Соблюдение нормативных требований или страхование: идти по канату риска в эпоху GDPR

Имея дело с нормативным законодательством, таким как Общий регламент ЕС по защите данных (GDPR), что важнее: обеспечение соответствия вашей организации требованиям или надлежащая страховка? Обе стратегии, безусловно, необходимы для вашего бизнеса, чтобы обеспечить его дальнейшее благополучие. Вот почему мы уделяем GDPR важное и постоянное внимание здесь, на TechGenix, со статьями о принципах конфиденциальности GDPR, о которых вам нужно знать, о том, что GDPR означает для мобильных данных, как GDPR может повлиять на компании за границей, а также во многих других недавних статьях, которые мы опубликованы на нашем сайте.

Но хотя большая часть нашего освещения посвящена различным вопросам соответствия, обеспечение 100-процентного соответствия любому своду правил, столь сложному, как GDPR, сопряжено с определенной степенью риска. Следовательно, необходимо обеспечить, чтобы ваш бизнес имел адекватное страховое покрытие для ситуаций, когда ваши усилия по соблюдению требований по той или иной причине не увенчались успехом. Итак, как нам справиться с этим соответствием требованиям и страхованием?

Вопросы соответствия

Давайте начнем с более подробного рассмотрения того, что связано с соблюдением требований для защиты вашей компании от взрыва из-за проблем, связанных с GDPR. Мы все, конечно, знаем, что обеспечить соответствие вашей организации GDPR и аналогичным правилам конфиденциальности не так просто, как отметить кучу действий в списке. На самом деле, есть три вещи, которые вам нужно учитывать в отношении соответствия.

В первую очередь, конечно же, нужно изучить и понять сами правила. Это просто, вы просто читаете их и убедитесь, что вы их понимаете. Это займет у вас всего несколько часов, верно? Неправильный!

Однако это еще не все. Еще одно важное соображение заключается в том, что вам необходимо знать, как правила интерпретируются регулирующими органами (руководящими органами ЕС в случае GDPR) и теми, кто подлежит регулированию (предприятиями и организациями, которые собирают пользовательские данные). Это должно занять ваш юридический отдел на некоторое время!

Но подождите, есть еще! Третье ключевое соображение заключается в том, как правила на самом деле применяются к различным типам организаций, таким как местные и иностранные компании, крупные и малые предприятия, уступчивые и сопротивляющиеся ответчики. Здесь мы вступаем в область судебной деятельности, решений и наказаний. Например, Google недавно был обвинен в нарушении конфиденциальности GDPR семью странами ЕС, и это только первый шаг в том, что, вероятно, станет огромным залпом судебных разбирательств GDPR в ближайшие месяцы. Однако не все верят, что этот первый выстрел попал в цель. Например, Амит Ашбел, пропагандист безопасности компании Cognigo, занимающейся защитой данных и соблюдением нормативных требований, говорит: «Насколько я знаю, Google по умолчанию отключает отслеживание, и кажется, что это попытка поймать их на чем-то очень незначительном.. Тем не менее, проблема распространена настолько широко, что нет необходимости так усердно искать нарушение регламента GDPR. Большинство организаций сегодня нарушают правила GDPR, просто не зная, где находятся 80% их данных, и, следовательно, не управляя ими, не защищая их и не имея возможности сообщать об этом». Итак, вопрос, который сразу же должен прийти в голову любому из нас, кто владеет или управляет компаниями: знаете ли вы, где находятся ваши данные?

Страховые соображения

Это последнее соображение, касающееся устройства, вероятно, было важным для многих предприятий, особенно для небольших, у которых нет бюджета, чтобы нанять армию юристов, чтобы убедиться, что они на 99,999% соответствуют GDPR. Я имею в виду, что многие организации, похоже, занимают выжидательную позицию в отношении GDPR — ожидая увидеть, как в ближайшие месяцы разыграются некоторые из громких дел с точки зрения судебных решений и назначенных штрафов.

Однако проблема такого рода заключается в том, что в большинстве случаев для решения этих судебных дел не потребуются месяцы — для этого потребуются годы. А тем временем компании, которые не приложили достаточных усилий для обеспечения соответствия GDPR, подвергают себя риску судебного разбирательства против самих себя.

Отсюда, конечно, необходимость страховки для покрытия такого риска, и она должна быть неотъемлемой частью общей стратегии обеспечения безопасности и конфиденциальности организации. «Страхование киберответственности играет решающую роль в бизнес-плане любой организации, особенно в сегодняшнюю современную цифровую эпоху», — говорит Джефф Сомерс, президент Insureon, компании, которая предоставляет страхование киберответственности для малого бизнеса. «Когда хакеры проникают в сеть, удерживают данные в заложниках или получают конфиденциальную информацию, компания, у которой они воруют, может быть привлечена к ответственности за инцидент. Страхование киберответственности может помочь компаниям пережить потенциально опасные кибератаки и утечки данных, помогая с расходами на восстановление, включая уведомление клиентов, кредитный мониторинг, штрафы и судебные издержки». Что касается киберстрахования и GDPR, Джефф говорит: «Многие аспекты GDPR могут быть покрыты солидным полисом страхования киберответственности, что является хорошей новостью для любого бизнеса, имеющего этот тип страхования. Однако важно отметить, что политики могут сильно различаться в зависимости от поставщика страховых услуг и потребностей бизнеса, поскольку не существует универсальной киберполитики для всех предприятий. Политики не защитят от некоторых нарушений GDPR, таких как невозможность нанять сотрудника по защите данных. Чтобы убедиться, что ваш бизнес действительно подготовлен, поговорите со своей страховой компанией, чтобы убедиться, что ваше покрытие соответствует вашей подготовке GDPR».

Как и в случае с любым видом страхования, вам также необходимо помнить о некоторых вещах, касающихся киберстрахования. Эти соображения тесно связаны с теми, которые я упомянул ранее о соблюдении таких правил, как GDPR. Например, ваша первая забота должна заключаться в том, чтобы убедиться, что вы знаете, от чего вы застрахованы, то есть знать, что говорит ваш полис. Это займет всего несколько часов, если у вас есть юрист, который может перевести вашу политику на простой старый английский или любой другой язык, на котором написана ваша политика. Однако второе соображение заключается в том, как точные слова вашей политики интерпретируются вами и вашей страховой компанией. Не думайте автоматически, что то, что, по вашему мнению, означает предложение, соответствует тому, как ваша страховая компания интерпретирует текст вашего полиса. В случае сомнений снова обратитесь к юридическому отделу вашей организации. На самом деле, почему бы не переместить их в гостевую спальню вашего дома, поскольку вы, вероятно, будете проводить с ними много времени в эту новую эру GDPR.

И хотя киберстрахование, безусловно, важно для большинства компаний, оно, безусловно, не является панацеей от рисков, связанных с GDPR, с которыми сталкивается ваша организация. Например, когда я спросил Шейна Нолана, старшего вице-президента по технологиям, потребительским и бизнес-услугам в IDA Ireland, что, по его мнению, важно иметь надлежащее страхование кибербезопасности как часть общей стратегии обеспечения соблюдения GDPR и аналогичных правил, он признал, что страхование было важно для таких целей, но также предупреждало компании о наивности. «Любой вид страхования важен, но для компаний предполагать, что получение страхового полиса покрывает их полностью, наивно», — говорит Шейн. «Страхование — это лишь часть общего набора мер по защите организаций от кибератак, но компаниям необходимо убедиться, что они в первую очередь проделали собственную работу с точки зрения блокировки своей сети и защиты данных. В зависимости от того, что вы хотите покрыть, существует длинный список вещей, которые страховщики покроют, но для небольших компаний среднего размера стоимость может быть потенциально непомерно высокой».

Я спросил Шейна, как, по его мнению, малые предприятия справляются с этой ситуацией. «Мы обнаружили, что малые и средние компании, которые чувствуют потребность в сложной защите данных и своей сети, все мигрируют в облачные среды. Топовая инфраструктура сетевой безопасности стоит больших денег, и если вы крупная компания, ее легче проглотить. То, что мы видим, особенно когда мы взаимодействуем с поставщиками общедоступных облаков, которые имеют массовые операции в Ирландии, такими как Amazon, Google, Microsoft и другие, заключается в том, что компании среднего размера переносят больше своей онлайн-и цифровой деятельности в общедоступную облачную среду, потому что Масштабы поставщиков общедоступных облаков таковы, что небольшая компания может заблокировать свою сеть и данные на уровне, который в противном случае мог бы быть непомерно дорогим. Более крупные компании придерживаются высоких стандартов и, в свою очередь, будут иметь собственную страховую защиту».

Хотя в последнее время GDPR, безусловно, занимает первое место в умах большинства компаний, это не единственное соображение о конфиденциальности, о котором следует беспокоиться организациям. «GDPR, безусловно, привлек внимание, — говорит Шейн, — но всегда были кибератаки, которые происходили до GDPR, и они будут продолжаться. Но GDPR сфокусировал внимание из-за потенциальной шкалы штрафов за несоблюдение. Штрафы основаны на общемировом доходе, и по совпадению GDPR появился в то время, когда кибератаки становятся все более распространенными. Динамика такова, что когда происходят кибератаки, вы, как правило, обнаруживаете, что большинство компаний, пострадавших от них, являются малыми предприятиями, а затем, по иронии судьбы, это компании, страхование которых является самым дорогим. Мы видим, что переход к облаку несколько снижает риск для небольших компаний, и поэтому, если у вас более низкий риск, затраты на возмещение убытков ниже. Это сочетание является тенденцией, которую мы наблюдаем для среднего и малого бизнеса».

Комплаенс против страхования: управление рисками

Риск является частью любой деловой активности, а GDPR — это просто еще один риск, с которым многим компаниям необходимо сталкиваться реалистично и решительно. Наличие надлежащей киберстраховки и принятие соответствующих мер для обеспечения соответствия требованиям — это всего лишь две важные стратегии, которые должна реализовать каждая организация, чтобы быть уверенной, что она сможет ориентироваться в воде рисков бизнеса, не потонув при этом.