APD เบลเยียม: IAB การเงิน และ NIS2
หน่วยงานกำกับดูแลข้อมูลของเบลเยียมมีบทบาทพิเศษใน EU ประเทศนี้เป็นที่ตั้งของสำนักงานใหญ่ EU และ NATO มีธนาคารและองค์กรการเงินระดับโลกมากกว่าประเทศ EU อื่นใดยกเว้นลักเซมเบิร์ก สิ่งนี้ให้อำนาจและอิทธิพลกว้างขวางแก่ Autorité de protection des données/Gegevensbeschermingsautoriteit (APD/GBA)
คำวินิจฉัย IAB Europe
ในเดือนกุมภาพันธ์ 2022 หน่วยงานกำกับดูแลของเบลเยียมตัดสินต่อต้าน IAB Europe คดีนี้เกี่ยวกับ Transparency and Consent Framework (TCF) TCF ขับเคลื่อนโฆษณาดิจิทัล EU ประมาณ 220 พันล้านยูโรต่อปี
สิ่งที่หน่วยงานพบ: สตริงความยินยอมของ TCF ถือเป็นข้อมูลส่วนบุคคล เนื่องจากเชื่อมโยงกับ ID นามแฝงของผู้ใช้ IAB Europe ถูกระบุว่าเป็นผู้ควบคุมข้อมูลร่วม ทำให้ต้องรับผิดชอบต่อวิธีที่ผู้เผยแพร่และบริษัทโฆษณาใช้ข้อมูลดังกล่าว
โทษปรับ 250,000 ยูโรนั้นน้อยนิด แต่ผลกระทบจริงมีขนาดใหญ่กว่ามาก หน่วยงานกำหนดให้ต้องออกแบบ TCF ใหม่ทั้งหมด ผู้เผยแพร่ EU ทุกรายที่ใช้เครื่องมือความยินยอมได้รับผลกระทบ รวมถึงผู้ซื้อโฆษณาทุกราย
บทเรียน: เทคโนโลยีระดับอุตสาหกรรมทั้งหมดสามารถละเมิด GDPR ได้ ไม่ใช่เพียงบริษัทเดียวที่เสี่ยง ทั้งห่วงโซ่สามารถถูกตรวจสอบได้ ไม่มีข้อต่อใดในห่วงโซ่นั้นที่ปลอดภัยจากการพิจารณา
ภาคการเงิน: NIS2 และ GDPR ร่วมกัน
เบลเยียมเป็นที่ตั้งของ EU Banking Authority, EIOPA และศูนย์กลาง SWIFT ระดับโลก ธนาคารและบริษัทประกันที่นั่นต้องปฏิบัติตามทั้ง GDPR มาตรา 32 และ NIS2 มาตรา 21 กฎหมายทั้งสองมีจุดร่วมมาก
NIS2 มาตรา 21 กำหนด:
- การตรวจสอบความเสี่ยงในด้านมนุษย์ กายภาพ และดิจิทัล
- รายงานเหตุการณ์ภายใน 24 ชั่วโมง
- แผนฟื้นฟูธุรกิจ
- การตรวจสอบความปลอดภัยของห่วงโซ่อุปทาน
- การเข้ารหัสข้อมูลในระหว่างการส่งและเมื่อเก็บ
- การควบคุมการเข้าถึงแบบหลายปัจจัย
GDPR มาตรา 32 กำหนด:
- การปิดบังข้อมูลและการเข้ารหัสบันทึกส่วนบุคคล
- ความสามารถในการกู้คืนการเข้าถึงหลังเกิดเหตุการณ์
- การทดสอบมาตรการความปลอดภัยเป็นประจำ
- มาตรการป้องกันทางเทคนิคตามความเสี่ยง
การควบคุมเหล่านี้ปรากฏในกฎหมายทั้งสอง: การเข้ารหัส การควบคุมการเข้าถึง การตอบสนองต่อเหตุการณ์ และการตรวจสอบห่วงโซ่อุปทาน โปรแกรม GDPR มาตรา 32 ที่แข็งแกร่งตอบสนองความต้องการ NIS2 มาตรา 21 ส่วนใหญ่ด้วย การควบคุมแบบรวมชุดเดียวคือเส้นทางที่มีประสิทธิภาพสูงสุด ดู คู่มือการปฏิบัติตาม GDPR สำหรับการทบทวนกฎหมายทั้งสองอย่างครบถ้วน
การบังคับใช้ปี 2024: ประเด็นสำคัญ
หน่วยงานกำกับดูแลเบลเยียมออกคำวินิจฉัย 82 รายการในปี 2024 คดีในภาคการเงินเพิ่มขึ้น 56% จากปี 2023 มีสี่ประเด็นที่โดดเด่น
การสร้างโปรไฟล์โดยไม่ได้รับความยินยอม: ธนาคารที่ใช้ข้อมูลธุรกรรมสำหรับการวิเคราะห์การใช้จ่ายหรือข้อเสนอผลิตภัณฑ์ต้องปฏิบัติตามกฎ GDPR หน่วยงานปฏิเสธ "การปรับปรุงบริการ" เป็นเหตุผลที่ถูกต้องเมื่อการสร้างโปรไฟล์พึ่งพาข้อมูลดังกล่าว
AI ให้คะแนนเครดิต: GDPR มาตรา 22 ควบคุมการตัดสินใจด้านเครดิตอัตโนมัติ กำหนดให้มีการตรวจสอบโดยมนุษย์และเหตุผลที่ชัดเจน บริษัทฟินเทคหลายรายขาดมาตรการป้องกันเหล่านี้ นี่คือจุดสนใจหลัก
การรวมข้อมูลหลังการควบรวม: ธนาคารที่รวมบันทึกหลังการซื้อกิจการมักละเมิดกฎวัตถุประสงค์ ความยินยอมเดิมไม่ครอบคลุมการใช้งานรวมใหม่
การจ้างช่วงโดยไม่มีเครื่องมือถ่ายโอน: บริษัทที่ส่งงานไอทีไปยังประเทศที่สามโดยไม่มีเครื่องมือทางกฎหมายที่เหมาะสมต้องเผชิญการดำเนินการ คดีครอบคลุมอินเดีย โมร็อกโก และฟิลิปปินส์
สำหรับบริษัทที่มีการดำเนินการธนาคารในเบลเยียม: การควบคุม GDPR และ NIS2 แบบรวมคือการป้องกันที่ดีที่สุดก่อนการตรวจสอบ ภาพรวมความปลอดภัยและการปฏิบัติตามกฎระเบียบ ของเราครอบคลุมวิธีที่การออกแบบ zero-knowledge ลดการเปิดรับความเสี่ยงจากต้นตอ