APD Bỉ: IAB, Lĩnh Vực Tài Chính và NIS2
Cơ quan bảo vệ dữ liệu Bỉ giữ vị trí độc đáo trong EU. Quốc gia này là nơi đặt trụ sở EU và NATO. Nó có nhiều ngân hàng toàn cầu và tổ chức tài chính hơn bất kỳ quốc gia EU nào khác ngoài Luxembourg. Điều đó mang lại cho Autorité de protection des données/Gegevensbeschermingsautoriteit (APD/GBA) phạm vi ảnh hưởng rộng.
Quyết Định IAB Europe
Vào tháng 2 năm 2022, cơ quan Bỉ ra phán quyết vụ IAB Europe. Vụ này liên quan đến Transparency and Consent Framework (TCF). TCF vận hành khoảng 220 tỷ euro quảng cáo kỹ thuật số EU mỗi năm.
Kết luận của cơ quan: Chuỗi đồng ý TCF là dữ liệu cá nhân. Nó được liên kết với ID giả danh của người dùng. IAB Europe bị xác định là bên đồng kiểm soát dữ liệu. Điều đó khiến tổ chức chịu trách nhiệm về cách nhà xuất bản và công ty quảng cáo sử dụng dữ liệu này.
Mức phạt 250.000 euro là nhỏ. Hậu quả thực sự lớn hơn nhiều. Cơ quan yêu cầu thiết kế lại hoàn toàn TCF. Tất cả nhà xuất bản EU sử dụng công cụ đồng ý đều bị ảnh hưởng. Tất cả người mua quảng cáo cũng vậy.
Bài học rút ra: công nghệ trên toàn ngành có thể vi phạm GDPR. Không chỉ các công ty đơn lẻ mới gặp rủi ro. Toàn bộ chuỗi có thể bị quy trách nhiệm. Không phần nào trong chuỗi được miễn kiểm tra.
Lĩnh Vực Tài Chính: NIS2 và GDPR Song Hành
Bỉ là nơi đặt Cơ quan Ngân hàng Châu Âu, EIOPA và trung tâm toàn cầu của SWIFT. Các ngân hàng và công ty bảo hiểm tại đây phải tuân thủ cả Điều 32 GDPR và Điều 21 NIS2. Hai luật này chia sẻ nhiều điểm chung.
Điều 21 NIS2 quy định:
- Đánh giá rủi ro trong các lĩnh vực con người, vật chất và kỹ thuật số
- Báo cáo sự cố trong vòng 24 giờ
- Kế hoạch liên tục kinh doanh
- Kiểm soát bảo mật chuỗi cung ứng
- Mã hóa dữ liệu khi truyền và lưu trữ
- Kiểm soát truy cập đa yếu tố
Điều 32 GDPR quy định:
- Che giấu và mã hóa dữ liệu cá nhân
- Khả năng khôi phục quyền truy cập sau sự cố
- Kiểm tra định kỳ các biện pháp kiểm soát bảo mật
- Các biện pháp kỹ thuật dựa trên rủi ro
Các biện pháp kiểm soát này xuất hiện trong cả hai luật: mã hóa, kiểm soát truy cập, sẵn sàng ứng phó sự cố và kiểm soát chuỗi cung ứng. Chương trình Điều 32 GDPR mạnh đáp ứng hầu hết yêu cầu Điều 21 NIS2. Một bộ kiểm soát thống nhất là giải pháp hiệu quả nhất. Xem hướng dẫn tuân thủ GDPR để có cái nhìn toàn diện về cả hai luật.
Thực Thi Năm 2024: Các Chủ Đề Chính
Cơ quan Bỉ ban hành 82 quyết định trong năm 2024. Các vụ trong lĩnh vực tài chính tăng 56% so với năm 2023. Bốn chủ đề nổi bật.
Lập hồ sơ không có sự đồng ý: Các ngân hàng sử dụng dữ liệu giao dịch để phân tích chi tiêu hoặc đề xuất sản phẩm phải tuân thủ quy tắc GDPR. Cơ quan bác bỏ "cải thiện dịch vụ" là lý do hợp lệ khi lập hồ sơ dựa trên dữ liệu đó.
Đánh giá tín dụng bằng AI: Điều 22 GDPR điều chỉnh các quyết định tín dụng tự động. Yêu cầu có sự xem xét của con người và lý giải rõ ràng. Một số công ty fintech thiếu các biện pháp bảo vệ này. Đây là trọng tâm điều tra chính.
Hợp nhất dữ liệu sau sáp nhập: Các ngân hàng hợp nhất dữ liệu sau mua lại thường vi phạm quy tắc về mục đích. Sự đồng ý ban đầu không bao gồm việc sử dụng kết hợp mới.
Thuê ngoài không có công cụ chuyển dữ liệu: Các công ty gửi công việc IT đến các nước thứ ba mà không có công cụ pháp lý phù hợp bị xử phạt. Các vụ bao gồm Ấn Độ, Morocco và Philippines.
Với các công ty có hoạt động ngân hàng tại Bỉ: các biện pháp kiểm soát GDPR và NIS2 thống nhất là biện pháp phòng thủ tốt nhất trước khi kiểm toán. Tổng quan về bảo mật và tuân thủ của chúng tôi giải thích cách thiết kế zero-knowledge giảm thiểu rủi ro ngay từ nguồn.