大量的GDPR准备是浪费时间,警告普华永道
根据一项最重要的法律顾问,许多组织将他们的准备遵守欧盟的一般数据保护条例(GDPR)在错误的情况下,由于未能理解真正的风险而遵守错误的事情。
“如果您在未来七个月内注重技术堆栈,您负责GDPR计划,您就会知道疼痛来自,”斯图尔特室,全球铅网络安全和PWC的数据法律保护服务,在伦敦讲述了IP Expo Europe欧洲的与会者。
房间表示很重要,看看GDPR只是“欧洲50年的数据保护之旅的另一步”,但警告它建立了虚假假设关于关于数据保护成熟度的虚假假设。
“因为那些虚假的假设,我们最终会因不可避免的失败而努力,”他说。“无论您可能拥有的时间和资源如何,您都将永远不会按照设计的GDPR交付。”
在问题的核心处,房间是,数据保护的基本原则返回1968年,并且在许多组织中,他们仍未纳入业务的运营现实。
他说,许多组织从事数据映射练习的事实是证明这一点,因为他们现在只试图找到他们应该确保多年的数据。
但是,根据房间,GDPR旨在假设组织长期以来一直存在。
“当GDPR于2012年首次出版时,立法者认为,我们需要旅行的差距,以使我们的组织适合于宗旨,可能是两到四年之旅之间的某个地方,但很多人的事实仍然忙于数据映射练习告诉我们,差距大大更大,“他说。
数据安全是数据保护的关键要求,GDPR假定这是组织已被钉牢,但这是一个关键的错误假设,所说的房间,因为许多组织没有实现假定的成熟水平。
实际上,他说,许多组织“表现得比立法者的最糟糕的期望更糟糕......立法者认为GDPR将是可交付的,但经济的证据是完全不同的。
基于普华永道通过进行GDPR准备评估的数据来表示,众议院表示共识是“成熟度水平使得GDPR对大多数组织来说是不可能的”,因此,我们所有人都将携带2018年5月和超越“的违法量。
他说,这是一个关键的一部分,这是大多数组织的GDPR准备,没有考虑到欧盟监管机构正在形成数据保护的观点的日常案件,这是所有部分GDPR,但不广泛闻名。
PWC发布了一个强制追踪器,它在21个司法管辖区中查询数据保护决策,以了解故障的根本原因和变更要求,说房间。
他说:“除了所有这些情况下,所有这些案例的单一有趣的共同分母都是失败的,尽管他们对数据保护进行了投资,”他说。
“获得本书的组织抛出它们包括这一领域的一些最大的消费者,其中一些最大的[数据保护]团队。
“这只能有一个原因,这是他们显然做错了东西。
“他们表演的活动不是解决重要性的,这是风险。这项工作没有解决风险。“
但是,如果他们开始定义它,并且如果他们理解正在预期数据保护和GDPR的更广泛的环境,则组织只能理解风险。
虽然一些组织声称遵循基于风险的GDPR遵从性的方法,但房间表示,如果该活动不“锚定风险的分类”,则活动是“无目的”,而无需活动是最快的方式之一他说,被执法行动击中。
对于在2018年5月25日的合规截止日期之前没有完成任何GDPR准备的组织,房间表示最大的风险是,所有可以帮助的所有第三方服务提供商都能抢购并正在努力容量。
除了立法合规风险外,还有未能提供GDPR计划的风险,以及监管机构风险,因为信息专员办公室和所有其他欧盟数据保护当局也构成了一部分风险。
“如果你有一个梦幻般的GDPR计划,如果稳压器敲门,你会没有帮助,你在眼中戳他,因为姿势是风险减缓的一个组成部分作为递送能力,”房间说。
“所以你需要与您的GDPR计划一起去,是要了解更广泛的法规法律景观和背景,然后认识到虚假的假设和非法性的必然性,做出有目的的选择,并与最重要的事情相连。”
但是有一些应对机制,房间,如“不利的安全测试”,这涉及理解谁将挑战组织的数据保护框架以及他们将看到的内容。挑战者包括黑客,心怀不满的员工,政治家,新闻界,承包商和监管机构。
“前提是那些挑战您的数据保护框架的人将挑战他们所看到的事情,所以如果您了解他们是谁以及他们将看到的东西,您将找到一种识别GDPR未来燃烧平台的机制, “ 他说。
“每个挑战者都有不同的角度,并会看到不同的东西。例如,黑客将看到安全漏洞,这就是他们将攻击的漏洞。但是如果您能了解这些风险的这些真实方案,您仍然有时间调整您的GDPR程序,以便您不执行无目的的活动,而是解决真正重要的事情。“
在结束时,房间表示,所有的企业转型理论都侧重于更换纸张,改变人民和不断变化的技术。
“统称,这意味着组织成为网络安全和数据准确的,”他说。“然而,我们正在看到一个巨大的努力,重点关注论文 - 纸张的创造,虽然非常少,但很少有GDPR计划在任何有意义的意义上进入技术堆栈。
“这是讽刺意味的是,只有因担心技术和对公民和人权构成的威胁而存在数据保护法。
但是,虽然技术是威胁,但它也是解决方案,这就是为什么GDPR为什么需要在您业务的整个景观中实施“适当的技术和组织措施”,“房间强调了组织重点的重要性在未来七个月内。