Ameesh Divatia ist Mitgründer & und CEO von Baffle, Inc, mit einer nachgewiesenen Erfolgsbilanz bei der Umsetzung innovativer Ideen in erfolgreiche Unternehmen.

Große Datenwelle

getty

Die Verabschiedung des California Privacy Rights Act (CPRA) am 3. November in Kalifornien baut auf dem California Consumer Privacy Act (CCPA) auf. Die EU-Datenschutz-Grundverordnung (GDPR) ist der Goldstandard für Datenschutzgesetze, und das CPRA nähert sich diesem Standard an, indem es dem gestiegenen Wunsch der Gesellschaft nach Datenschutz Rechnung trägt. Darüber hinaus bietet CPRA den Verbrauchern eine noch größere Kontrolle über die von den Unternehmen gesammelten personenbezogenen Daten und einen noch besseren Zugang zu diesen Daten als CCPA.

Für die betroffenen Unternehmen mag sich dies wie ein regulatorischer „Doppelschlag“ anfühlen, da CCPA erst im Januar in Kraft getreten ist und die Durchsetzung im Juli beginnt. Die gute Nachricht für die Unternehmen ist, dass CPRA erst 2023 in Kraft tritt, was den Unternehmen Zeit gibt, die notwendige Infrastruktur für die Einhaltung der Vorschriften zu schaffen. Während CPRA viele Facetten hat, die untersucht werden müssen, wie von IAPP im Mai erläutert, gibt es meiner Meinung nach drei Bereiche des neuen Gesetzes, die erhebliche Herausforderungen in Bezug auf den Datenschutz mit sich bringen:

– Schaffung der California Privacy Protection Agency (CalPPA).

– Schaffung der Kategorie der sensiblen persönlichen Daten.

– Erweiterte Verbraucherrechte und Einhaltung der Vorschriften durch die Datenverantwortlichen.

Schaffung der CalPPA

Unter dem CPRA verlagert sich die Verantwortung für die Durchsetzung vom Generalstaatsanwalt auf die neu gegründete CalPPA. Die Behörde wird aus einem fünfköpfigen Gremium bestehen, das die Datenschutzrechte der Bürger schützen, die Öffentlichkeit aufklären und Verbraucher und Unternehmen im Rahmen des Gesetzes beraten soll. Sie wird auch befugt sein, das Gesetz um- und durchzusetzen und bei Verstößen Bußgelder zu erheben.

Mit dieser Verlagerung der Verantwortung auf eine Agentur, die sich ausschließlich mit dem CPRA befasst, wird das Durchsetzungsverfahren wahrscheinlich viel strenger und klarer definiert sein. Infolgedessen werden sich die Unternehmen noch mehr dafür einsetzen müssen, dass sie die geeignete Infrastruktur einrichten, um das Gesetz vom ersten Tag an einzuhalten.

Sensitive Personal Information

CPRA hat die Formate geschützter Daten um eine neue Klassifizierung erweitert: sensitive Personal Information. Laut IAPP umfassen diese Informationen Details wie die genaue geografische Lage eines Verbrauchers, Rasse, ethnische Zugehörigkeit, Religion, sexuelle Orientierung, Gewerkschaftszugehörigkeit, persönliche Kommunikation, genetische Daten und biometrische oder gesundheitliche Informationen.

Der Schutz sensibler persönlicher Daten kann in zweierlei Hinsicht eine Herausforderung darstellen. Erstens steigt die Menge der zu schützenden Daten exponentiell an, was eine erhöhte Wachsamkeit im Bereich der Datenidentifizierung erfordert. Die zweite Herausforderung ist insofern differenzierter, als sensible personenbezogene Daten nicht den herkömmlichen Identifizierungsformaten folgen – wie etwa Sozialversicherungsnummern, Kredit- und Debitkartennummern und Adressen. Dies bedeutet, dass die betroffenen Unternehmen möglicherweise fortschrittliche Datenidentifizierungs- und -schutztechniken anwenden müssen, mit denen viele Organisationen derzeit nicht vertraut sind.

Erweiterte Verbraucherrechte und Einhaltung der Vorschriften für Datensammler

Das CPRA verlangt nun von den betroffenen Unternehmen, dass sie den Verbrauchern mitteilen, wie lange sie die Verbraucherdaten aufbewahren wollen. Außerdem schränkt das Gesetz offiziell ein, wie lange Unternehmen Daten aufbewahren dürfen. Die Einhaltung dieses Aspekts des CPRA erfordert von den Unternehmen eine weitere Verbesserung der Protokolle für die Überwachung und Aktualisierung der Aufbewahrungsaufzeichnungen, um sicherzustellen, dass sie diese Informationen den Verbrauchern in einer konformen Weise mitteilen.

CPRA wird auch von Dienstleistern, Auftragnehmern und Dritten, die mit den betroffenen Unternehmen zusammenarbeiten, verlangen, dass sie sich an die neue Gesetzgebung halten, so dass sie die Anforderungen des CPRA erfüllen müssen, unabhängig davon, ob sie selbst direkt davon betroffen sind. Diese Organisationen dürfen die Daten, die sie erhalten, nicht für einen anderen als den ursprünglich vereinbarten Zweck verwenden. Sie dürfen diese Daten nicht verkaufen und müssen wahrscheinlich strengere und umfassendere Datenschutzpraktiken einführen, als sie es sonst tun würden.

Wie sich Organisationen auf das CPRA vorbereiten sollten

Die meisten betroffenen Einrichtungen müssen sich zwar sehr anstrengen, um CPRA-konform zu werden, haben aber zwei Jahre Zeit, um sich darauf vorzubereiten, so dass sie genug Zeit haben, ihr Haus in Ordnung zu bringen. Beachten Sie die folgenden Vorschläge, um sich auf das CPRA im Jahr 2023 vorzubereiten:

– Prüfen Sie jetzt die Richtlinien zur Identifizierung, zum Schutz und zur Aufbewahrung von Daten. Achten Sie auf alle Unstimmigkeiten zwischen den aktuellen Richtlinien und dem CPRA und beginnen Sie, die entsprechenden Anpassungen vorzunehmen. Höchstwahrscheinlich haben Unternehmen diesen Schritt vor kurzem für die Einhaltung des CCPA unternommen, so dass der Sprung zur Einhaltung des CPRA dieses Mal einfacher sein sollte. Jedes Unternehmen, das sich um die Einhaltung der GDPR bemüht hat, hat bereits einen Vorsprung bei der Einhaltung von CPRA.

– Beginnen Sie Gespräche mit Dienstleistern, Auftragnehmern und Dritten. Da die Partner nun für die Daten verantwortlich gemacht werden, die die betroffenen Unternehmen mit ihnen teilen, sollten sie die Schritte zum Schutz der Daten besser verstehen. Um potenzielle Partner zu prüfen, müssen Sie sich erkundigen, wie sie die CPRA-Anforderungen erfüllen wollen. Erstellen Sie Fragebögen zur Einhaltung der Vorschriften für diese Einrichtungen, um den Prozess zu vereinfachen.

– Fordern Sie CPRA-kompatible Lösungen an. Wahrscheinlich gibt es viele Lösungen, die Unternehmen nutzen und die überarbeitet werden müssen, um CPRA leichter einhalten zu können – z. B. Cloud-Sicherheit, Datenmanagement, Datenschutz und Tools für den Datenaustausch. Teilen Sie Anbietern proaktiv Ihre Bedenken mit, wenn das, was sie anbieten, Ihnen nicht dabei hilft, die CPRA-Konformität effektiv aufrechtzuerhalten.

Die Gesetzgebung zum Verbraucherdatenschutz gewinnt geografisch und branchenübergreifend an Dynamik, und CPRA ist das jüngste Beispiel. Wenn Sie jetzt in die anspruchsvollen Aspekte investieren, können die betroffenen Unternehmen die Einhaltung der Vorschriften gewährleisten, wenn das Gesetz in Kraft tritt, und sie sind flexibler, wenn sie sich mit künftigen Datenschutzgesetzen befassen müssen.

Das Forbes Technology Council ist eine exklusive Gemeinschaft für erstklassige CIOs, CTOs und Führungskräfte aus dem Technologiebereich. Do I qualify?

Folgen Sie mir auf Twitter oder LinkedIn. Schauen Sie sich meine Website an.

Loading …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.