Ameesh Divatia är medgrundare & och VD för Baffle, Inc., med en dokumenterad erfarenhet av att omvandla innovativa idéer till framgångsrika företag.

getty

Kaliforniens antagande av California Privacy Rights Act (CPRA) den 3 november bygger på California Consumer Privacy Act (CCPA). EU:s förordning om integritetsskydd, GDPR, är den gyllene standarden när det gäller lagar om dataskydd, och CPRA närmar sig den standarden genom att återspegla samhällets ökade önskan om dataskydd. Dessutom ger CPRA konsumenterna ännu större kontroll över och tillgång till personuppgifter som samlas in av företag än vad CCPA gjorde.

För de berörda enheterna kan detta kännas som ett regelverk med två slag, eftersom CCPA först i januari undertecknades som lag och verkställandet börjar i juli. Den goda nyheten för företagen är att CPRA inte kommer att träda i kraft förrän 2023, vilket ger företagen tid att inrätta den nödvändiga infrastrukturen för att följa reglerna. CPRA har många aspekter som måste undersökas, vilket förklarades av IAPP i maj, men jag anser att det finns tre områden i den nya lagen som innebär betydande utmaningar när det gäller dataskydd:

– Inrättandet av California Privacy Protection Agency (CalPPA).

– Inrättandet av kategorin känslig personlig information.

– Utökade konsumenträttigheter och efterlevnad av datakontrollanter.

Skapandet av CalPPA

I enlighet med CPRA flyttas ansvaret för efterlevnaden från justitieministern till den nybildade CalPPA. Myndigheten kommer att bestå av en styrelse med fem ledamöter som ska skydda människors integritetsrättigheter, främja allmänhetens medvetenhet och ge vägledning till konsumenter och företag i enlighet med lagen. De kommer också att ha befogenhet att genomföra och upprätthålla lagen och ta ut böter vid överträdelser.

Med denna förskjutning av ansvaret till ett organ som enbart ägnar sig åt CPRA tror jag att verkställighetsprocessen sannolikt kommer att bli mycket strängare och mer väldefinierad. Som ett resultat av detta kommer organisationer att behöva vara ännu mer dedikerade till att se till att de implementerar lämplig infrastruktur för att följa lagen från dag ett.

Känslig personlig information

CPRA har utökat formaten för skyddade uppgifter till att inkludera en ny klassificering: känslig personlig information. Enligt IAPP omfattar denna information detaljer som konsumentens exakta geografiska läge, ras, etnicitet, religion, sexuell läggning, medlemskap i fackförening, personlig kommunikation, genetiska uppgifter och biometrisk information eller hälsoinformation.

Skyddet av känslig personlig information kan vara en utmaning på två fronter. För det första ökar mängden uppgifter som måste skyddas exponentiellt, vilket kommer att kräva större vaksamhet när det gäller identifiering av uppgifter. Den andra utmaningen är mer nyanserad eftersom känslig personlig information inte följer traditionella identifieringsformat – såsom personnummer, kredit- och betalkortsnummer och adresser. Detta innebär att de berörda enheterna kan behöva använda avancerade tekniker för identifiering och skydd av uppgifter som många organisationer för närvarande inte är bekanta med.

Utökade konsumenträttigheter och efterlevnad av datainsamlare

CPRA kräver nu att de berörda enheterna ska kommunicera med konsumenterna om hur länge de planerar att lagra konsumentuppgifter. Dessutom begränsar lagen officiellt hur länge företag kan behålla uppgifter. För att följa denna aspekt av CPRA måste företagen ytterligare förbättra protokollen för övervakning och uppdatering av lagringsregister för att se till att de kommunicerar denna information med konsumenterna på ett sätt som uppfyller kraven.

CPRA kommer också att kräva att tjänsteleverantörer, entreprenörer och tredje parter som samarbetar med företag som omfattas av lagen ska följa den nya lagstiftningen, vilket i praktiken innebär att de måste följa CPRA-kraven, oavsett om de själva omfattas direkt av den. Dessa organisationer kan inte använda de uppgifter de får för något annat ändamål än det som ursprungligen avtalades. De kan inte sälja informationen, och de kommer troligen att behöva införa strängare och mer omfattande sekretessrutiner än vad de annars skulle kunna använda.

Hur organisationer bör förbereda sig för CPRA

Som att bli CPRA-anpassad kommer att kräva en hel del ansträngning för de flesta berörda enheter, men de kommer att ha två år på sig för att förbereda sig, vilket bör ge dem tid att få ordning på sina hus. Överväg följande förslag för att säkerställa beredskap för CPRA år 2023:

– Granska policyer för identifiering, skydd och lagring av data nu. Notera eventuella inkonsekvenser som nuvarande policyer har mot bakgrund av CPRA och börja göra lämpliga justeringar. Med största sannolikhet har organisationerna nyligen tagit detta steg för CCPA-överensstämmelse, så att ta steget till CPRA-överensstämmelse borde vara lättare den här gången. Alla organisationer som har strävat efter att följa GDPR kommer redan att ha ett försprång när det gäller CPRA-överensstämmelse.

– Börja diskutera med tjänsteleverantörer, entreprenörer och tredje parter. Nu när partners kommer att hållas ansvariga för data som täckta enheter delar med dem, bör de bättre förstå stegen för att skydda dem. Och för att granska potentiella partner måste du undersöka hur de planerar att uppfylla CPRA-kraven. Skapa frågeformulär om efterlevnad för dessa enheter för att göra processen lättare att hantera.

– Begär CPRA-klara lösningar. Det finns sannolikt många lösningar som organisationer använder som kommer att behöva revideras för att lättare följa CPRA – t.ex. verktyg för molnsäkerhet, datahantering, dataintegritet och datadelning. Var proaktiv när det gäller att dela dina farhågor med leverantörerna om det som de erbjuder inte kommer att hjälpa dig att effektivt upprätthålla CPRA-överensstämmelse.

Lagstiftningen om konsumenters dataskydd ökar i styrka i olika geografiska områden och branscher, och CPRA tjänar som det senaste exemplet. Genom att öka investeringarna i de utmanande aspekterna nu kan de berörda enheterna vara redo att upprätthålla efterlevnaden när lagen träder i kraft och vara mer flexibla när de måste ta itu med framtida integritetslagar.

Forbes Technology Council är en inbjudningsgemenskap för CIO:er, CTO:er och teknikchefer i världsklass. Är jag kvalificerad?

Följ mig på Twitter eller LinkedIn. Kolla in min webbplats.