GDPR風暴即將來臨,您準備好了嗎?
如果您還不遵守GDPR法規,那么在接下來的幾個月里您可能會遇到一些大麻煩。
回想2018年初,全球充滿了各種評論GDPR的聲音。它是否意味著營銷的終結?有企業真的合規嗎?這對企業來說是好消息還是壞消息?GDPR會像Cookie指令一樣成為啞炮嗎?
如果您認為GDPR只是一個很熱門話題,那么接下來的幾個月您可能要為自己辯護了。GDPR在很大程度上已經脫離了大多數媒體的關注范圍,許多企業主也是如此。然而,我們只是處在風暴的中心。在過去的一段時間里,由于未能遵守GDPR,Facebook和Twitter受到監管機構的直接關注,歐盟已經發出嚴厲警告,將在今年年底前對其處以高額罰款。同樣,英國信息委員會辦公室(ICO)也加大了警告力度,表示可能會采取重大行動。除了這種勢頭之外,還有一系列引人注目的數據泄露事件,其中最新的處罰對象是Google+。
對于那些自5月份以來就把GDPR合規性放在次要位置的企業主來說,警告再清楚不過了:如果不遵守GDPR合規性,那么在接下來的幾個月里您可能會遇到一些大麻煩。
Facebook很快成為糟糕數據治理的典型,劍橋分析、數據泄露和GDPR失敗都很快相繼出現,為企業如何收集和管理數據提供了一個研究案例。雖然人們可能會陶醉于某種幸災樂禍,但更好的方法是看看每個企業都能從Facebook學到什么,以及如何保護自己免受預期的GDPR風暴影響。
數據治理的弱點
首先,不用說,金融機構擁有一些最敏感的個人數據,值得慶幸的是,與帳戶信息相關的最重要數據在很大程度上得到了很好保護,然而,在銀行賬戶周邊設置的高安全標準會滋生自滿情緒,尤其是當您認為這不是普通金融企業掌握的唯一信息時。市場營銷、客戶服務和銷售部門通常都有自己的客戶數據庫,這些數據庫可能會受到截然不同的安全和治理標準的制約。與這些數據相關的違規行為可能會對金融機構造成致命傷害,并導致GDPR的巨額罰款。
普遍自滿是數據管理和保護的弱點。對于Facebook來說,它的自滿表現在標準松懈、做法可疑以及認為自己永遠不會被追究責任。對于金融機構而言,它可能導致與被認為不那么“敏感”數據相關的盲點。通常,為了實現順暢的營銷、客戶管理和銷售操作,客戶數據比財務信息更容易獲取,與更多方共享,更新更頻繁,并輸入更多平臺,這些過程中的每一個都會增加風險。使這一問題更加復雜的是,普遍缺乏與這些數據造成傷害能力的相關教育。許多人會問,電子郵件地址對黑客有什么用?簡單的回答是,用處很多。這就是為什么GDPR尋求保護個人數據的原因。
如果您已經遇到了本文中說的這些內容,并且您開始對數據實踐感到懷疑——那很好,現在是審核和審查所有數據流程和安全標準的最佳時機。基線應該是——是否符合GDPR標準? 而新技術、團隊和計劃都會影響您的數據流程并導致不合規。
個人數據文化
如果您不希望GDPR成為一個問題,那么就必須立即著手。在這種情況下,購買技術并利用專家顧問服務將是最快(但不是最便宜)的選擇。
接下來,您的員工總體理解是什么?如果您的同事不了解什么是GDPR以及數據泄露的危險,那么所有程序和技術保障都將毫無意義。定期開展全企業范圍的培訓,并將數據管理專業知識和道德納入員工發展和評估中,這是衡量和改進教育的有力方法。
最后,如果最壞的情況發生并且存在違規行為—您準備好應對了嗎?我們一次又一次地看到,對數據泄露的處理不當通常會比違規本身造成的損害更大。再一次——我要指出Facebook及其對它遇到每一個數據問題的答復都不及時、不完整和不令人滿意。
不及時回應是未能制定正確程序的表現。這可能是因為沒有技術或專業知識可以在第一時間確定違規行為,或者沒有授權合適的人快速做出決策。您需要從這樣一個立場出發,任何違規行為,無論看起來多么輕微,都是嚴肅的,應該向首席執行官領導的專家小組報告。團隊中應該有IT主管、營銷、客戶服務和法律部門。應該盡快通知消費者,既要符合GDPR,又要安撫消費者。企業需要確定誰受到了影響、如何、出了什么問題、如何修復,以及未來如何保護消費者。確定和交流這些內容的速度越快,最終結果就越好——尤其是在ICO參與的情況下。和任何事情一樣,熟能生巧,與這樣團隊一起進行實戰操練并制定的理想應對措施和應急計劃一定會有所不同。
我們現在生活在一個企業聲譽和未來可能被黑客和數據泄露摧毀的世界,這種環境通常都是由企業造成的。長期以來,有一種文化認為個人數據是企業可以隨意處理的商品,現在環境不同了,如果您是眾多企業所有者之一,這些企業仍然認為數據治理只是IT部門需要擔心的事情——那么您將會大吃一驚。到今年年底,許多大型企業將遭受近乎致命的罰款,作為對其他企業的警告。那么,現在采取行動將確保您的企業不是這些警示故事之一。
