Kontinuerlig efterlevnadsövervakning: Varför engångsskanningar inte räcker

En webbplats som klarade en efterlevnadsskanning i januari kan bryta mot GDPR i mars. Marknadsavdelningen la till en ny analystagg. Ett tredjepartsskript uppdaterades och började sätta spårningscookies. SSL-certifikatet gick ut. Ingen märkte det eftersom kontinuerlig efterlevnadsövervakning inte fanns på plats.

Engångsskanningar ger er en ögonblicksbild. Ögonblicksbilder blir inaktuella. Frågan är inte om er webbplats var kompatibel för tre månader sedan, utan om den är kompatibel just nu.

Sex sätt webbplatser glider ur efterlevnad

Efterlevnadsavdrift sker i tysthet. Ingen planerar att bryta mot GDPR. Men webbplatser är levande system, och varje förändring är en potentiell efterlevnadshändelse.

1. Marknadsavdelningen lägger till nya spårningstaggar utan att konsultera dataskyddsombudet eller juridiska teamet
2. SSL/TLS-certifikat går ut, vilket försämrar transportssäkerheten som krävs av artikel 32
3. Tredjepartsskript uppdateras och introducerar nya spårningsbeteenden som webbplatsägaren aldrig godkänt
4. CMP-konfigurationsändringar bryter samtyckesflöden: avvisningsknappar slutar fungera eller nya cookiekategorier täcks inte
5. Nya sidor läggs till utan korrekt integrering av cookiesamtycke
6. Tredjepartsleverantörer ändrar sina databehandlingsplatser, vilket förvandlar en EU-baserad tjänst till en gränsöverskridande överföring

Var och en av dessa saker händer rutinmässigt. De flesta organisationer upptäcker problemet när en kund klagar, en tillsynsmyndighet ställer frågor eller en konkurrent uppmärksammar det offentligt.

GDPR:s ansvarsskyldighet är pågående, inte engångs

GDPR säger inte 'påvisa efterlevnad en gång.' Artikel 5(2) skapar en pågående skyldighet. Artikel 24 kräver att personuppgiftsansvariga vidtar åtgärder som granskas och uppdateras vid behov. Artikel 32 kräver uttryckligen regelbunden testning, bedömning och utvärdering av effektiviteten hos tekniska och organisatoriska åtgärder.

Ordet 'regelbunden' i artikel 32 är den rättsliga grunden för kontinuerlig övervakning. En skanning som utförs en gång om året uppfyller inte standarden för regelbunden testning. Tillsynsmyndigheter har gjort detta tydligt i tillsynsbeslut: ansvarsskyldighet kräver pågående verifiering.

Hur Vakteye övervakar efterlevnad kontinuerligt

Vakteye kör fem övervakningsuppgifter som spårar efterlevnadsstatus mellan fullständiga skanningar. Det är inte förenklade omskanningar. Var och en upptäcker en specifik typ av avdrift.

• Kontinuerlig övervakning: schemalagda omskanningar som upptäcker nya överträdelser, ändrade beteenden och lösta problem jämfört med senaste fullständiga skanningen
• Certifikatutgångsdetektering: varnar innan SSL/TLS-certifikat går ut, förhindrar säkerhetsförsämring enligt artikel 32
• Efterlevnadsavdriftsvarningar: automatiserade aviseringar när nya överträdelser dyker upp på en tidigare godkänd domän
• Automatisk återkallelse: när övervakning upptäcker överträdelser på en certifierad domän återkallas efterlevnadsmärket automatiskt tills problemen är lösta
• Hälsokontroll av skanningen: övervakar själva skanningssystemet så att övervakningsresultaten är pålitliga

Övervakningssystemet körs på en veckovis rotation över alla övervakade domäner. Varje domän kontrolleras regelbundet utan att manuell intervention krävs.

Avdriftsdetektering: vad som ändras mellan skanningar

Avdriftsdetektering jämför det aktuella skanningstillståndet mot den senast kända baslinjen. Nya fynd som inte fanns i föregående skanning flaggas som avdrift. Något ändrades och det introducerade en efterlevnadsrisk.

Vanliga avdriftsmönster som Vakteye fångar inkluderar nya tredjepartscookies som dyker upp efter att marknadsavdelningen installerat en tagg, samtyckesbanners som slutar fungera efter en CMP-uppdatering, säkerhetsrubriker som tas bort under en driftsättning och certifikatkonfigurationer som nedgraderas efter en servermigrering.

Varje avdriftsvarning inkluderar det specifika fyndet, när det först dök upp och hur det jämförs med föregående skanning. Det förvandlar 'något ändrades' till 'här är exakt vad som ändrades och varför det spelar roll.'

Automatisk återkallelse: efterlevnadsmärken som betyder något

Vakteye utfärdar efterlevnadsmärken till domäner som klarar en fullständig skanning och mänsklig granskning. Märket är inte ett permanent certifikat. Det är en statusindikator som backas av kontinuerlig övervakning.

När övervakning upptäcker överträdelser på en märkt domän återkallas märket automatiskt. Domänägaren får en avisering med de specifika överträdelserna som hittats. Märket återställs först efter att överträdelserna åtgärdats och verifierats.

Denna automatiska återkallelsemekanism förhindrar det vanligaste problemet med efterlevnadscertifieringar: de blir inaktuella. Ett märke som utfärdades för sex månader sedan baserat på en engångsskanning ger falskt förtroende.

Kostnaden av att inte övervaka

Reaktiv efterlevnad (att vänta på att problem ska dyka upp) är dyrare än kontinuerlig övervakning. Ett kundklagomål utlöser en utredning. En tillsynsförfrågan kräver snabb bevisframtagning. Båda kostar mer än att fånga problemet tidigt.

GDPR-böter under artikel 83 skalas med allvaret och varaktigheten hos överträdelsen. En överträdelse som existerade i sex månader eftersom ingen övervakade leder till högre böter än en som upptäcktes och åtgärdades inom veckor. Varaktighet spelar roll för tillsynsmyndigheter.

Konfigurera en gång, håll er informerade kontinuerligt

Kontinuerlig övervakning tar bort gissningsarbetet från efterlevnad. Ni behöver inte komma ihåg att köra skanningar. Ni behöver inte manuellt kontrollera certifikatets utgångsdatum. Ni behöver inte granska varje marknadstaggsinstallation.

Övervakningssystemet körs automatiskt. När något ändras får ni en avisering med detaljerna. När inget ändras har ni det pågående bevisspåret som artikel 32 kräver. Oavsett är ni täckta.