如果您还不遵守GDPR法规,那么在接下来的几个月里您可能会遇到一些大麻烦。
回想2018年初,全球充满了各种评论GDPR的声音。它是否意味着营销的终结?有企业真的合规吗?这对企业来说是好消息还是坏消息?GDPR会像Cookie指令一样成为哑炮吗?
如果您认为GDPR只是一个很热门话题,那么接下来的几个月您可能要为自己辩护了。GDPR在很大程度上已经脱离了大多数媒体的关注范围,许多企业主也是如此。然而,我们只是处在风暴的中心。在过去的一段时间里,由于未能遵守GDPR,Facebook和Twitter受到监管机构的直接关注,欧盟已经发出严厉警告,将在今年年底前对其处以高额罚款。同样,英国信息委员会办公室(ICO)也加大了警告力度,表示可能会采取重大行动。除了这种势头之外,还有一系列引人注目的数据泄露事件,其中最新的处罚对象是Google+。
对于那些自5月份以来就把GDPR合规性放在次要位置的企业主来说,警告再清楚不过了:如果不遵守GDPR合规性,那么在接下来的几个月里您可能会遇到一些大麻烦。
Facebook很快成为糟糕数据治理的典型,剑桥分析、数据泄露和GDPR失败都很快相继出现,为企业如何收集和管理数据提供了一个研究案例。虽然人们可能会陶醉于某种幸灾乐祸,但更好的方法是看看每个企业都能从Facebook学到什么,以及如何保护自己免受预期的GDPR风暴影响。
数据治理的弱点
首先,不用说,金融机构拥有一些最敏感的个人数据,值得庆幸的是,与帐户信息相关的最重要数据在很大程度上得到了很好保护,然而,在银行账户周边设置的高安全标准会滋生自满情绪,尤其是当您认为这不是普通金融企业掌握的唯一信息时。市场营销、客户服务和销售部门通常都有自己的客户数据库,这些数据库可能会受到截然不同的安全和治理标准的制约。与这些数据相关的违规行为可能会对金融机构造成致命伤害,并导致GDPR的巨额罚款。
普遍自满是数据管理和保护的弱点。对于Facebook来说,它的自满表现在标准松懈、做法可疑以及认为自己永远不会被追究责任。对于金融机构而言,它可能导致与被认为不那么“敏感”数据相关的盲点。通常,为了实现顺畅的营销、客户管理和销售操作,客户数据比财务信息更容易获取,与更多方共享,更新更频繁,并输入更多平台,这些过程中的每一个都会增加风险。使这一问题更加复杂的是,普遍缺乏与这些数据造成伤害能力的相关教育。许多人会问,电子邮件地址对黑客有什么用?简单的回答是,用处很多。这就是为什么GDPR寻求保护个人数据的原因。
如果您已经遇到了本文中说的这些内容,并且您开始对数据实践感到怀疑——那很好,现在是审核和审查所有数据流程和安全标准的最佳时机。基线应该是——是否符合GDPR标准? 而新技术、团队和计划都会影响您的数据流程并导致不合规。
个人数据文化
如果您不希望GDPR成为一个问题,那么就必须立即着手。在这种情况下,购买技术并利用专家顾问服务将是最快(但不是最便宜)的选择。
接下来,您的员工总体理解是什么?如果您的同事不了解什么是GDPR以及数据泄露的危险,那么所有程序和技术保障都将毫无意义。定期开展全企业范围的培训,并将数据管理专业知识和道德纳入员工发展和评估中,这是衡量和改进教育的有力方法。
最后,如果最坏的情况发生并且存在违规行为—您准备好应对了吗?我们一次又一次地看到,对数据泄露的处理不当通常会比违规本身造成的损害更大。再一次——我要指出Facebook及其对它遇到每一个数据问题的答复都不及时、不完整和不令人满意。
不及时回应是未能制定正确程序的表现。这可能是因为没有技术或专业知识可以在第一时间确定违规行为,或者没有授权合适的人快速做出决策。您需要从这样一个立场出发,任何违规行为,无论看起来多么轻微,都是严肃的,应该向首席执行官领导的专家小组报告。团队中应该有IT主管、营销、客户服务和法律部门。应该尽快通知消费者,既要符合GDPR,又要安抚消费者。企业需要确定谁受到了影响、如何、出了什么问题、如何修复,以及未来如何保护消费者。确定和交流这些内容的速度越快,最终结果就越好——尤其是在ICO参与的情况下。和任何事情一样,熟能生巧,与这样团队一起进行实战操练并制定的理想应对措施和应急计划一定会有所不同。
我们现在生活在一个企业声誉和未来可能被黑客和数据泄露摧毁的世界,这种环境通常都是由企业造成的。长期以来,有一种文化认为个人数据是企业可以随意处理的商品,现在环境不同了,如果您是众多企业所有者之一,这些企业仍然认为数据治理只是IT部门需要担心的事情——那么您将会大吃一惊。到今年年底,许多大型企业将遭受近乎致命的罚款,作为对其他企业的警告。那么,现在采取行动将确保您的企业不是这些警示故事之一。