Fremskridt i databeskyttelseslovgivningen i 2023
12. april 2023 - sikkerhed
I 2023 ligger den primære udfordring inden for cybersikkerhed i at skabe fremskridt og implementere systemer, der overholder databeskyttelseslove og -forskrifter. Med andre ord vil overholdelse af disse love være det centrale fokus i 2023. Cybersikkerhedsudbydere skal først og fremmest øge opmærksomheden blandt virksomheder og brugere og understrege vigtigheden af at være på forkant med at opfylde regulatoriske krav. Dette kan opnås gennem uddannelseskampagner om cybersikkerhed.
Med fremkomsten af storstilet datalagringsteknologi kendt som "cloud" er bekymringer om kontrol, suverænitet og privatliv blevet mere og mere fremtrædende. Mens lokale datacentre forventes at overholde reglerne for databeskyttelse, komplicerer den udbredte brug af cloud-teknologi sagen.
Brugen af webbaserede ressourcer og kunstig intelligens fører ofte til, at personlige og forretningsrelaterede oplysninger afsløres. Mens teknologien tilbyder adskillige fordele, kan cyberkriminelle udnytte den til at afsløre følsomme data om enkeltpersoner eller virksomheder, såsom placering, interesser, sundhedsstatus, politiske holdninger osv. Brugere, der deler oplysninger med webbaserede tjenesteudbydere uden at være informeret om de nyeste databeskyttelseslove, risikerer betydelig skade.
Derfor er det lige så vigtigt at holde sig ajour med lovgivningen om cybersikkerhed som at holde sig ajour med udviklingen af software og hardware. Disse love hjælper med at beskytte og kontrollere persondata mere effektivt, straffer organisationer, der ikke overholder dem, og giver retningslinjer for overholdelse. Følgende oversigt fremhæver den seneste udvikling inden for privatlivets fred og databeskyttelse i forskellige regioner.
2023 Opdateringer til EU's generelle forordning om databeskyttelse
EU's generelle databeskyttelsesforordning (GDPR) er en vigtig international databeskyttelseslov, som har påvirket over 100 lande i udformningen af deres cybersikkerhedslovgivning. En af de seneste udviklinger inden for europæisk databeskyttelse er den europæiske lov om kunstig intelligens, der blev foreslået i april 2022 og i øjeblikket er i sit første implementeringsår. Denne lov fremmer den etiske brug af AI i industrien med det formål at supplere menneskelig arbejdskraft ved hjælp af demokratiske principper.
Anvendt på private, offentlige og blandede organisationer, der anvender AI, som påvirker EU-borgere, dækker loven tjenesteudbydere og AI-applikationer, der er udviklet og udført både inden for og uden for EU's grænser. Den Europæiske Databeskyttelsesråd har aftalt fire risikoniveauer for brug af AI: 1) ubetydelig risiko, 2) høj risiko, 3) begrænset risiko og 4) risiko. Denne lovgivning gjorde Europa til den første globale magt, der etablerede sådanne retningslinjer.
Fra maj 2023 vil to vigtige regler for onlineplatforme desuden træde i kraft i EU:
- Digital Markets Act har til formål at forhindre uretfærdige praksisser fra virksomheder, der fungerer som gatekeepers i den online platformøkonomi. Disse digitale platforme spiller en afgørende rolle i at forbinde forretningsbrugere med forbrugere, hvilket kan give dem magten til at fungere som private regulatorer og skabe flaskehalse i den digitale økonomi. For at tackle disse problemer vil Digital Markets Act gennemføre et sæt forpligtelser, der primært forbyder gatekeepers at engagere sig i visse adfærd.
- De digitale tjenester Handle gælder for alle digitale tjenester, der forbinder forbrugere med varer, tjenester eller indhold. Den har til formål at fremme et sikrere og mere ansvarligt onlinemiljø ved at regulere onlineformidlere og give ny forbrugerbeskyttelse og sikkerhedsforanstaltninger. Med implementeringen vil Det Europæiske Databeskyttelsesråd igen blive en global frontløber inden for etablering af cybersikkerhedsstandarder. Loven vil indføre nye forpligtelser for onlineplatforme til at minimere skader og afbøde onlinerisici og samtidig sikre onlinebrugernes rettigheder. Desuden vil den placere digitale platforme inden for en ny ramme for gennemsigtighed og ansvarlighed. Europa-Kommissionen er ved at etablere et europæisk center for algoritmisk gennemsigtighed for at støtte sin tilsynsrolle.
USA tager også stilling til databeskyttelse
De Forenede Stater har en holdning til databeskyttelse, men mangler en omfattende national dataprivacylovgivning. Enkelte stater har oprettet deres egne dataprivacyregler, hvor California er førende. Inden 2023 vil flere stater, herunder California, Virginia, Colorado, Utah og Connecticut, have revideret deres respektive privatlivs- og databeskyttelseslove.
Disse love stræber efter at give borgerne forskellige rettigheder vedrørende deres personlige data, såsom adgang, berigtigelse, sletning og muligheden for at fravælge bestemte anvendelser. Tidsplanen for implementeringen af disse love er forskellig, idet nogle træder i kraft allerede den 1. januar 2023, mens andre først træder i kraft den 1. december 2023.
Det er værd at bemærke, at det kan tage stater måneder at implementere en lov, selv efter at den er blevet annonceret i god tid. Denne trinvise tilgang giver mulighed for at etablere dokumenthåndteringssystemer, juridisk soliditet og giver borgerne tid til at tilpasse sig og overholde loven. Hvis man springer denne proces over, kan det resultere i, at loven bliver en fiasko.
Global holdning til implementering af informationssikkerhedslovgivning for privatlivets fred og databeskyttelse
I de senere år har mange lande overvejet lovgivning, der tilbyder forskellige niveauer af beskyttelse af forbrugernes privatliv, og der kan opstå nye udviklinger i 2023. Nogle af disse lande har udtalt, at deres love om privatlivets fred og databeskyttelse stadig er under udarbejdelse.
Canada er på forkant og arbejder i øjeblikket på projektet "Personal Information Protection and Electronic Documents Law", som søger at regulere, hvordan private virksomheder håndterer personlige oplysninger i forbindelse med forretningsaktiviteter. Projektet omfatter tre lovforslag om forbrugernes privatliv, databeskyttelse og systemer med kunstig intelligens.
Kina udarbejder udkastet til sin "Persondatalov" med en centraliseret politisk tilgang. Denne lov vil være Kinas første omfattende regulering, der styrer internetdata og beskytter kinesiske forbrugeres personlige oplysninger. Selvom en indledende version blev implementeret i november 2021, vurderer den ansvarlige kommission nu samtykkekrav som det primære grundlag for dataindsamling og -behandling. De overvejer også strammere restriktioner for grænseoverskridende dataoverførsler og strengere sanktioner for manglende overholdelse.
Brasiliens lov om databeskyttelse og privatliv, etableret i 2020, undersøger i øjeblikket personlige data fra personer i Brasilien, uanset dataansvarliges placering. I Afrika fokuserer Sydafrikas lov på at beskytte sine borgeres personligt identificerbare oplysninger.
Rusland vedtog sin lov om databeskyttelse og privatlivets fred i 2014. Men under konflikten med Ukraine i 2021 blev der indført ny lovgivning om internetbeskyttelse for at øge kontrollen og forbedre cybersikkerheden inden for lokale netværk. Denne lovgivning omfatter nye dataregler og specifikke advarsler mod store sociale netværk som Facebook og Twitter. Der er planer om at oprette et overvågningscenter og udvikle forsvar mod eksterne angreb.
I kølvandet på Rikunabi-skandalen har Japan brugt to år på at arbejde på ændringer for at styrke sin lov om databeskyttelse og privatlivets fred og er blevet et benchmark for EU med hensyn til informationssikkerhed. Denne lov kræver, at virksomheder, der bruger cookies eller lignende maskingenererede identifikatorer, skal kontrollere, om datamodtageren kan identificere en person ved at kombinere dataene med andre tilgængelige oplysninger.
Den afgørende rolle, som forebyggende uddannelse spiller for at fremme en kultur med databeskyttelse og privatlivets fred
Politiske beslutningstagere inden for cybersikkerhed mener, at når virksomheder står over for betydelige bøder og alvorlige straffe for manglende overholdelse af love om privatlivets fred og databeskyttelse, vil de afsætte flere ressourcer til at udvikle robuste interne compliance-programmer. Derfor vil regeringerne slå til lyd for en stærkere håndhævelse af disse love.
I 2023 vil der opstå yderligere databeskyttelseslove, der adresserer bekymringer, der opstår fra data indsamlet af Internet of Things (IoT)-enheder og andre forbundne teknologier. I det væsentlige skal virksomheder etablere et ry for at overholde privatlivs- og databeskyttelsesregler for at opnå forbrugertillid. Dette vil kræve øgede investeringer i privatlivsforbedrende teknologier, hvor forbrugerinformation går forud for personlig identitet.
Som konklusion
Efterhånden som folk bliver mere og mere bevidste om de risici og farer, der er forbundet med ukorrekt brug af personlige data, vil deres tillid til virksomheder, der leverer varer og tjenesteydelser, blive påvirket. Kort sagt er databeskyttelse et globalt anliggende, da mange virksomheder opererer på tværs af grænser og opretholder kommercielle relationer med hinanden via internettet. Derfor er det naturligt, at regeringer fra forskellige lande samarbejder om international lovgivning om privatlivets fred og databeskyttelse som et fremtidigt aspekt af cybersikkerhed.
sikkerhed
admin er seniorskribent for Government Technology. Hun har tidligere skrevet for PYMNTS og The Bay State Banner og har en BA i kreativ skrivning fra Carnegie Mellon. Hun bor uden for Boston.