В сегодняшнем вихре цифровых инноваций «конфиденциальность данных» и «безопасность данных» часто становятся актуальными темами дня.
Понимание разницы между этими двумя терминами — это способ избежать юридических проблем, но это не всё.
Успешное управление конфиденциальностью и безопасностью данных — это основополагающий компонент поддержания доверия к отрасли и доверия клиентов.
Для некоторых брендов лабиринт конфиденциальности и безопасности данных похож на выход на поле боя с завязанными глазами. Другие (вы!) решают использовать возможность превратить юридическое обязательство по обеспечению конфиденциальности и безопасности данных в суперсилу вашего бренда.
Чтобы помочь вам сделать именно это, мы собираемся:
Устранение путаницы между конфиденциальностью данных и безопасностью данных
- Конфиденциальность данных сосредоточена на надлежащем согласии и протоколах обработки личной информации.
- Безопасность данных закладывает основу для технической защиты, которая защищает эту личную информацию.
«Конфиденциальность» и «безопасность» — это не взаимозаменяемые термины.
Мы уже мечтаем об обеде, так что вот пищевая аналогия: вы бы не сказали, что помидоры — это то же самое, что и картофель, только потому, что они оба заканчиваются на «-atoes», правда? Тем не менее многие руководители брендов застряли в подобной ложной эквивалентности в отношении конфиденциальности и безопасности данных.
Что такое конфиденциальность данных?
Давайте попробуем другую аналогию… Наш генеральный директор недавно восхищалась своей любовью к вечеринкам с ужином, так что представьте, что вы находитесь на восхитительной вечеринке с ужином.
Вы делитесь историями о себе и задаёте вопросы, пока другие рассказывают свои истории. Может быть, вы обнаружите, что у вас много общего с одним человеком, и в итоге вы поделитесь своим номером телефона или адресом электронной почты, чтобы поддерживать связь.
В контексте вечеринки с ужином большинство людей будут иметь разумные ожидания (на самом деле, надежду), что ваш новый друг будет использовать эту информацию уважительно, а не расклеивать её на каждом рекламном щите в городе.
Конфиденциальность данных — это формальное соглашение (уже не ожидание или надежда) между бизнесом и их клиентами, определяющее, как обрабатывается пользовательская информация:
- Это о правилах и управлении личными данными — что собирается, как используется и кто может это увидеть.
Что такое безопасность данных?
Теперь отойдите и подумайте о доме, в котором проходит вечеринка с ужином.
В доме есть замки, возможно, сигнализация и, возможно, даже швейцар или охранник. Какова цель всех этих элементов дома? Чтобы не пускать нежелательных гостей.
Вот что такое безопасность данных — защита. Это технические и административные меры защиты, которые защищают данные от:
- Несанкционированного доступа
- Нарушений
- Кражи
Шифрование, контроль доступа и безопасное хранение данных — всё это относится к сфере безопасности данных. Это своего рода замок (дом), охраняющий своих обитателей (данные).
Симбиотические отношения между конфиденциальностью данных и безопасностью данных
Вы не можете обеспечить конфиденциальность данных без их безопасности. Запомните эту фразу.
Безопасность данных закладывает основу для конфиденциальности данных. Без надёжных мер безопасности конфиденциальность — это просто концепция; идеал, который не может стоять сам по себе перед лицом киберугроз.
Попытка обеспечить конфиденциальность данных без внедрения строгих мер безопасности — это всё равно что строить дом на зыбучем песке — всё рухнет.
Протоколы безопасности — это не просто контрольные списки, которые нужно выполнить в спешке. Это важные шаги для брендов, стремящихся обеспечить конфиденциальность, целостность и доступность пользовательских данных.
Иметь надёжную политику конфиденциальности на веб-сайте, который защищён как москитная сетка, — это, ну… Не делайте этого.
Законы о конфиденциальности и безопасности данных — «алфавитный суп» соответствия
Навигация по лабиринту законов о конфиденциальности и безопасности данных может показаться попыткой выучить новый язык за одну ночь. GDPR, CCPA, HIPAA — так много аббревиатур!
Но вот в чём дело: соблюдение требований — это не опция. Незнание законов — это не оправдание.
Так каковы же ставки на самом деле, спросите вы? Мы говорим о троице гибели:
- Крупные штрафы, которые заставят вашего финансового директора прослезиться
- Судебные тяжбы, которые тянутся как плохой фильм
- Подмоченная репутация бренда, которую не сможет исправить ни один PR
Хорошая новость заключается в том, что ресурсоёмкие бренды могут превратить соблюдение требований в конкурентное преимущество. Станьте настолько хороши в обращении с данными, чтобы это стало частью вашей маркетинговой стратегии.
Поскольку потребители продолжают выражать озабоченность по поводу своей личности в Интернете, бренды, следующие золотым стандартам протоколов конфиденциальности и безопасности данных, — это те, кто привлечёт и удержит самых лояльных клиентов.
Конфиденциальность данных с GDPR и CCPA
Общее положение о защите данных (GDPR) в Европе и Закон о конфиденциальности потребителей Калифорнии (CCPA) в Калифорнии, США, являются авангардом в сфере законодательства о конфиденциальности и безопасности данных.
Эти правила не просто задают тон; они строят весь театр, где разворачивается шоу по защите данных и конфиденциальности.
Более чем просто следование закону, брендам, занимающим лидирующие позиции в категории, необходимо понимать суть этих правил и то, как они защищают права человека, обеспечивая при этом ответственное обращение с данными со стороны бизнеса.
Успешное ориентирование в законах о конфиденциальности данных (иначе говоря, всегда держать свой бизнес на правильной стороне этих законов) требует глубокого понимания:
- Данных, которые вы собираете
- Как вы используете эти данные
- Как пользовательские данные передаются и кому
- Практики прозрачности и подотчётности
По сути, GDPR и CCPA призывают организации повысить уровень своей практики работы с данными, поощряя переход от простого соблюдения требований к культуре добросовестного управления данными.
Речь идёт о признании ценности личной информации и обращении с ней с той заботой и уважением, которых она заслуживает, тем самым укрепляя доверие и лояльность среди потребителей.
Другие страны внедряют свои собственные стандарты конфиденциальности и безопасности данных
GDPR и CCPA — это как крутые ребята в школе — куда они идут, за ними следуют другие. Почему эти два регламента являются законодателями мод, за которыми все постоянно следят?
Потому что большинство онлайн-бизнесов в настоящее время имеют пользователей как в Европе, так и в Калифорнии, что требует соблюдения обоих регламентов независимо от того, где находится штаб-квартира вашей компании.
Влияние GDPR и CCPA выходит за рамки их юрисдикции, устанавливая де-факто стандарт того, как следует обращаться с личными данными во всём мире.
Пока что каждая другая страна сейчас пытается разработать свои собственные законы о конфиденциальности, но пока ни один из них не говорит ничего, чего ещё не было бы определено в GDPR и CCPA.
Вот почему углубление вашего понимания этих двух законов даст вам автоматическое преимущество, если ваш бизнес столкнётся с законами о конфиденциальности пользователей в других странах.
Хотя вам определённо следует проконсультироваться со своей юридической командой всякий раз, когда появляется новый закон, эти два утверждения — простой способ разобраться в ситуации (более или менее):
- GDPR устанавливает стандарт для практики согласия на обработку данных
- CCPA устанавливает стандарт для практики отказа от обработки данных
Принципы согласия на обработку данных в контексте конфиденциальности и соответствия
Вам необходимо понимать критические различия между принципами согласия на обработку данных. Изучите законы GDPR, CCPA и законы об электронном согласии на обработку данных для обеспечения соответствия требованиям маркетинга.
Лучшие практики для бизнес-лидеров, которые хотят говорить о конфиденциальности данных и безопасности данных
Планирование заявить о своём незнании в случае возникновения каких-либо юридических угроз или вера в то, что чьи-то утверждения о том, что меры по обеспечению конфиденциальности данных и безопасности данных — это лёгкая работа на полдня, — это не просто высокая толерантность к риску — это явное приглашение к риску.
Для бизнеса, который готов получить золотую звезду за соблюдение требований, одновременно повышая стандарты конфиденциальности и безопасности данных вашей компании, вам необходимо выполнить 8 шагов:
1. Понять законы. Действительно понять их.
Беглый просмотр резюме или полагаться на слухи (или просто прочитав эту статью!) — это не то, как мы определяем понимание. Совсем нет.
Погрузитесь глубже. Знайте нюансы GDPR, CCPA, HIPAA — всё, что влияет на ваш бизнес. Будьте экспертом. Или, если ваша зона гениальности лежит в другом месте, наймите эксперта. В любом случае, вы больше не можете избегать необходимости в команде, обладающей опытом в области конфиденциальности и безопасности данных.
Непонимание этих законов не только будет смущающим — оно повредит репутации вашего бренда, скорее всего, приведёт к потере клиентов и добавит гору расходов на ваш баланс.
2. Внедрить надёжные меры безопасности
Безопасность — это основа конфиденциальности. Непреложные основы безопасности:
- Сильное шифрование
- Хранение данных с высоким уровнем безопасности
- Регулярные проверки безопасности
Лёгкий подход к безопасности — это практически отсутствие безопасности. Бренды должны применять подход «из кухни раковина», когда дело доходит до внедрения надлежащих стандартов безопасности данных.
Это, безусловно, будет наименее гламурной частью вашей работы, но это не меняет того факта, что это так же важно, как и всё остальное.
3. Сформировать культуру данных
Выходите за рамки разработки политик и процедур, которые просто соответствуют закону. Вместо этого сделайте безопасность данных и конфиденциальность частью ДНК вашей организации.
От высшего руководства до стажёров — каждый должен играть роль в защите и обеспечении безопасности пользовательских данных.
- Как это изменение в вашей культуре данных доносится?
- Какие компоненты контента необходимы для поддержки внутреннего внедрения?
- Кто несёт ответственность за поддержание этого культурного столпа в течение длительного времени, чтобы тема не исчезла в небытие через несколько месяцев?
4. Собирайте только самое необходимое
В мире данных больше — не всегда лучше.
Соблазнительно собрать все данные, до которых можно дотянуться. Для будущего! Для того потенциального сценария, к которому вы не можете представить себе сейчас, но к которому вы должны быть готовы, верно?
Нет, не верно. Хранение данных, как белка хранит орехи, — это один из способов, с помощью которого многие бренды настраивают себя на кошмар конфиденциальности. Вместо этого:
Регулярно проводите аудит сбора данных. Внимательно посмотрите, что вы собираете. Если вы не использовали это в течение последних шести месяцев, вам, вероятно, не нужно продолжать собирать это.
Определите цель. Собирайте любые пользовательские данные с чёткой целью. Если вы не можете обосновать, зачем вам это нужно, исключите это из своей стратегии сбора.
Думайте как минималист. В качестве общей практики сосредоточьтесь на качестве, а не на количестве. Собирайте только то, что действительно добавляет ценность, и делайте это наименее навязчивым способом.
5. Будьте открыты и честны с пользователями
Здравствуйте, прозрачность. Прошли те времена, когда бизнес мог скрывать свои методы работы с данными в сносках. Сегодняшние пользователи сообразительны, и они хотят знать, что вы делаете с их данными. И, честно говоря, они заслуживают этого.
Составьте чёткую политику конфиденциальности. Чем яснее вы сможете её сформулировать, тем лучше. Без юридических терминов и жаргона. Просто прямой разговор о том, что вы собираете, зачем и что вы будете и не будете делать с этим.
Дайте пользователям контроль над их данными. Это означает лёгкий отказ, запросы о доступе к данным и возможность удалить их данные, когда они захотят.
Если вы допустили ошибку, признайте её. Пользователи уважают честность и более снисходительны, когда вы открыто рассказываете об ошибках и демонстрируете стратегию их исправления.
Быть открытым и честным — это не только соблюдение требований; это построение доверия.
6. Управляйте рисками, связанными с третьими сторонами
Ваши данные находятся не только в ваших руках — они также находятся у ваших партнёров, поставщиков и третьих лиц, предоставляющих услуги.
Убедитесь, что в вашей цепочке безопасности данных нет слабых звеньев. Тщательная проверка третьих сторон необходима перед заключением любого соглашения об обмене данными.
Относитесь к этому с позиции, что вы являетесь хранителем данных ваших пользователей — проявляйте дополнительную родительскую энергию.
7. Будьте проактивны, а не реактивны
Ожидание, пока произойдёт нарушение, прежде чем вкладывать ресурсы в протоколы безопасности данных и конфиденциальности, — это всё равно что пристегнуть ремень безопасности после того, как машина разбилась.
Вот несколько вещей, которые нужно сделать прямо сейчас:
- Проведите оценку воздействия
- Разработайте протоколы реагирования на нарушения
- Всегда (всегда!) действуйте с осторожностью
8. Используйте здравый смысл
Ужасные истории о крупных утечках данных и ненадлежащем использовании пользовательских данных часто подразумевают, что бизнес-лидеры были застигнуты врасплох, потому что понимание законов о безопасности данных и конфиденциальности требует трёх докторских степеней, так что, конечно, они понятия не имели, что происходит.
Реальность? В подавляющем большинстве этих громких случаев шаги по работе с данными были преднамеренными и хорошо известными. Организация могла быть удивлена тем, что её поймали, но она не была не в курсе своей халатности.
Но для вас, добросовестного бизнес-лидера, это будет не так сложно. Полагайтесь на свой здравый смысл, и всё будет в порядке.
Вам нужно сделать всего две вещи:
- Сделайте так, чтобы данные пользователей были доступны только им и другим уполномоченным лицам.
- Уважайте предпочтения пользователей и их законные права.
Прокладывая путь защиты пользовательских данных
В конце концов, разобраться в конфиденциальности и безопасности данных — это не просто ставить галочки ради соблюдения правил. Это о налаживании связи доверия. Вы, по сути, обещаете своим клиентам: «Эй, ваша цифровая ДНК? Она надёжно защищена с нами».
И в этом цифровом Диком Западе, где потребители хорошо осведомлены о плохих игроках и ищут бренды, на которые они могут положиться, это обещание вы можете использовать каждый день недели.
Вложите время и ресурсы в обеспечение конфиденциальности и безопасности данных. Ваши клиенты заметят, и доход тоже.
TL;DR о конфиденциальности данных и безопасности данных
Конфиденциальность данных предполагает этичное обращение и согласие на обработку личной информации, в то время как безопасность данных — это всё о технической защите, которая сохраняет эти личные данные в безопасности.
Законы о конфиденциальности данных больше нельзя игнорировать. Соблюдение требований — это теперь основа.
Создайте сильную культуру данных, понимая закон, укрепляя свои меры безопасности данных, ставя защиту пользователей на передний план всего, что вы делаете, и склоняясь в сторону прозрачности.
Завоюйте доверие и используйте безопасность данных и конфиденциальность как актив бренда, внедряя надёжный набор практик по защите данных, а затем чётко сообщая об этом обязательстве — как внутри компании, так и за её пределами.