Ameesh Divatia er medstifter & CEO for Baffle, Inc., med en dokumenteret erfaring med at omsætte innovative idéer til succesfulde virksomheder.

getty

Californiens vedtagelse af California Privacy Rights Act (CPRA) den 3. november bygger på California Consumer Privacy Act (CCPA). EU’s forordning om beskyttelse af privatlivets fred, GDPR, er den gyldne standard med hensyn til lovgivning om databeskyttelse, og CPRA nærmer sig denne standard ved at afspejle samfundets øgede ønske om databeskyttelse. Desuden giver CPRA forbrugerne endnu større kontrol over og adgang til de personlige data, som virksomhederne indsamler, end CCPA gjorde.

For de omfattede enheder kan dette føles som et lovgivningsmæssigt “dobbelt slag”, fordi CCPA først blev underskrevet i januar, og håndhævelsen begynder i juli. Den gode nyhed for virksomhederne er, at CPRA ikke træder i kraft før 2023, hvilket giver virksomhederne tid til at etablere den nødvendige infrastruktur til at overholde reglerne. Selv om CPRA har mange facetter, der skal undersøges, som forklaret af IAPP i maj, mener jeg, at der er tre områder i den nye lov, der giver betydelige udfordringer i forbindelse med databeskyttelse:

– Oprettelse af California Privacy Protection Agency (CalPPA).

– Oprettelse af kategorien følsomme personoplysninger.

– Udvidede forbrugerrettigheder og overholdelse af reglerne for dataansvarlige.

Skabelse af CalPPA

I henhold til CPRA flyttes ansvaret for håndhævelse væk fra statsadvokaten til det nyoprettede CalPPA. Agenturet vil bestå af en bestyrelse bestående af fem medlemmer, der skal beskytte folks ret til privatlivets fred, fremme offentlighedens bevidsthed og yde vejledning til forbrugere og virksomheder i henhold til loven. De vil også få beføjelse til at gennemføre og håndhæve loven og opkræve bøder for overtrædelser.

Med dette skift i ansvar til et agentur, der udelukkende er dedikeret til CPRA, tror jeg, at håndhævelsesprocessen sandsynligvis vil være meget mere stringent og veldefineret. Som følge heraf vil organisationer skulle være endnu mere dedikerede til at sikre, at de implementerer den rette infrastruktur til at overholde loven fra dag ét.

Sensitive personlige oplysninger

CPRA har udvidet formaterne for beskyttede data til at omfatte en ny klassifikation: følsomme personlige oplysninger. Ifølge IAPP omfatter disse oplysninger detaljer som f.eks. en forbrugers præcise geografiske placering, race, etnicitet, religion, seksuel orientering, medlemskab af en fagforening, personlig kommunikation, genetiske data og biometriske oplysninger eller sundhedsoplysninger.

Beskyttelse af følsomme personlige oplysninger kan være en udfordring på to fronter. For det første øges mængden af data, der skal beskyttes, eksponentielt, hvilket vil kræve større årvågenhed i forbindelse med identifikation af data. Den anden udfordring er mere nuanceret, idet følsomme personlige oplysninger ikke følger traditionelle identifikationsformater – såsom socialsikringsnumre, kredit- og betalingskortnumre og adresser. Det betyder, at de omfattede enheder kan blive nødt til at anvende avancerede teknikker til identifikation og beskyttelse af data, som mange organisationer ikke er bekendt med på nuværende tidspunkt.

Udvidede forbrugerrettigheder og overholdelse af dataindsamlingsregler

C CPRA kræver nu, at de omfattede enheder skal kommunikere med forbrugerne om, hvor længe de har planer om at opbevare forbrugerdata. Derudover begrænser loven officielt, hvor længe virksomheder kan opbevare data. Overholdelse af denne facet af CPRA vil kræve, at virksomhederne yderligere forbedrer protokollerne for overvågning og opdatering af opbevaringsregistreringer for at sikre, at de kommunikerer disse oplysninger til forbrugerne på en overensstemmende måde.

CPRA vil også kræve, at tjenesteudbydere, entreprenører og tredjeparter, der arbejder med omfattede virksomheder, skal overholde den nye lovgivning, hvilket effektivt får dem til at overholde CPRA-kravene, uanset om de selv er direkte underlagt den. Disse organisationer kan ikke bruge de data, de modtager, til andre formål end det, der oprindeligt blev aftalt. De kan ikke sælge disse oplysninger, og de vil sandsynligvis være nødt til at indføre en mere streng og omfattende praksis for beskyttelse af privatlivets fred, end de ellers ville anvende.

Hvordan organisationer bør forberede sig på CPRA

Selv om det vil kræve en stor indsats for de fleste omfattede enheder at blive CPRA-kompatible, vil de have to år til at forberede sig, hvilket bør give dem tid til at få styr på deres sager. Overvej følgende forslag for at sikre, at de er klar til CPRA i 2023:

– Revision af politikker for identifikation, beskyttelse og opbevaring af data nu. Tag noter om eventuelle uoverensstemmelser, som de nuværende politikker har på baggrund af CPRA, og begynd at foretage de nødvendige tilpasninger. Organisationer vil efter al sandsynlighed for nylig have taget dette skridt i forbindelse med CCPA-overholdelse, så det burde være lettere at tage springet til CPRA-overholdelse denne gang. Enhver organisation, der har søgt at overholde GDPR, vil allerede have et forspring med hensyn til CPRA-overholdelse.

– Begynd drøftelser med tjenesteudbydere, entreprenører og tredjeparter. Nu, hvor partnere vil blive holdt ansvarlige for data, som omfattede enheder deler med dem, bør de bedre forstå de skridt, der skal tages for at beskytte dem. Og ved at undersøge potentielle partnere skal du undersøge, hvordan de planlægger at opfylde CPRA-kravene. Udarbejd spørgeskemaer om overholdelse til disse enheder for at gøre processen lettere at administrere.

– Anmod om CPRA-ready-løsninger. Der er sandsynligvis mange løsninger, som organisationer anvender, der skal revideres for lettere at overholde CPRA – f.eks. værktøjer til cloud-sikkerhed, datahåndtering, databeskyttelse og datadeling. Vær proaktiv med hensyn til at dele dine bekymringer med udbyderne, hvis det, de tilbyder, ikke vil hjælpe dig med effektivt at opretholde CPRA-overholdelse.

Lovgivningen om forbrugernes databeskyttelse vinder frem på tværs af geografiske områder og brancher, og CPRA tjener som det seneste eksempel. Ved at øge investeringerne i de udfordrende aspekter nu kan de omfattede enheder være klar til at opretholde overensstemmelsen, når loven træder i kraft, og være mere fleksible, når de skal håndtere fremtidige love om beskyttelse af personlige oplysninger.

Forbes Technology Council er et fællesskab kun på invitation for CIO’er, CTO’er og teknologiske chefer i verdensklasse. Er jeg kvalificeret?

Følg mig på Twitter eller LinkedIn. Tjek mit websted.