi büyük çok uluslu kuruluşlar başlangıçta veri koruma uyumluluğu gözetim organlarının odak noktasıydı. Bununla birlikte, ağ oluşturma yetenekleri arttıkça, bilgi paylaşımı daha kolay hale geldi ve böylece daha küçük şirketlerin giderek daha fazla miktarda bilgi paylaşmasına olanak sağlandı. Sonuç olarak, tüm uygun önlemleri aldıklarından emin olmak için küçük şirketler artık çok daha fazla inceleniyor.
Mevzuatın devam etmesi gerekiyor
Bir başka konu da, veri koruma düzenlemelerinin teknoloji deneyimi olan kişiler tarafından değil, genellikle yasa koyucular tarafından yazılmasıdır. Teknoloji her zaman geliştiğinden, mevzuatın buna ayak uydurması gerekir, ancak çoğu zaman gelişimin gerisinde kalır.
Kadhim, “GDPR, Avrupa’da siber güvenliğin ağlarda, cihazlarda ve bulut uygulamalarında nasıl çalıştığını tam olarak anlamamış kişiler tarafından yazılmıştır” diyor. “Uygun teknik siber güvenlik önlemlerinin alınması gerektiğini söyleyerek bunu dikkate aldılar, ancak kuruluşlar risk temelinde neyin uygun olduğuna kendileri karar verebilirler. Yürütme açısından, kuruluşların insanların verileri açısından yaptıklarından veya yapmadıklarından sorumlu tutulmaları gerektiğinden, artık giderek daha küçük işletmelere bakıyorlar.”
Kuruluşların ayrıca eğitim, finans, savunma ve sağlık sektörlerinde faaliyet gösterenler gibi işletmeye özel veri korumayı da dikkate alması gerekir. İş sektörü veri koruma gereklilikleri genellikle bir elektronik tablo üzerinde kutu işaretleme çalışması olarak yürütülür. Bu nedenle, bir şirkete zamanın statik bir anında genel bir bakış sunarlar ve ağların zaman içinde nasıl geliştiğini veya genişlediğini veya lisansların ne zaman sona erdiğini hesaba katmazlar.
Kadhim, “NHS veya Savunma Bakanlığı ile birkaç bin sterlinlik bir anlaşma, bir elektronik tablonun başarılı bir şekilde gözden geçirilmesine bağlıysa, o zaman yanıt genellikle her şeye evet olacaktır” diyor. “İşte tam da bu yüzden durum tespiti anketlerinin veya sertifikalarının hayranı değilim, çünkü sertifikalar bile tamamen doğru olabilecek veya olmayabilecek bir şeyin anlık yansımasıdır ve uygulanmaktadır – bir şeyin olması gerektiği kanısındayım. güvenlik duruşuna gerçek zamanlı ve sürekli bir genel bakış sunan bir yer.”
Buna ek olarak, ihracat kontrolü konusu da ekleniyor: yazılım, teknoloji ve bilgi dahil olmak üzere yasaklı malların ihracatını düzenleyen mevzuat. Bu, kuruluşların bilmesi ve uyması gereken ve ayrıca ihracatçıların bu kontroller kapsamındaki verileri ihraç etmek için bir lisans başvurusunda bulunmasını gerektiren bir başka veri uyumluluk setidir.
Süreci kolaylaştırma
Veri koruma düzenlemelerini çevreleyen çok sayıda zorluğa rağmen, bilgi paylaşım sürecini kolaylaştırdığı için uyumluluk her zaman iyi bir şeydir. Ayrıca, veri koruma uyumluluklarını vurgulayan kuruluşlar, müşterilerine sorumluluklarını ciddiye aldıklarını vurgulayacaklardır. anlaşmalar yapmak, ”diyor Kadhim. “Diğer şirketler için, yapılacak sorumlu şeyin bu olduğunun farkında olmalılar.”
Tersine, veri koruma mevzuatını ihlal etmenin mali cezaları ve buna bağlı itibar zararı da vardır. ICO gibi düzenleyiciler, gözetimlerini daha küçük şirketleri bünyesine katacak şekilde genişlettikçe, kuruluşların veri koruma yönetmeliğini ihlal ettiği tespit edilme riski artar.
Çeşitli veri koruma politikalarına uymak için gereken zaman ve uzmanlık göz önüne alındığında, kuruluşların beklediği sorumlulukların çoğunu otomatikleştirecek teknolojiler geliştirilmektedir. Örneğin, Naq’ın GDPR uyumluluk aracı, gerekli eğitim modüllerini sunmanın ve uygun güvenlik önlemlerinin alınmasını sağlamanın yanı sıra bir kuruluşla ilgili belgeleri otomatik olarak oluşturur.
Veri korumanın geleceği, karmaşık ve değişken bir zorluk olmaya devam ediyor. Yapay zekanın (AI) ve makine öğreniminin bilgi oluşturma ve paylaşma yetenekleri, AI kullanan verilerin kime ait olduğu sorusunu gündeme getiriyor: AI’nın sahibi mi, verileri bilgiyi oluşturmak için kullanılan kişi mi, yoksa başka biri mi?
AB, yakında çıkacak Veri Yasası ile bu sorunlardan bazılarını ele almaya çalışıyor. Kanun, verilerin gereğinden az kullanılmasına yol açan yasal, ekonomik ve teknik sorunları ele alarak daha fazla veriyi yeniden kullanıma hazır hale getirecek yeni kurallar getirecek. Bu eylemin olası sonuçlarından biri, kuruluşların verilerinin özel bir formatta tutulmamasını ve başka bir kuruluşa kolaylıkla aktarılabilmesini sağlamaları gerekmesi olacaktır.
Kadhim, “Mevzuat asla endüstrideki yeni gelişmeler kadar hızlı olmayacak ve zaten olmuş şeyleri geriye dönük olarak düzenlemeye ve yasalaştırmaya çalışacaklar” diyor.
Çok sayıda veri koruma mevzuatına uymak, kuruluşlar için karmaşık ve zaman alıcı olabilir. Bu, özellikle kendilerinden beklenen yasal gereklilikleri anlamak için gerekli uzmanlığa sahip olmayan küçük şirketler için geçerlidir. Veri uyumluluğu araçları, gerekli belgeleri oluşturarak ve kuruluşların uygun veri koruma politikalarına sahip olmalarını ve bunları takip edebilmelerini sağlayarak süreci otomatikleştirebilir.