首席法律官员面临合规性,隐私和网络安全义务

在计算机科学的硕士学位并在许多大型金融服务组织上致力于业务的IT方面, Bobby Balachandran. 观察了一个有趣的事情:这些组织的法律部门被遗漏了所有业务流程重新工程项目,其余的业务都经历了。

首席法官

发现巨大的市场机会,创建一个可以有效地协调法律部门监督的所有各种活动和流程的软件平台,他带来了辞职和启动的风险 exterro. 2008年,在全球金融危机的高度。他的愿景很简单:他想将流程优化和数据科学的概念应用于公司如何管理数字信息并回应诉讼。

该公司首先专注于建造流程引擎并将其应用于 电子发现。 13年,一个机构投资者和两次收购后,它提供了一个统一的平台,帮助总法律顾问(GC)和首席法人(COLL)管理与电子发现,数据隐私合规义务,数据主体访问权相关的挑战, 数字法医调查 and so on.

虽然Balachandran在Heartro总裁兼首席执行官的双倍作用中,但GC / CLO的作用改为,以及直接报告的团体(或以强虚线)向GC / CLO扩大到包括合规,隐私,法律行动和网络安全。

在这次采访中,我们’曾询问他对法律治理,风险管理和合规(GRC)领域的看法,挑战法律部门正在努力,以及必须成功达到他们的变化。

[答案是为了清楚起见。]

公司如何’法律部门改变以满足其组织的需求,并从全球变化产生的需求?

组织比以往任何时候都面临得更多的监管合规和隐私审查,每个人都受到网络违规或攻击的不断威胁。法律在确保满足所有合规义务方面发挥着关键作用,并减轻了组织的总体风险。

我坚信,需要一种新的战略来处理这些新的融合市场力量,它植根于数据管理。过去几年我们观察到的是您如何对待数据是解决您组织面临的许多问题的关键。组织如何收集,存储,使用和保护其数据最终确定数据造成风险的程度,导致成本并提供价值。所有这些更大的趋势都结合起来创造了新的商业挑战,即单个组织部门不再能够解决。

让我给你举个例子:

假设您的公司收到加州消费者隐私法数据访问请求。

首先,您必须安全地验证请求者的身份。然后,您必须适当地路由请求并及时行动。负责数据的人员或团体必须定位它,收集它,审查它,可能更改信息,然后将此信息安全地向请求者提供。

您可以看到这一请求如何快速跨越传统的部门和责任 - 这不仅仅是您隐私部门的责任中的某个人 - 她将需要与具有电子发现专业知识的人合作。并且,如果该用户提交数据删除请求,事情会变得更加复杂,因为在删除任何内容之前,必须先确认可以合法地删除信息(因为它可能受到监管合规义务的保留要求的情况(因为它可能会受到监管合规义务或a合法持有)。

在这种苛刻的环境中,传统的企业数据库存和管理方法不足。

为了帮助将此过程置于视角,我们想问六个简单的问题:

你知道你的数据在哪里吗?
你知道谁拥有你的数据吗?
3.您是否知道如何管理数据?
4.您是否知道第三方有哪些访问您的数据?
5.您可以在整个使用数据的所有进程中取消对数据完整性吗?
6.您是否可以轻松快速地响应数据的请求?

我们相信不太自信地回答这些问题,风险越大,您的整体组织就会越大。

首席法律官员是否应该落实哪些新的战略来管理其法律GRC义务?

我相信一个人应该开始认可,现在旧的做事方式现在不足,当然不会到期。我开始实现一个强大的企业级数据库存解决方案 - 一个很容易更新,而不仅回答上述问题,还要深入了解所创建和使用数据的上下文,因为这令人统称旨在确保遵守隐私法规和数据处置/保留义务。

我建议采取以过程为中心的一切 - 建立一致性,透明度,透明度,以及大多数,可防力地抵御与法律治理,风险和合规相关的一切。

法律部门挣扎的挑战是什么? Ransomware的出现如何以及过去几年的数据隐私立法影响了它们?

在里面 最近发布了 公司律师协会(ACC)2021年首席法律官员调查,网络安全,合规和数据隐私将列表作为第三年的第三年的业务最重要的问题领域。但是,第一次,网络安全超越了顶峰的合规性。这是15年前的情况,法律大多负责提供法律咨询,管理诉讼和保护组织。现在,他们必须要解决这一点。

与此同时,法律部门受到巨大的压力,以削减成本而不为组织牺牲优质服务。这就是ACC报告还强调的是,法律行动继续增长。这据说61%的法律部门现在雇用了至少一项法律行动专业 - 而且在2015年,这率仅超过20%!这是说,因为它表明了法律的需求和认可,而不是以前的进程为导向,因为它显示了过去几年发生的事情,但也许更有趣的是,它需要多少去。

五个法律部门中大约有两个仍然试图与过时做出的, 特设 方法,现在现在在我们当前的数据隐私立法的时代时尚不足。

考虑到一些与立法有关的潜在风险领域:如果公司有安全事件或违约,则现在与报告和通知义务有关的每一个国家,如果个人敏感的数据受到影响,那么周转时间很短。法律必须四分卫这些义务,但需要快速理解事件范围的能力,受影响的个人居住的数据以及报告义务在这些司法管辖区和违约中缺失的截止日期,并将公司暴露于罚款和其他人负面结果。

此外,如果组织没有一致,可靠的数据保留/处置过程,则可以在隐私法规中对特定义务进行原因。

最后,虽然消费者的权利要求您存储了哪些信息,以及您对其进行的信息很好地了解,当在未来几年中添加员工时,问题变得更加困难。想想员工数据驻留在组织内的所有系统,应用程序和地点。遵守这些隐私法规的能力在困难中越来越大,没有强大的数据治理实践就无法完成。

您希望在接下来的3到5年的法律GRC领域看到哪些变化?

我们只是在法律GRC领域的早期阶段。类似于法律业务的快速发展,我希望看到大多数组织在5年内将他们的法律GRC正式化。

数据管理将成为公司内部的关键函数,您将在法律GRC技术和团队中看到AI的使用和采用的巨大进步。

分享这个