GDPR風暴即將來臨—您準備好了嗎?
如果您還不遵守GDPR法規,那麼在接下來的幾個月裡您可能會遇到一些大麻煩。
回想2018年初,全球充滿了各種評論GDPR的聲音。它是否意味著營銷的終結?有企業真的合規嗎?這對企業來說是好訊息還是壞訊息?GDPR會像Cookie指令一樣成為啞炮嗎?
如果您認為GDPR只是一個很熱門話題,那麼接下來的幾個月您可能要為自己辯護了。GDPR在很大程度上已經脫離了大多數媒體的關注範圍,許多企業主也是如此。然而,我們只是處在風暴的中心。在過去的一段時間裡,由於未能遵守GDPR,Facebook和Twitter受到監管機構的直接關注,歐盟已經發出嚴厲警告,將在今年年底前對其處以高額罰款。同樣,英國資訊委員會辦公室(ICO)也加大了警告力度,表示可能會採取重大行動。除了這種勢頭之外,還有一系列引人注目的資料洩露事件,其中最新的處罰物件是Google+。
對於那些自5月份以來就把GDPR合規性放在次要位置的企業主來說,警告再清楚不過了:如果不遵守GDPR合規性,那麼在接下來的幾個月裡您可能會遇到一些大麻煩。
Facebook很快成為糟糕資料治理的典型,劍橋分析、資料洩露和GDPR失敗都很快相繼出現,為企業如何收集和管理資料提供了一個研究案例。雖然人們可能會陶醉於某種幸災樂禍,但更好的方法是看看每個企業都能從Facebook學到什麼,以及如何保護自己免受預期的GDPR風暴影響。
資料治理的弱點
首先,不用說,金融機構擁有一些最敏感的個人資料,值得慶幸的是,與帳戶資訊相關的最重要資料在很大程度上得到了很好保護,然而,在銀行賬戶周邊設定的高安全標準會滋生自滿情緒,尤其是當您認為這不是普通金融企業掌握的唯一資訊時。市場營銷、客戶服務和銷售部門通常都有自己的客戶資料庫,這些資料庫可能會受到截然不同的安全和治理標準的制約。與這些資料相關的違規行為可能會對金融機構造成致命傷害,並導致GDPR的鉅額罰款。
普遍自滿是資料管理和保護的弱點。對於Facebook來說,它的自滿表現在標準鬆懈、做法可疑以及認為自己永遠不會被追究責任。對於金融機構而言,它可能導致與被認為不那麼“敏感”資料相關的盲點。通常,為了實現順暢的營銷、客戶管理和銷售操作,客戶資料比財務資訊更容易獲取,與更多方共享,更新更頻繁,並輸入更多平臺,這些過程中的每一個都會增加風險。使這一問題更加複雜的是,普遍缺乏與這些資料造成傷害能力的相關教育。許多人會問,電子郵件地址對黑客有什麼用?簡單的回答是,用處很多。這就是為什麼GDPR尋求保護個人資料的原因。
如果您已經遇到了本文中說的這些內容,並且您開始對資料實踐感到懷疑——那很好,現在是稽核和審查所有資料流程和安全標準的最佳時機。基線應該是——是否符合GDPR標準? 而新技術、團隊和計劃都會影響您的資料流程並導致不合規。
個人資料文化
如果您不希望GDPR成為一個問題,那麼就必須立即著手。在這種情況下,購買技術並利用專家顧問服務將是最快(但不是最便宜)的選擇。
接下來,您的員工總體理解是什麼?如果您的同事不瞭解什麼是GDPR以及資料洩露的危險,那麼所有程式和技術保障都將毫無意義。定期開展全企業範圍的培訓,並將資料管理專業知識和道德納入員工發展和評估中,這是衡量和改進教育的有力方法。
最後,如果最壞的情況發生並且存在違規行為—您準備好應對了嗎?我們一次又一次地看到,對資料洩露的處理不當通常會比違規本身造成的損害更大。再一次——我要指出Facebook及其對它遇到每一個數據問題的答覆都不及時、不完整和不令人滿意。
不及時迴應是未能制定正確程式的表現。這可能是因為沒有技術或專業知識可以在第一時間確定違規行為,或者沒有授權合適的人快速做出決策。您需要從這樣一個立場出發,任何違規行為,無論看起來多麼輕微,都是嚴肅的,應該向執行長領導的專家小組報告。團隊中應該有IT主管、營銷、客戶服務和法律部門。應該儘快通知消費者,既要符合GDPR,又要安撫消費者。企業需要確定誰受到了影響、如何、出了什麼問題、如何修復,以及未來如何保護消費者。確定和交流這些內容的速度越快,最終結果就越好——尤其是在ICO參與的情況下。和任何事情一樣,熟能生巧,與這樣團隊一起進行實戰操練並制定的理想應對措施和應急計劃一定會有所不同。
我們現在生活在一個企業聲譽和未來可能被黑客和資料洩露摧毀的世界,這種環境通常都是由企業造成的。長期以來,有一種文化認為個人資料是企業可以隨意處理的商品,現在環境不同了,如果您是眾多企業所有者之一,這些企業仍然認為資料治理只是IT部門需要擔心的事情——那麼您將會大吃一驚。到今年年底,許多大型企業將遭受近乎致命的罰款,作為對其他企業的警告。那麼,現在採取行動將確保您的企業不是這些警示故事之一。