APD Belgia: IAB, Keuangan & NIS2
Pengawas data Belgia menempati posisi unik di EU. Negara ini menampung kantor pusat EU dan NATO. Belgia memiliki lebih banyak bank global dan badan keuangan daripada negara EU mana pun kecuali Luksemburg. Ini memberi Autorité de protection des données/Gegevensbeschermingsautoriteit (APD/GBA) jangkauan dan pengaruh yang luas.
Putusan IAB Europe
Pada Februari 2022, regulator Belgia memutuskan melawan IAB Europe. Kasus ini berkaitan dengan Transparency and Consent Framework (TCF). TCF mendorong sekitar €220 miliar iklan digital EU setiap tahun.
Apa yang ditemukan pengawas: String persetujuan TCF adalah data pribadi. String ini terhubung ke ID pseudonim pengguna. IAB Europe ditetapkan sebagai pengontrol bersama. Ini membuatnya bertanggung jawab atas cara penerbit dan perusahaan iklan menggunakan data tersebut.
Denda €250.000 itu kecil. Dampak nyatanya jauh lebih besar. Otoritas mengharuskan perancangan ulang TCF secara menyeluruh. Setiap penerbit EU yang menggunakan alat persetujuan merasakannya. Begitu pula setiap pembeli iklan.
Pelajarannya: teknologi seluruh sektor dapat melanggar GDPR. Bukan hanya perusahaan individual yang berisiko. Seluruh rantai dapat dimintai pertanggungjawaban. Tidak ada tautan dalam rantai itu yang aman dari pengawasan.
Sektor Keuangan: NIS2 dan GDPR Bersama
Belgia adalah rumah bagi Otoritas Perbankan EU, EIOPA, dan hub global SWIFT. Bank dan penanggung di sana harus memenuhi GDPR Pasal 32 dan NIS2 Pasal 21. Dua undang-undang ini banyak tumpang tindih.
NIS2 Pasal 21 menetapkan aturan-aturan ini:
- Pemeriksaan risiko di area manusia, fisik, dan digital
- Laporan insiden yang diajukan dalam 24 jam
- Rencana pemulihan bisnis
- Pemeriksaan keamanan rantai pasokan
- Enkripsi untuk data dalam perjalanan dan saat disimpan
- Kontrol akses multi-faktor
GDPR Pasal 32 menetapkan aturan-aturan ini:
- Penyamaran dan enkripsi data rekam pribadi
- Kemampuan memulihkan akses setelah insiden
- Pengujian rutin kontrol keamanan
- Pengamanan teknis berbasis risiko
Kontrol-kontrol ini muncul di kedua undang-undang: enkripsi, kontrol akses, respons insiden, dan pemeriksaan rantai pasokan. Program GDPR Pasal 32 yang kuat memenuhi sebagian besar kebutuhan NIS2 Pasal 21. Satu set kontrol yang terpadu adalah jalur paling efisien. Lihat panduan kepatuhan GDPR untuk tinjauan lengkap kedua undang-undang.
Penegakan 2024: Tema Utama
Regulator Belgia mengeluarkan 82 keputusan pada 2024. Kasus sektor keuangan meningkat 56% dari 2023. Empat tema menonjol.
Profiling tanpa persetujuan: Bank yang menggunakan data transaksi untuk analisis pengeluaran atau penawaran produk harus memenuhi aturan GDPR. Pengawas menolak "peningkatan layanan" sebagai alasan yang valid ketika profiling bergantung pada data semacam itu.
Penilaian kredit AI: GDPR Pasal 22 mengatur keputusan kredit otomatis. Ini menuntut tinjauan manusia dan alasan yang jelas. Beberapa perusahaan fintech tidak memiliki pengamanan ini. Ini adalah fokus utama.
Penggabungan data pasca-merger: Bank yang menggabungkan rekam setelah akuisisi sering melanggar aturan tujuan. Persetujuan awal tidak mencakup penggunaan gabungan yang baru.
Outsourcing tanpa alat transfer: Perusahaan yang mengirim pekerjaan IT ke negara ketiga tanpa alat hukum yang tepat menghadapi tindakan. Kasus mencakup India, Maroko, dan Filipina.
Untuk perusahaan dengan operasi perbankan Belgia: kontrol GDPR dan NIS2 yang terpadu adalah pertahanan terbaik sebelum audit. Ikhtisar keamanan dan kepatuhan kami mencakup cara desain zero-knowledge memangkas paparan dari sumbernya.