Bisnis kecil takut akan undang-undang data baru

Bisnis kecil takut akan undang-undang data baru

Australia telah memiliki undang-undang pemberitahuan pelanggaran data sejak 2018, yang mewajibkan perusahaan untuk memberi tahu komisaris privasi tentang data pelanggan yang terpapar, tetapi undang-undang itu hanya berlaku untuk organisasi dengan omset tahunan sebesar $3 juta atau lebih.

Komisaris Privasi Angelene Falk mengatakan bisnis dari semua ukuran harus memiliki tanggung jawab yang sama untuk melindungi data warga.

Ini mengecualikan banyak usaha kecil yang mungkin juga mengumpulkan data sensitif tetapi memiliki perlindungan siber yang jauh lebih canggih.

Komisaris Privasi Angelene Falk, berbicara di ABC 7:30 pada Senin malam, menyarankan undang-undang dapat diperluas untuk memasukkan semua bisnis.

“Saya telah merekomendasikan kepada pemerintah bahwa sudah saatnya kita meninjau kembali pengecualian usaha kecil itu. Kita dapat melihat sekarang bahwa bahkan bisnis yang sangat kecil dapat menyimpan data yang sangat banyak – Anda dapat mengembangkan aplikasi di garasi dan tiba-tiba Anda memiliki jutaan informasi pribadi orang Australia,” kata Falk.

“Jadi mereka harus dituntut untuk mengamankannya dengan cara yang sama seperti perusahaan besar, dan tentu saja itu kewajiban yang terukur. Itu langkah yang wajar. Itu tergantung pada sensitivitas data yang dimiliki organisasi dan risiko yang menyertainya.”

Ms Boyd mengatakan pemerintah harus mengikuti pendekatan “pendidikan pertama, penegakan kedua” dengan usaha kecil, yang sekarang memanfaatkan data jauh lebih besar melalui langganan perangkat lunak dan perangkat point-of-sale pintar untuk beroperasi lebih efisien.

Dia mengatakan digitalisasi usaha kecil telah terjadi dengan cepat, dan bahwa COSBOA akan mendukung tindakan apa pun dari pemerintah untuk membantu mengurangi risiko bagi pemilik bisnis dan pelanggan, yang datanya mereka pegang, yang katanya dapat melibatkan program pendidikan dan berpotensi Asisten Keuangan.

“Tentu saja, penting bahwa usaha kecil menyadari apa yang harus mereka lakukan, dan rezim peraturan saat ini, tetapi penegakan jelas bukan strategi yang akan kami dukung. Ini harus lebih tentang mendorong, pemberdayaan dan pendidikan, ”kata Ms Boyd.

Dia setuju dengan prinsip saran Ms Falk bahwa pelanggan perlu diberitahu tentang pelanggaran data, tetapi saat ini tidak layak untuk mengharapkan semua pemilik usaha kecil untuk memahami atau dapat mematuhi.

“Bagaimana kamu melakukannya? Bagaimana Anda mendapatkan penata rambut, atau pemilik kafe, atau seseorang yang merupakan instruktur kebugaran untuk mulai melakukan ini? Apa yang Anda harapkan mereka lakukan?” dia berkata.

“Jadi, di mana letak tanggung jawab dan tanggung jawab? Apakah itu terletak pada perusahaan perangkat lunak yang menyimpan data itu, atau dengan pemilik usaha kecil? Bagaimana itu mulai bekerja? Ini bukan sesuatu yang bisa Anda jentikkan begitu saja, karena setiap bisnis kecil mendigitalkan secara berbeda.”

Spesialis keamanan siber Shannon Sedgwick mengatakan adalah kebodohan untuk mencoba menerapkan aturan yang sama untuk perlindungan data di semua bisnis di Australia tanpa terlebih dahulu mengaktifkan yang lebih kecil melalui pendidikan, sumber daya, dan kemungkinan insentif keringanan pajak untuk berinvestasi dalam keamanan informasi.

Sementara menetapkan standar untuk perlindungan data disambut baik, mengamanatkan kepatuhan tanpa mempertimbangkan penerapan dan keterjangkauan dengan benar akan sia-sia.

“Jika sebuah bisnis menyimpan atau memproses informasi pribadi atau sensitif, perlu ada tingkat perlindungan yang sepadan dengan kekritisan data dan anggaran serta sumber daya yang tersedia untuk organisasi,” kata Sedgwick.

“Meskipun demikian, memiliki anggaran terbatas tidak berarti Anda telah menyelesaikan tanggung jawab untuk melindungi data pelanggan Anda; ada kontrol dan proses murah yang hemat biaya yang tersedia yang tidak akan merusak bank.”

Selamat datang fokus pemerintah

Rob James, mantan chief digital and information officer Vodafone dan grup TPG, dan mantan chief technology officer Qantas grup, mengatakan senang melihat pemerintah mengambil sikap yang lebih serius terhadap regulasi penggunaan bisnis data warga, bahkan jika aturan baru yang sulit untuk beberapa bisnis.

Bisnis harus dipaksa untuk lebih bijaksana dalam memutuskan data apa yang mereka miliki tentang pelanggan dan berhenti melihatnya sebagai aset komersial semata, kata James.

“Kami memiliki regulasi yang kuat seputar bank dan uang rakyat dengan APRA, AUSTRAC dan lainnya, dan pendekatan yang sama perlu diambil dengan informasi masyarakat. Senang melihat Clare O’Neil bereaksi lebih awal tentang ini, dan saya harap kita melihat beberapa reformasi,” kata James.

“Bisnis memang perlu mengambil langkah lebih besar dalam melindungi data mereka, dan kita harus memikirkan bagaimana kita melindungi mereka yang rentan, seperti orang tua yang mungkin tidak begitu paham digital … Bisnis perlu menghargai bahwa data bukan milik mereka, itu adalah data pelanggan dan mereka telah diberi hak istimewa untuk menjaganya.”

Penasihat IBRS David Beal, yang sebelumnya adalah eksekutif teknologi senior di Energy Super dan memegang peran teknologi senior pemerintah Queensland, mengatakan pelanggaran Optus menunjukkan bisnis tidak mendapatkan keseimbangan yang tepat antara permintaan akses mudah ke layanan online dan data sebagai komoditas, dan hambatan yang dibawa oleh keamanan data yang kuat terhadap tuntutan konsumen ini.

Keputusan keuangan

Dia mengatakan organisasi sering harus membuat keputusan keuangan sederhana tentang berapa banyak untuk berinvestasi dalam pertahanan cyber, dan tidak mungkin untuk mengatakan jika Optus telah mengambil jalan pintas tanpa pengungkapan lebih rinci dari perusahaan.

“Pada tingkat praktis saya telah mengalami ketegangan yang ada dalam organisasi antara dorongan strategis untuk online versus biaya nyata dalam keamanan data yang kuat,” kata Mr Beal.

“Layanan online seperti verifikasi identitas real-time untuk aplikasi kredit real-time, misalnya, mengharuskan pengguna akhir untuk memberikan 100 elemen ID. Persyaratan audit untuk organisasi yang menyediakan jenis layanan ini sering kali bersaing dengan persyaratan penyimpanan data data pribadi.”

Dia menyarankan agar tidak memperkenalkan persyaratan kepatuhan baru terkait dengan ketahanan dunia maya perusahaan, dengan mengatakan sudah ada banyak skema yang dimaksudkan untuk mendorong “praktik terbaik”. Sebaliknya, dia mengatakan aturan dapat dikenakan tentang pengeluaran yang cukup oleh perusahaan terkait dengan melindungi data pelanggan.

“Keamanan data tidak datang gratis. Ini sering dikompromikan dalam anggaran menggunakan pendekatan berbasis risiko, di mana kemungkinan pelanggaran versus konsekuensi dilapisi dengan tingkat toleransi untuk risiko, ”kata Mr Beal.

“Apa yang akan berguna bagi tim lapangan yang mencoba mengamankan data orang dalam organisasi adalah persyaratan bahwa persentase tertentu dari pendapatan layanan online diperlukan untuk mendanai keamanan data. Perundang-undangan dan sertifikasi, meskipun memiliki manfaat, pada tingkat tertentu ompong.”

Bisnis kecil takut akan undang-undang data baru

Leave a Reply

Your email address will not be published. Required fields are marked *

Scroll to top