Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Klumme: Den mangelfulde, men korte beskrivelse af GDPR er ”a game changer for data privacy and security”.
Men med dets rødder i både love fra det nittende århundrede og nyere direktiver, burde fremkomsten af denne type regulativ ikke være en overraskelse for særlig mange.
GDPR skal ikke anses som et lyn fra en klar himmel.
Der har de seneste to årtier været øget efterspørgsel efter beskyttelse af private data og fokus på virksomheders ansvar.
Men processen mod GDPR og den såkaldte femte generation af datasikkerhed kan faktisk spores meget længere tilbage end det.
Den første generation af datasikkerhed
GDPR er på mange måder en uundgåelig konsekvens af en bevægelse, der kan spores tilbage til 1890, hvor Samuel Warren og Louis Brandeis i Harvard Law Review udgav, hvad der anses for at være den første artikel til at hævde retten til privatliv.
Lige siden er den skelsættende artikel blevet anset for at være den mest indflydelsesrige inden for lovgivning i USA og efterfølgende resten af verden.
Den første generation af datasikkerhed satte gang i en kæde af begivenheder der kom til at se privatlivet som en etableret fundamental rettighed.
10. december 1948 blev eksplicit advokeret for retten til privatliv i artikel 12 i USA's deklaration om menneskerettigheder:
“Ingen skal være genstand for vilkårlig indblanding i privatlivet, deres familie, hjem eller samtaler, ej heller angreb på dennes ære eller ry. Alle har ret til beskyttelse under loven mod indblanding og angreb.”
Data-debatten
Fra 1980 og fremefter bevægede fokus sig til, hvordan personlige data blev behandlet og overført.
Den tredje generation af datasikkerhed blev til i form af OECD-retningslinjerne, der blev produceret i september 1980, der adresserede kerneprincipperne i håndtering af personlig information.
Den indeholdt retningslinjer for, hvordan data blev indsamlet, hvad de blev brugt til, hvilken sikkerhed der skulle til for at beskytte dem og de rettigheder, som personer har i forhold til at se hvilke informationer, der opbevares om dem.
OECD-retningslinjerne var dog ikke bindende, hvilket resulterede i en skævhed indenfor Europa og endnu mere globalt.
I sidste ende resulterede det i en hæmning af fri udveksling af data regioner i mellem.
Senere i 1995 kom EU Data Protection Direktivet.
Dette markerede begyndelsen af den fjerde generation af datasikkerhed, der søgte at adressere udfordringen med dataudveksling, ved at skabe et fælles fokus i Europa (samt videreudvikling og bedre global sammenhængskraft).
Med centrale principper om transparens, legitimt formål og proportionalitet, er det her, vi kan se nogle af de træk, der findes i GDPR.
GDPR-æra
GDPR repræsenterer den femte del af den rejse, der begyndte på Harvard University for mere end 100 år siden.
Fra 25. maj 2018 har enhver organisation, der håndterer EU borgeres data, skulle overholde meget specifikke (og for første gang lovligt bindende) retningslinjer.
Og det er uanset, om de udfører arbejde i EU eller ej. GDPR vil derfor give genlyd verden over og ikke kun i Europa.
Det centrale princip i GDPR er beskyttelsen af privatpersoners private data. Artikel nr. 5 i regulativet stadfæster det simpelt og præcist:
“Personlige data skal behandles på en måde der sikrer passende beskyttelse... inklusiv beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet tab.”
Positivt for privatpersoner og virksomheder
Såvel som at beskytte privatpersoners data, vil GDPR også hjælpe virksomheder ved at skabe et fælles sæt principper at styre efter og fremme, at udveksling af data sker på en mere sikker måde.
Disse initiativer skal understøtte at data udveksles mere sikkert over grænser, som det blev etableret i ”generation tre og fire” og som nu er blevet fuldt ud realiseret takket være i GDPR.
Blandt de mange elementer der giver ansvar til privatpersoner og virksomheder, er der også et alvorligt ansvar placeret hos organisationer, der behandler data.
Et af de primære krav fra GDPR for organisationer er at indføre passende sikkerhedsprotokoller, eller som der står ”security by design and by default".
Det betyder, at sikkerhedsforanstaltninger skal integreres i IT-systemer i stedet for at blive efterinstalleret.
Femte generations datasikkerhed møder femte generations cybertrusler
Med fare for potentielt at trække overskrifter med en straf, såsom bøder på op til fire procent af omsætningen, træder virksomheder - helt forståeligt – varsomt.
Og det er også vigtigt i forhold til femte generation af cybertrusler.
Den komplekse karakter af disse trusler betyder, at organisationer nu må forsøge at takle den øgede forventning til datasikkerhed i mødet med disse enormt skadelige angreb.
Disse avancerede femte generations cybertrusler rammer på tværs af enheder og platforme og kan påvirke et stort antal virksomheder verden over på bare på timer.
Der er selvfølgelig et modtræk.
Femte generation af cybertrusler er bedst adresseret med integreret cybersikkerhed, der forhindrer angreb på tværs af netværk, clouds og mobile enheder i realtid.
Foruroligende nok viser vores undersøgelse, at kun tre procent af alle organisationer har implementeret disse sikkerhedsforanstaltninger.
Privatliv og datasikkerhed har aldrig været mere udfordret. Organisationer verden over konfronteres fra to sider, med pres for at leve op til de omfattende forventninger fra borgerne (og lovgivningen) men den ene side og med nye og avancerede trusler på den anden side.
Det er derfor vigtigere end nogensinde at holde tingene enkle og sikre, med en universel, men altomfattende platform.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.