Bu Help Net Security röportajında Oracle SaaS Cloud Gizlilik Uyumluluğu Başkanı Evelyn de Souza, her ülkedeki gizlilik yasalarına uymak ve tüm kuruluş genelinde uyumluluğu sağlamak için gereken sürekli çabalardan bahsediyor.
Ayrıca çeşitli departmanlar ve bölgeler genelinde tutarlı gizlilik politikalarının uygulanmasındaki temel zorlukları ve bunların nasıl çözüleceğini tartışıyor.
İçerikte ifade edilen görüş ve fikirler yalnızca yazara ait olup herhangi bir bağlı şirkete ait değildir.
Veri gizliliği ortamı, özellikle birden fazla ülkede faaliyet gösteren kuruluşlar için karmaşıktır ve sürekli olarak gelişmektedir. Her ülkedeki gizlilik yasalarını nasıl takip ediyor ve tüm kuruluş genelinde uyumluluğu nasıl sağlıyorsunuz?
Her ülkedeki gizlilik yasalarına uymak sürekli bir çaba gerektirir. Neyse ki IAPP düzenleme izleyicileri gibi bu yükü hafifletebilecek kaynaklar var. Günümüzün gizlilik düzenlemelerinin çoğu “GDPR benzeri” bir yapıya sahip olsa da, düzenlemeler arasındaki farklar giderek daha incelikli hale geliyor; örneğin, ABD eyaletinin gizlilik düzenlemelerinden biri katılım gerektirirken, diğeri devre dışı bırakmaya odaklanıyor. Bir gizlilik düzenlemesi kapsamında hassas verileri oluşturan veriler, başka bir gizlilik düzenlemesi kapsamında olmayabilir.
Bu nüanslara rağmen, mümkün olan yerlerde ortak maddeler ve kontroller için uyumlulaştırılmış bir çerçeveyle eşleme yapmanızı öneririm; bu, mükerrer çabaları en aza indirebilir ve ardından ikinci adım olarak, düzenlemedeki farklılıkları gizlilik çerçevenize dahil etmenizi öneririm.
Çeşitli departmanlar ve bölgeler genelinde tutarlı gizlilik politikalarının uygulanmasındaki temel zorluklar nelerdir? Bu zorlukları nasıl aşıyorsunuz?
Çeşitli departmanlar ve bölgeler genelinde tutarlı gizlilik politikaları uygulamak, özellikle gizlilik düzenlemelerinin giderek artan karmaşıklığına ve bazen öngörülemeyen düzenleme güncellemelerine ayak uyduracak kaynaklara sahip olmayan küçük kuruluşlar için zorlayıcı olabilir.
Daha tutarlı bir yaklaşım sağlamaya yardımcı olan önceki soruya verilen yanıta göre, sağlam bir gizlilik çerçevesi oluşturmanın yanı sıra, bu zorluğun üstesinden gelmenin başka bir yolu da kuruluşunuz genelindeki temel bağlamları ve kullanım örneklerini düşünmektir. Paydaşların bunları kolayca özümseyebilmesi için gizlilik politikalarını basit bir dille yazmak ve kuruluşunuzdaki çeşitli departmanlar için geçerli olabilecek belirli kullanım örneklerine göre uyarlamak, gizlilik politikalarının daha ilişkilendirilebilir ve akılda kalıcı olmasına yardımcı olur.
Daha sıkı veri koruma düzenlemelerine yönelik son çağrılar göz önüne alındığında, kurumsal öz düzenlemenin müşteri verilerini korumada ne kadar etkili olduğunu düşünüyorsunuz?
Öz düzenlemenin hem artılarını hem de eksilerini görüyorum. Öz-denetim, kuruluşların genel etik duruşlarıyla iyi uyum sağlayan ve dengeli bir gizlilik duruşuna ulaşmak için çeşitli paydaşları içeren gizlilik standartlarını benimsemelerine olanak sağlamada etkili olabilir. Aynı zamanda bunu bir marka farklılaştırıcısı olarak kullanmak isteyen kuruluşlar arasındaki dostane rekabeti de teşvik edebilir.
Öte yandan öz-düzenleme tutarsızlık yaratabilir. Bir hükümetin veya düzenleyici kurumun açık onayı olmadığında “düzenleme belirsizliği” ortaya çıkabilir ve bu, bazı kuruluşların gizliliğe yatırımlarını ertelemesine neden olabilir.
‘Az çoktur’ düşüncesi veri toplamada önemli görünmektedir. Analitik ve iş hedefleri için hangi verilerin gerekli olduğunu nasıl belirlersiniz?
Analitik ve iş hedefleri için hangi verilerin gerekli olduğunu belirlemek aslında kuruluşun ve girişimin hedeflerine bağlıdır. Hedeflerinizi ve performans göstergelerinizi tanımlayarak başlayın ve ardından doğrudan bu hedef ve performans göstergeleriyle eşlenen veri kaynaklarını ve veri noktalarını tanımlayın.
Girişim açısından bakıldığında, farklı girişimler farklı veri kümeleri gerektirir. Örneğin, pazar araştırmasından, sektör raporlarından ve rakip analizlerinden elde edilen veriler, tüketici davranışı eğilimlerine ilişkin öngörüler sağlayabilirken, müşteri memnuniyeti içeren girişimler için müşteri incelemeleri ve anketlere ihtiyaç duyulabilir.
Girişimlerinizin iş hedefleri, hedefleri ve performans göstergeleriyle uyumlu kalmasını sağlamak için veri gereksinimlerinizi düzenli olarak gözden geçirin.
Sağlam veri analitiği ve müşteri kişiselleştirme ihtiyacını veri gizliliğinin etik ve yasal sorumluluklarıyla nasıl dengelersiniz?
Kişiselleştirilmiş veri analitiği ihtiyacını etik ve yasal veri gizliliği sorumluluklarıyla dengelemeye yönelik stratejilerden bazıları şunlardır:
- Veri minimizasyonu: Önceki yanıta göre, gizlilik riski oluşturabilecek aşırı miktarda veri toplamaktan kaçının ve yalnızca iş hedefine özel olanları toplayıp kullanın.
- Şeffaflık: Neyin toplandığı, nasıl toplandığı ve nasıl kullanılacağı konusunda politikalarınızda şeffaf olun. Son kullanıcılarınızdan açık izin alın.
- Güçlü veri yönetimi: Veri gizliliği duruşunun sürekli gelişmesini sağlamak için yalnızca veri güvenliği değil, aynı zamanda tasarım gereği gizlilik, müşteri eğitimi, denetimler ve incelemeler gibi alanlarda da güçlü gözetim sağlayın.
Müşteri analitiği ile gizlilik arasındaki denge, bir gizlilik kültürünün geliştirilmesi ve kuruluşunuz içindeki verilere ve son kullanıcılara saygı gösterilmesi konusunda sürekli bir kararlılık gerektiren hassas bir dengedir.
Yapay zeka ve makine öğrenimi teknolojilerinin gelişmesiyle birlikte, gizlilik uyumluluğu açısından gelecekteki zorluklar ve fırsatlar nelerdir?
Yapay zeka ve makine öğrenimi teknolojileri gelişmeye devam ettikçe etik sorunlar, önyargılar ve yasal uyumluluk gibi zorluklar da ortaya çıkıyor ancak fırsatlar da oldukça önemli. Yapay zeka, veri ihlali olasılığını potansiyel olarak azaltmak amacıyla anormallik ve tehdit tahmini gibi veri korumasını geliştirmek için kullanılabilir. Uyumluluk ve uyumluluk raporlamasının bazı yönlerini otomatikleştirmek için kullanılabilir.
Ek olarak, gizliliği artırmak için bazı alanlarda diferansiyel gizlilik ve güvenli çok partili hesaplama gibi teknikler uygulanabilir.
Veri gizliliği ve uyumluluğuna yaklaşımımızda devrim yaratacak yeni teknolojiler var mı?
Güvenliği, şeffaflığı ve kişisel veriler üzerindeki kontrolü artırma potansiyeline sahip birçok yeni teknoloji bulunmaktadır.
Akla gelen ancak zorlukları da olmayan iki tanesi şunlardır:
- Homomorfik şifreleme: Bu teknoloji, hassas bilgileri ifşa etmeden şifrelenmiş veriler üzerinde analiz yapılmasını mümkün kılabilir.
- Blockchain ve dağıtılmış defter teknolojisi: veri bütünlüğünü geliştirmek, rızayı yönetmek ve gizlilik uyumluluğuna yönelik denetim izlerini yönetmek için kullanılabilir.
Bunlar tek teknolojiler değildir ve gelişen teknolojileri benimserken bunların gizlilik ve uyumluluk hedeflerinizle uyumlu olduğundan emin olmak için kuruluşunuzun özel ihtiyaçlarını ve düzenleyici gerekliliklerini dikkate almanız önemlidir.