GDPR風(fēng)暴即將來臨—您準(zhǔn)備好了嗎?
圖片來源:https://pixabay.com/photo-2100663/
如果您還不遵守GDPR法規(guī),那么在接下來的幾個月里您可能會遇到一些大麻煩。
回想2018年初,全球充滿了各種評論GDPR的聲音。它是否意味著營銷的終結(jié)?有企業(yè)真的合規(guī)嗎?這對企業(yè)來說是好消息還是壞消息?GDPR會像Cookie指令一樣成為啞炮嗎?
如果您認(rèn)為GDPR只是一個很熱門話題,那么接下來的幾個月您可能要為自己辯護(hù)了。GDPR在很大程度上已經(jīng)脫離了大多數(shù)媒體的關(guān)注范圍,許多企業(yè)主也是如此。然而,我們只是處在風(fēng)暴的中心。在過去的一段時間里,由于未能遵守GDPR,F(xiàn)acebook和Twitter受到監(jiān)管機構(gòu)的直接關(guān)注,歐盟已經(jīng)發(fā)出嚴(yán)厲警告,將在今年年底前對其處以高額罰款。同樣,英國信息委員會辦公室(ICO)也加大了警告力度,表示可能會采取重大行動。除了這種勢頭之外,還有一系列引人注目的數(shù)據(jù)泄露事件,其中最新的處罰對象是Google+。
對于那些自5月份以來就把GDPR合規(guī)性放在次要位置的企業(yè)主來說,警告再清楚不過了:如果不遵守GDPR合規(guī)性,那么在接下來的幾個月里您可能會遇到一些大麻煩。
Facebook很快成為糟糕數(shù)據(jù)治理的典型,劍橋分析、數(shù)據(jù)泄露和GDPR失敗都很快相繼出現(xiàn),為企業(yè)如何收集和管理數(shù)據(jù)提供了一個研究案例。雖然人們可能會陶醉于某種幸災(zāi)樂禍,但更好的方法是看看每個企業(yè)都能從Facebook學(xué)到什么,以及如何保護(hù)自己免受預(yù)期的GDPR風(fēng)暴影響。
數(shù)據(jù)治理的弱點
首先,不用說,金融機構(gòu)擁有一些最敏感的個人數(shù)據(jù),值得慶幸的是,與帳戶信息相關(guān)的最重要數(shù)據(jù)在很大程度上得到了很好保護(hù),然而,在銀行賬戶周邊設(shè)置的高安全標(biāo)準(zhǔn)會滋生自滿情緒,尤其是當(dāng)您認(rèn)為這不是普通金融企業(yè)掌握的唯一信息時。市場營銷、客戶服務(wù)和銷售部門通常都有自己的客戶數(shù)據(jù)庫,這些數(shù)據(jù)庫可能會受到截然不同的安全和治理標(biāo)準(zhǔn)的制約。與這些數(shù)據(jù)相關(guān)的違規(guī)行為可能會對金融機構(gòu)造成致命傷害,并導(dǎo)致GDPR的巨額罰款。
普遍自滿是數(shù)據(jù)管理和保護(hù)的弱點。對于Facebook來說,它的自滿表現(xiàn)在標(biāo)準(zhǔn)松懈、做法可疑以及認(rèn)為自己永遠(yuǎn)不會被追究責(zé)任。對于金融機構(gòu)而言,它可能導(dǎo)致與被認(rèn)為不那么“敏感”數(shù)據(jù)相關(guān)的盲點。通常,為了實現(xiàn)順暢的營銷、客戶管理和銷售操作,客戶數(shù)據(jù)比財務(wù)信息更容易獲取,與更多方共享,更新更頻繁,并輸入更多平臺,這些過程中的每一個都會增加風(fēng)險。使這一問題更加復(fù)雜的是,普遍缺乏與這些數(shù)據(jù)造成傷害能力的相關(guān)教育。許多人會問,電子郵件地址對黑客有什么用?簡單的回答是,用處很多。這就是為什么GDPR尋求保護(hù)個人數(shù)據(jù)的原因。
如果您已經(jīng)遇到了本文中說的這些內(nèi)容,并且您開始對數(shù)據(jù)實踐感到懷疑——那很好,現(xiàn)在是審核和審查所有數(shù)據(jù)流程和安全標(biāo)準(zhǔn)的最佳時機。基線應(yīng)該是——是否符合GDPR標(biāo)準(zhǔn)? 而新技術(shù)、團(tuán)隊和計劃都會影響您的數(shù)據(jù)流程并導(dǎo)致不合規(guī)。
個人數(shù)據(jù)文化
如果您不希望GDPR成為一個問題,那么就必須立即著手。在這種情況下,購買技術(shù)并利用專家顧問服務(wù)將是最快(但不是最便宜)的選擇。
接下來,您的員工總體理解是什么?如果您的同事不了解什么是GDPR以及數(shù)據(jù)泄露的危險,那么所有程序和技術(shù)保障都將毫無意義。定期開展全企業(yè)范圍的培訓(xùn),并將數(shù)據(jù)管理專業(yè)知識和道德納入員工發(fā)展和評估中,這是衡量和改進(jìn)教育的有力方法。
最后,如果最壞的情況發(fā)生并且存在違規(guī)行為—您準(zhǔn)備好應(yīng)對了嗎?我們一次又一次地看到,對數(shù)據(jù)泄露的處理不當(dāng)通常會比違規(guī)本身造成的損害更大。再一次——我要指出Facebook及其對它遇到每一個數(shù)據(jù)問題的答復(fù)都不及時、不完整和不令人滿意。
不及時回應(yīng)是未能制定正確程序的表現(xiàn)。這可能是因為沒有技術(shù)或?qū)I(yè)知識可以在第一時間確定違規(guī)行為,或者沒有授權(quán)合適的人快速做出決策。您需要從這樣一個立場出發(fā),任何違規(guī)行為,無論看起來多么輕微,都是嚴(yán)肅的,應(yīng)該向首席執(zhí)行官領(lǐng)導(dǎo)的專家小組報告。團(tuán)隊中應(yīng)該有IT主管、營銷、客戶服務(wù)和法律部門。應(yīng)該盡快通知消費者,既要符合GDPR,又要安撫消費者。企業(yè)需要確定誰受到了影響、如何、出了什么問題、如何修復(fù),以及未來如何保護(hù)消費者。確定和交流這些內(nèi)容的速度越快,最終結(jié)果就越好——尤其是在ICO參與的情況下。和任何事情一樣,熟能生巧,與這樣團(tuán)隊一起進(jìn)行實戰(zhàn)操練并制定的理想應(yīng)對措施和應(yīng)急計劃一定會有所不同。
我們現(xiàn)在生活在一個企業(yè)聲譽和未來可能被黑客和數(shù)據(jù)泄露摧毀的世界,這種環(huán)境通常都是由企業(yè)造成的。長期以來,有一種文化認(rèn)為個人數(shù)據(jù)是企業(yè)可以隨意處理的商品,現(xiàn)在環(huán)境不同了,如果您是眾多企業(yè)所有者之一,這些企業(yè)仍然認(rèn)為數(shù)據(jù)治理只是IT部門需要擔(dān)心的事情——那么您將會大吃一驚。到今年年底,許多大型企業(yè)將遭受近乎致命的罰款,作為對其他企業(yè)的警告。那么,現(xiàn)在采取行動將確保您的企業(yè)不是這些警示故事之一。