Organisaties worstelden in 2020 met de vraag of, wanneer en hoe ze moesten investeren om compliant te zijn. Acties varieerden enorm tussen sectoren en inkomenssegmenten.

De snelle veranderingen die door COVID-19 geforceerd werden, hebben de reeds bestaande verschillen in compliance vergroot en nieuwe gecreëerd. Een fictief, maar realistisch voorbeeld zou een gezondheidszorgorganisatie kunnen zijn, die snel geneeskunde op afstand heeft gelanceerd om levens te redden en daarmee enkele elementen van de algemene verordening gegevensbescherming (AVG) heeft weggewuifd. Of misschien een detailhandelaar die mogelijk een dozijn contracten met derden heeft ondertekend om snel de online zichtbaarheid op te schalen, en daarmee heeft afgezien van due diligence op het gebied van cyberveiligheid. Dit is hét moment om misstappen uit het verleden op te lossen en de basis te perfectioneren om toekomstig succes te garanderen.

Met ingang van 2021 is een grote verandering gaande. Aangespoord door de hack bij SolarWinds heeft de Amerikaanse president Joe Biden voorgesteld om 9 miljard dollar beschikbaar te stellen om het werk van de Cyber Security and Information Security Agency (CISA) van het land te versterken.

Sectie 230 van de Amerikaanse Communications Decency Act zal waarschijnlijk worden herzien aangezien individuen aan beide kanten van het politieke spectrum duidelijk willen maken dat technologiebedrijven verantwoordelijk zijn. Bovendien moet het voldoen aan de algemene verordening gegevensbescherming (AVG) en een centrale plaats innemen in elk cyberbeveiligingsplan.

Privacywet en -regelgeving, zoals de AVG, zullen blijven verschijnen. In mei 2020 zagen we de Thaise Personal Data Protection Act (PDPA) van kracht worden. Zo werd ook de Amerikaanse California Privacy Rights Act (CPRA) eind 2020 tot wet gemaakt, waarmee de oorspronkelijke California Consumer Privacy Act (CCPA) uitgebreid en gewijzigd werd om de meest restrictieve gegevensbeschermingswet in de VS te worden.

Naarmate de digitale evolutie en de geneeskunde steeds meer samenkomen, zullen er meer wettelijke eisen aan de gezondheidszorg worden gesteld. De nieuwe EU Medical Device Regulation (MDR) is verplicht en eist van fabrikanten om rekening te houden met de beginselen van risicobeheer, informatiebeveiliging en bescherming tegen ongeautoriseerde toegang. Het is op zijn minst gecompliceerd te noemen en organisaties die de risico’s van regelgeving verkennen, moeten zich daarvan bewust zijn.

Naleving is niet hetzelfde als beveiliging; de standaarden bepalen alleen de basis. De beste beveiligingsmaatregelen vereisen op maat gemaakte oplossingen op basis van specifieke zakelijke behoeften en activiteiten en kunnen verder gaan dan geldende normen.