Den senaste veckan var viktig för dig och din personliga information, oavsett om du bor i EU eller inte.
GDPR, den allmänna dataskyddsförordningen som fastställer riktlinjer för hur personlig information för EU-medborgare samlas in och behandlas, är nu officiell. Det är en bra idé - enhetliga regler om hur din information samlas in, hur den lagras och hur du kan ta tillbaka den är för länge försenade. Det har varit (och kommer att fortsätta att vara) massor av diskussioner om vad som är bra, dåligt och fult med GDPR, men de flesta som arbetar inom informationssäkerhet håller med om att målen är välmenade och kommer att ge den typ av skydd vi alla behöver i 2000-talet.
Ett gäng populära webbplatser är bara inte tillgängliga för europeiska besökare eftersom du inte är GDPR-kompatibel.
De enskilda artiklarna av GDPR är dock inte så allmänt berömda. Efter att ha trätt i kraft fredag den 25 maj, ser vi redan nedfall: New York Daily News, Chicago Tribune, LA Times och andra högprofilerade webbplatser är nu inte tillgängliga i länder som omfattas av GDPR-förordningarna eftersom de inte var redo för de nya reglerna. Många andra webbplatser och onlinetjänster har bombarderat användare med nya villkor att gå med på, och klagomål har redan lämnats in mot anmärkningsvärda tekniska jättar Google och Facebook eftersom de inte erbjuder gratis tjänster utan att låta användare välja bort datainsamlingen.
Mer: Googles gör det lättare att förstå och hantera användardata som de samlar in {.cta.large}
Frågor som dessa är inte förvånande. Inte heller är känslan att molnbaserade tjänster kommer att förlora intäkter och tvingas höja priserna till följd av GDPR, vilket hälften av de deltagande i Infosecurity Europe 2018 tror kommer snart att hända. De anser också att GDPR kommer att kväva innovation eftersom små organisationer inte kan ha råd med den nödvändiga infrastrukturen för att uppfylla kraven. Det här är en bra diskussion av de människor som behöver diskutera det. Bättre integritet är värt timmarna fram och tillbaka som behövs för att få det rätt.
Men det finns en del av GDPR som jag tror kommer att göra mer skada än nytta - artikel 33: s 72-timmars rapporteringsregel. Du kan läsa hela texten här, men kärnan i det är att ett företag som håller personlig identifiering av EU-medborgare är fullt ansvarigt för alla säkerhetsbrott, oavsett anledning, och måste lämna fullständig information till en tillsynskommitté inom 72 timmar av ett brott. Det finns inget stort med denna regel, men två delar kommer att leda till att tjänsteleverantörer täcker dataöverträdelser snarare än ansvarsfullt rapporterar dem.
Den första är tillsynskommittén. Olika länder har olika sätt att styra sina medborgare, men en sak de alla har gemensamt är förmånsbehandling när det gäller att skapa och bemanna någon officiell kommitté. En vän till en vän eller den tredje kusin som inte kan sluta att be om en handout är främsta kandidater till någon kommittéplats, och när det primära målet är att skydda användardata bör bara de mest kvalificerade individerna beaktas. Låt oss hoppas att det är exakt vad som gjorts här och förordningar kan anpassas och upprätthållas av människor som har vårt bästa i hjärtat och är kvalificerade.
Små företag utan resurser som krävs för att göra en fullständig utredning kan välja att täcka dem.
En större fråga är den tvingade 72 timmars rapporteringen. Till och med en helt bemannad Fortune 500-organisation kommer inte att veta tillräckligt om ett dataintrång för att börja lämna in rapporter till en myndighet. Med tanke på så kort tid kan du förvänta dig lite mer än ett företags informationssäkerhetschef som säger att det var ett intrång och vi är ännu inte säkra på några detaljer. Det är lite mer än ett slöseri med tid för alla inblandade, och jag vill hellre lägga tid på att försöka ta reda på varför, hur, när och vem som omger någon typ av dataöverträdelse.
Ett mindre företag som kanske redan kämpar för att uppfylla GDPR-efterlevnaden kommer att frestas att undersöka om det kan innehålla överträdelsen och mildra skadorna på egen hand utan några rapporter. När du är under press och underbemannat kan en täckning låta som det rätta alternativet.
Klart är det aldrig. Men företag som är stora och små har varit kända för att välja fel alternativ gång på gång när det gäller tråden. Alla regler som är utformade för att skydda användare från företag som fattar dåliga beslut är bättre utan en regel som kan driva dem att göra just det.
Ansvarig och snabb rapportering av en dataintrång är ett måste. Att tvinga företag som skördar och innehar våra data för att göra rätt sak är inte till stor nytta utan den. Att skapa rätt tillsynskommitté fylld med rätt personer för att se över hur inbrott behandlas - eller till och med erbjuda hjälp när de händer - skulle göra långt för att göra GDPR till en mall för resten av världen att följa.
