A contagem regressiva começou a 25 de maio de 2018, quando a regulamentação de dados geral (o GDPR). reported 

What is it all about?

With a reported 76 percent of Europeans fearing that their data is unsafe in hands of private companies, the primary objectives of the GDPR are to give more control to citizens and residents over their personal data and to simplify the regulatory environment for international business by unifying the regulation within the EU — it will supersede the 28 current national data protection laws based on the 1995 Data Protection Directive (DPD). A definição de dados pessoais foi ampliada para agora abranger o endereço IP do seu computador e seus dados genéticos. É improvável que qualquer organização permaneça não afetada; Se você manter dados sobre seus funcionários no departamento de RH, sua organização ficará sob o escopo do GDPR; Se você compartilhar dados com outras organizações (incluindo terceiros e border transfronteiriço), cada parte tem a obrigação de manter esses dados seguros, pode ser necessária verificação e contratos atualizados para refletir essas contas. Uma violação de dados é um incidente no qual dados sensíveis, protegidos ou confidenciais foram potencialmente vistos, roubados ou usados ​​por um indivíduo não autorizado para fazê -lo. Uma violação também pode ser qualquer forma de uso indevido de dados; dos dados que estão sendo corrompidos, até o roubo de dados. Um exemplo é o caso do recente surto de vírus do WannaCry Ransomware, onde um grande número de registros do NHS foi alterado, isso seria considerado uma violação de dados nas novas decisões do GDPR. As violações de dados podem envolver informações pessoais de saúde (PHI), informações pessoalmente identificáveis ​​(PII), segredos comerciais ou propriedade intelectual.

GDPR was fundamentally designed to protect individual EU citizens and their personal data held by third party organisations, help increase better management of data within organisations, and to standardise the term “personal data” across the 28 EU states. The definition of personal data has been widened to now encompass your computer’s IP address, and your genetic data.

Why is it important?

Preparation for GDPR is of the utmost importance as it is a fundamental requirement for all organisations who manage not just personal data, but any 3rd party data. It’s unlikely that any organisation will remain unaffected; if you hold data on your employees in your HR department, your organisation will fall under the scope of GDPR; if you share data with other organisations (including third parties and cross-border), each party has an obligation to keep that data safe, verification may be required and contracts updated to reflect these accountabilities.

The implications of a data breach could result in heavy fines of either 4% of annual turnover or 20M Euros, whichever is greatest.

What is a breach?

Under the current data protection act a data breach is an incident in which sensitive, protected or confidential data has potentially been viewed, stolen or used by an individual unauthorised to do so. A breach could also be any form of data misuse; from data being corrupted, to data theft. An example is the case of the recent Wannacry ransomware virus outbreak where a large number of NHS records were altered, this would be deemed a data breach under new GDPR rulings. Data breaches may involve personal health information (PHI), personally identifiable information (PII), trade secrets or intellectual property.

O que precisamos fazer para nos preparar?

Many organisations are aware of GDPR, but still have difficulty determining what to do next.

Como em muitos elementos de segurança cibernética, fatores organizacionais e humanos são tão importantes quanto quaisquer barreiras técnicas implementadas para evitar um ataque. O GDPR confirma isso, afirmando que, para alcançar a conformidade, as organizações precisam demonstrar que implementam processos robustos para testar regularmente, avaliar e avaliar a eficácia não apenas as medidas técnicas, mas também as medidas organizacionais para garantir a segurança dos dados. Muitas organizações (autoridades públicas e organizações que realizam “Monitoramento regular e sistemático de titulares de dados em larga escala” ou processamento em larga escala de “categorias especiais de dados pessoais”) precisarão nomear um Oficial de Proteção de Dados (DPO) ou o órgão, para assumir a responsabilidade pela conformidade com a proteção de dados e avaliar onde essa função estará na estrutura da organização e nos acordos de governança. De acordo com A

Meeting requirements will not be as simple as imposing new rules within an organisation, but rather will affect business operations down to core processes. Many organisations (public authorities and organisations that carry out “regular and systematic monitoring of data subjects on a large scale” or large-scale processing of “special categories of personal data”) will need to appoint a Data Protection Officer (DPO), or body, to take responsibility for data protection compliance and assess where this role will sit within organisation structure and governance arrangements. According to a  Estudo Por Associação Internacional de Profissionais de Privacidade (IAPP), esse requisito significa que somente na Europa, 28.000 DPOs terão que ser nomeados nos próximos dois anos! Funções. Em cenários secretos e evidentes, fornecendo conselhos sobre avaliações de impacto da privacidade e cooperativa sempre que necessário com as autoridades de supervisão relevantes. A conformidade com o GDPR implica implementar os regulamentos de segurança cibernética, portanto o DPO precisará acelerar com eles e com a resiliência organizacional mais ampla. Isso ajudará a apoiar a segurança dos dados, a integridade e a acessibilidade através da disseminação de melhores práticas de segurança cibernética em toda a sua organização. não altere isso. consentimento em qualquer momento. Através de "solicitações de acesso ao assunto", já temos o direito de ver o que as organizações de dados pessoais mantêm sobre nós; Também podemos exigir que esses dados sejam corrigidos ou excluídos. Se você se preocupa com postagens embaraçosas de mídia social alcança on -line por anos, sob o “direito de ser esquecido”, em breve teremos o direito de pedir que eles sejam removidos.

Expert resources will be key to driving these changes

It is expected that most private organisations will need to augment their existing compliance roles and responsibilities to fulfil GDPR roles.

For public authorities and larger organisations, GDPR specifies that DPOs will need to be responsible for activities including monitoring compliance, educating staff on security and GDPR awareness and improving understanding of how to handle personal and sensitive data across the organisation.

Starting with comprehensive data audit, there should be development & enactment of of scenario based exercises, red teaming, advanced resilience testing based on both covert and overt scenarios, providing advice on privacy impact assessments and co-operating wherever necessary with relevant supervisory authorities.

Clearly to do the above effectively, organisations will need to ensure that assigned DPOs and any other relevant resources are trained and expert in cyber security. GDPR compliance implies implementing Cyber Security Regulations, so the DPO will need to be up to speed with these and with broader organisational resilience. This will help to support data security, integrity and accessibility through disseminating cyber security best practice throughout your organisation.

This sounds hard, doesn’t Brexit get us out of this?

Regardless of Brexit completion of Article 50, the UK will be fully subject to GDPR regulations.The GDPR will replace the UK’s Data Protection Act 1998 from 25 May 2018 and the government has confirmed that the UK’s decision to leave the EU will not change this.

Are there any silver linings?

Interim consultants with compliance and data security expertise will be in high demand to support businesses, large and small, who will be seeking to reduce exposure under this new regulation.

More widely, the new regulation strengthens the rules around consumer consent, giving us all the right to withdraw consent at any point. Through “subject access requests”, we already have the right to see what personal data organisations hold on us ; we can also demand that such data be corrected or deleted. If you worry about embarrassing social media posts lingering online for years, under the “right to be forgotten”, we will soon have the right to ask for them to be removed.

Como consumidores, teremos maispower — the EU is indeed helping us to get more control over our data.

About the Author:

Tayo is the CEO of Managed IT Services (MITS) who are InfoSec experts in IT security, GDPR/ISO due diligence, Cyber essentials and PCI DSS solutions. MITS services range from providing security strategy to corporate organisations such as Telstra and large financial institutions, to providing a full IT service to SME’s.

With over 30 years of experience working in IT, from software development to IT strategy, Tayo is actively involved in working with start-ups and organisations who aim to accelerate their growth through innovative IT Solutions.