[Cybernews] Christopher Wall, HayStackID: „Privacywetten verwachten dat organisaties weten welke gegevens ze hebben”

en flag
nl flag
fr flag
de flag
pt flag
es flag
uk flag

Opmerking van de redactie: Als toonaangevend eDiscovery-servicebedrijf met een sterke focus op cyberontdekking, informatiebeheer en juridische ontdekking, wordt HayStackID regelmatig benadrukt door experts uit de industrie en publicaties vanwege zijn innovatieve aanpak en diepgaande expertise in het oplossen van datagerichte uitdagingen voor bedrijven. Advocatenkantoren en overheidsdiensten. Dit onlangs gepubliceerde artikel waarin de privacy- en nalevingsexpertise van HayStackID wordt belicht en waarin Chris Wall van HayStackID wordt weergegeven, wordt hieronder gegeven en kan gunstig zijn voor cyber-, data- en juridische ontdekkingsprofessionals die op zoek zijn naar privacy-, beveiligings- en nalevingsproblemen.

Door Anna Zhadan en uitgegeven door Cybernews*

Documentkasten behoren waarschijnlijk tot het verleden, maar je zou kunnen stellen dat digitalisering van gegevens meer privacy, beveiliging en ophaaluitdagingen met zich meebracht dan traditionele manilla-mappen ooit zouden kunnen.

De hoeveelheid informatie die moet worden doorzocht bij het zoeken naar gegevens in gerechtelijke procedures is enorm. Het proces omvat vaak het risico dat de gegevens worden gewijzigd, gelekt, verwijderd of gecompromitteerd. Geautoriseerde toegangscontrole, training en naleving van privacywetten kunnen een deel van de oplossing voor dit probleem zijn, maar er is altijd meer te overwegen bij het beveiligen en verwerken van gegevens.

Cybernews nam contact op met Christopher Wall, de Special Counsel for Global Privacy and Forensics and Data Protection Officer bij HayStackID. We spraken over de ingewikkelde processen van het ophalen van gevoelige digitale gegevens die nodig zijn voor juridisch onderzoek, evenals over de rol van technologie op juridisch gebied.

Hoe kwam het idee van HayStackID tot leven? Hoe is je reis sindsdien geweest?

Mijn reis was een lange en niet-traditionele benadering van forensisch onderzoek. Ik gaf mijn eerste juridisch advies aan een technologiecliënt in 1998 - een week na het passeren van de balie - in ruil voor MCSE-training, en ging toen rechten uitoefenen bij BigLaw, en verliet uiteindelijk de traditionele advocatenpraktijk om lid te worden van de technologieadviesrangen. Het was een fascinerende, spannende en ongelooflijk leuke reis, maar waarschijnlijk niet een reis die ik aan het begin van mijn carrière in kaart had kunnen brengen.

Bij HayStackID specialiseer je je in een praktijk genaamd eDiscovery. Kun je kort uitleggen hoe het werkt?

Veel van wat we bij HayStackID doen, betreft zeker eDiscovery, het onderdeel van het verzamelen van informatie en het delen van informatie in geschillen. Maar misschien nauwkeuriger, zou ik zeggen dat wij bij HayStackID gespecialiseerd zijn in e-bewijs en elektronisch forensisch onderzoek. Ons dagelijkse werk omvat forensisch bewaren, verzamelen, extraheren, zoeken en beoordelen van elektronische gegevens in geschillen en in andere contexten zoals datalekken en andere cyberonderzoeken, interne werkgelegenheidsonderzoeken en regelgevingsprocedures. De aanpak die we volgen op het gebied van chain of custody, toepassing van degelijke principes van forensische analyse, enz., Is hetzelfde, hetzij in eDiscovery of een andere context, maar de use-cases voor ons werk kunnen echt veel verschillende vormen aannemen. Een vaak niet aangekondigd onderdeel van wat we doen, is aan de preventiekant van de vergelijking.

Hoewel we vaak bekend staan om het doorzoeken van gegevens dat we doen, is een groot deel van wat we doen om onze klanten te helpen de kosten en risico's te verlagen waarmee ze kunnen worden geconfronteerd voordat ze tot een rechtszaak gaan of tot het punt waarop ze ontdekking of een soort onderzoek moeten doen. Omdat we weten waar de pijnpunten en potentieel dure gevaren zich op de weg bevinden, zijn we in een goede positie om onze klanten te helpen bij het opzetten van proactieve en preventieve Information Governance (IG), privacy- en beveiligings- en gegevenshygiëneplannen, zodat ze sommige van die risico's kunnen beperken voordat ze verschijnen .

Welke technologie gebruikt u om waardevolle informatie te selecteren uit grote hoeveelheden gegevens?

Het is niet ongebruikelijk dat HayStackID wordt gevraagd om zo snel mogelijk terabytes aan gegevens te verzamelen, verwerken, analyseren en beoordelen. Onze hulpmiddelen voor forensische inzameling omvatten Cellebrite, XRY en EnCase. We gebruiken ook een combinatie van tools, afhankelijk van de behoefte, om de verzamelde gegevens te doorzoeken om die relatief weinig bestanden te vinden die onze klanten echt nodig hebben. Tools zoals Nuix, Reveal (Brainspace) en Relativity helpen ons onder andere met analyse en review. Als het zinvol is op basis van het gegevensvolume en de aard van de case, kunnen we kunstmatige intelligentie, machine learning en analysetools toepassen om de gegevens te doorzoeken. Maar dat zijn slechts de tools in onze gereedschapskist. De echte waarde komt van de ongelooflijk slimme en getalenteerde mensen in ons team die weten hoe ze die tools moeten gebruiken.

Welke invloed had de pandemie op de juridische sector? Waren er nieuwe uitdagingen waar je je aan moest aanpassen?

HayStackID was goed gepositioneerd voor de pandemie, aangezien het bedrijf het afgelopen decennium zwaar heeft geïnvesteerd in het ontwikkelen en inzetten van externe 100% virtuele documentbeoordelingsteams, infrastructuur- en technologiepersoneel. Het werk op afstand was niet nieuw, en in veel opzichten betekenden de pandemie en de lockdowns voor HayStackID-medewerkers business as usual.

Advocaten houden van oudsher van hun facetime (daadwerkelijke face-to-face interactie met klanten, niet noodzakelijk de app). De juridische sector is gebouwd op vertrouwen, en op basis daarvan zal het persoonlijke menselijke element van de juridische sector nooit helemaal verdwijnen. Desalniettemin creëerde de pandemie een kans voor de advocatuur en de bredere juridische sector om verder te groeien dan oude modellen. Virtuele vergaderingen vervingen veel van de fysieke vergaderingen in de vergaderruimte, en een zilveren voering van de donkere pandemische wolk was dat velen in de branche ertoe brachten te kijken hoe efficiënt persoonlijke vergaderingen konden worden vergeleken met virtuele vergaderingen. In die zin heeft de virtuele oefening waarschijnlijk geholpen om de uiteindelijke terugkeer naar persoonlijke vergaderingen efficiënter en effectiever te maken. Natuurlijk zijn er ook afwegingen met productiviteit. Zoals bij veel andere industrieën, zonder woon-werkverkeer en minder waterkoelere tijd, zag de juridische sector de productiviteit in veel opzichten stijgen, zelfs terwijl professionals nieuwe manieren vonden om persoonlijke eisen in evenwicht te brengen terwijl ze vanuit huis werken.

Wat betreft enkele van de andere uitdagingen van de pandemie, zoals de meeste andere industrieën, moest de juridische sector manieren vinden om efficiënter te zijn in het verplaatsen en omgaan met gegevens. Werken op afstand bracht logistieke, technische en veiligheidsuitdagingen met zich mee. Vóór de pandemie werd bijvoorbeeld veel van ons computerforensisch werk gedaan in een fysiek laboratorium. De behoefte aan die forensische diensten is zeker niet vertraagd tijdens de pandemie. Door de pandemie hebben we manieren gevonden om veel van dezelfde technisch en juridisch verdedigbare taken uit te voeren vanaf afgelegen locaties in plaats van in een gecentraliseerd laboratorium.

We moesten uitzoeken hoe we ervoor konden zorgen dat iedereen de hardware en software had die ze nodig hadden in hun externe omgeving, dat ze die tools in hun externe omgeving konden gebruiken en dat op een veilige manier konden doen. De juridische sector houdt zich bezig met veel gevoelige, vertrouwelijke en vaak bevoorrechte informatie. Tijdens de pandemie moesten we een manier vinden om de veiligheid van die informatie te behouden terwijl onze professionals met die informatie aan hun keukentafel werkten. Achteraf gezien was het wat ik graag een „probleem” noem. Wat we hebben geleerd en de methoden die we tijdens de pandemie hebben ontwikkeld, maakten velen in de branche meer bewust van informatiebeveiliging en hebben ons gepositioneerd om klanten in de toekomst, na de pandemie, beter van dienst te zijn.

Maakt de recente stijging van cloudoplossingen eDiscovery op enigerlei wijze ingewikkeld?

De meeste IT-professionals zullen het erover eens zijn dat cloudoplossingen veel grote voordelen bieden. Ze kunnen onder andere veel krachtiger zijn dan oplossingen op locatie. Ze kunnen helpen de IT-kosten te verlagen. Ze kunnen het IT-beheer voor veel bedrijven stroomlijnen. Ze kunnen hetzelfde doen voor eDiscovery. Tijdens de pandemie waren cloudoplossingen bijvoorbeeld een integraal onderdeel van eDiscovery-serviceproviders, omdat ze een zeer efficiënte manier mogelijk maakten om eDiscovery-services te leveren. Vóór de pandemie had het Core-aanbod van HayStackID betrekking op zowel on-premise als clouduse cases, dus het was iets minder een verandering voor ons, maar voor de branche als geheel was de overstap naar de cloud van vitaal belang.

Maar cloudoplossingen brengen ook nieuwe risico's en nieuwe complicaties met zich mee. Een van de grote voordelen van cloudservices is dat ze ervoor zorgen dat gegevens vrij kunnen worden verplaatst naar waar gebruikers het nodig hebben, overal ter wereld. Maar de kracht van de cloud is ook de complicerende factor. Niet alle clouds zijn gelijk - en vanuit het oogpunt van gegevensbescherming zijn ook niet alle rechtsgebieden waarin elke cloud wordt gehost, gelijk. We zijn ons tegenwoordig veel meer bewust van individuele privacy en veel meer van de huidige eDiscovery is grensoverschrijdend van aard. Dus wanneer we eDiscovery uitvoeren met behulp van cloudresources, moeten we nu overwegen wiens gegevens naar de cloud gaan, de aard van die gegevens en waar die cloud en zijn back-ups zich over de hele wereld bevinden. Dat kan een ingewikkelde analyse zijn, en zodra de analyse is uitgevoerd, moeten we ervoor zorgen dat we over de juiste wettelijke regels of contractuele clausules beschikken en beoordelen of en hoe gegevens naar een bepaalde cloudomgeving moeten worden verplaatst.

Wat zijn volgens uw ervaring de meest voorkomende redenen waarom een organisatie zou kunnen kiezen voor eDiscovery?

Bijna alle zaken van vandaag worden elektronisch uitgevoerd, en dat betekent dat wanneer er een feitelijke kwestie is - of een behoefte om te antwoorden op het wie, wat, wanneer, waarom of hoe iets op de werkplek is gebeurd - we ons wenden tot de gegevens van een organisatie voor antwoorden. Daarom zijn er waarschijnlijk niet veel organisaties die tegenwoordig de luxe hebben om te kiezen of ze eDiscovery willen doen. Helaas, in de steeds meer litigieuze wereld waarin we leven, wordt eDiscovery meestal opgedrongen aan een organisatie, of ze het nu leuk vinden of niet. eDiscovery kan duur zijn, en wanneer een organisatie wordt geconfronteerd met eDiscovery in verband met geschillen (of in het algemeen in een andere context), moeten ze beslissen of een proportionele respons omvat het uitvoeren van eDiscovery. Zoals veel dingen in de juridische sector, is het een balanceringstest. Als de last of kosten van eDiscovery bijvoorbeeld opwegen tegen het waarschijnlijke voordeel - gezien wat er in de zaak op het spel staat, de hoeveelheid geld in controverse, de middelen die de organisatie moet inzetten voor eDiscovery of het verwachte belang van de eDiscovery bij het oplossen van de problemen - dan is een organisatie kan besluiten een schikking te treffen of anderszins te streven naar een onderhandelingsresultaat.

Wat zijn volgens jou enkele van de grootste fouten die mensen vaak maken als het gaat om het omgaan met gevoelige gegevens?

Er zijn zoveel dingen die mis kunnen gaan bij het omgaan met gevoelige gegevens, maar vervuiling en privacy komen meteen in je op. Versplijting treedt op wanneer gegevens die geacht worden te worden bewaard, worden gewijzigd of verwijderd. Dat is niet goed tijdens een rechtszaak of een onderzoek wanneer de integriteit van de gegevens (inclusief alle metadata) van het grootste belang is. We zien het vaak: een onschuldige daad, zoals het simpelweg verplaatsen van bestanden van de ene map naar de andere met goede bedoelingen of een verlangen om te helpen, kan de metadata van een bepaald bestand veranderen. Die simpele handeling zou er dan toe kunnen leiden dat de authenticiteit en dus het nut van dat dossier in twijfel wordt getrokken. Er zijn beproefde methoden die veel cyberprofessionals gebruiken om vervuiling te voorkomen, maar ik denk dat ze allemaal zullen getuigen van het feit dat die methoden niet altijd worden toegepast zoals ze zouden moeten zijn.

De grotere fout die we zien, vooral in de afgelopen jaren, is dat er geen effectief privacy- en beveiligingsbeleid en -praktijken zijn ingevoerd. Vanuit het oogpunt van beveiliging kunnen wachtwoorden en draagbare opslag problemen opleveren, wat voor de meeste cyberprofessionals geen verrassing zou moeten zijn. Werknemers neigen automatisch naar zwakke wachtwoorden, ze gebruiken hetzelfde wachtwoord voor toepassingen en services, of wanneer ze unieke wachtwoorden gebruiken, registreren ze deze en slaan ze op voor de hand liggende plaatsen op. Draagbare opslag levert problemen op omdat personeel die apparaten vaak verliest en het bedrijf misschien niet weet of het verloren apparaat gevoelige informatie bevatte. In andere gevallen, waar personeel gebruikmaakt van door de organisatie uitgegeven apparaten met ingebouwde beveiliging, raken de gebruikers gefrustreerd door de beveiliging en schakelen deze voor het gemak uit.

Dat brengt me tot privacy. Vanuit het oogpunt van privacy lijken Californië en de EU alle aandacht te krijgen, maar er is een groeiend aantal rechtsgebieden in de VS en over de hele wereld waarin de beveiligingsverval die ik zojuist heb beschreven, kan leiden tot ernstig financieel en reputatierisico. Gevoelige gegevens vanuit het oogpunt van privacy hebben vaak betrekking op persoonlijke informatie - informatie die eigendom is van individuen en niet van de organisatie. In veel rechtsgebieden hebben individuen het recht om bepaalde dingen met die informatie te doen, zelfs als de bijbehorende gegevens zich diep in een 20-jarige Oracle-database bevinden of ergens op een Pegasus-e-mailback-uptape in een stoffige kast zitten. Het niet kunnen reageren op de uitoefening van hun privacyrechten door die individuen kan leiden tot de grote EU-boetes waar iedereen het over heeft. Dat soort overtreding van een organisatie kan leiden tot een boete van 4% van de jaaromzet of €20 miljoen, afhankelijk van wat het grootst is. Organisaties moeten weten welke gegevens ze hebben. Dat geldt ook voor de 20-jarige gegevens, die het bedrijf trouwens hopelijk een heel goede reden heeft onder zijn IG-beleid om nog steeds rond te liggen. Veel van de opkomende privacywetten over de hele wereld verwachten dat organisaties weten welke gegevens ze hebben, weten waar deze fysiek worden opgeslagen en dat ze de persoonlijke informatie van individuen in hun bezit kunnen identificeren. Dat betekent dat de organisatie een privacybeoordeling heeft uitgevoerd die nauw verband houdt met haar IG-beleid. Effectief privacy- en beveiligingsbeleid met sterke ondersteuning van leidinggevenden, vergezeld van gecontroleerde praktijken en regelmatige training, zijn van cruciaal belang als een organisatie beveiligings- en privacyrisico's wil beperken en de „grote” fouten wil vermijden.

Welke andere digitale juridische oplossingen ziet u, naast het ontdekken van gegevens, binnenkort gemeengoed worden?

Ik zie dat AI en machine learning vooruitgang blijven boeken in de juridische sector. Die technologie heeft het potentieel om de eDiscovery-kosten aanzienlijk te verlagen en uiteindelijk organisaties in staat te stellen documenten bij het begin te classificeren en te organiseren, waardoor het institutionele risico dat gepaard gaat met ineffectieve IG-beleid of -praktijken wordt verminderd.

Mijnbouw van gestructureerde gegevens, naast of in combinatie met ongestructureerde bronnen zoals e-mail, zal gebruikelijker worden naarmate organisaties proberen een completer feitelijk beeld te kunnen schetsen met behulp van alle gegevens die voor hen beschikbaar zijn. We hebben mensen horen praten over het gebruik van big data voor wat nu voor altijd lijkt, maar de echte vooruitgang zal zijn om gegevens die zijn opgeslagen in rijen en kolommen (inclusief al die gegevens die we hebben op de mobiele apparaten die in onze zakken zijn gestopt) te trouwen met de e-mail- en zakelijke documenten waar we bijna uitsluitend naar hebben gekeken, dus lang. Het samenvoegen van de twee zal steeds gebruikelijker worden, niet alleen op het gebied van eDiscovery en compliance, en niet alleen in de juridische sector, maar in de zakenwereld in het algemeen. Het hebben van een holistisch panorama van de activiteiten van een organisatie zal haar in staat stellen betere, beter geïnformeerde en mogelijk actuelere zakelijke beslissingen te nemen.

Eindelijk is er privacy. Gegevensbeschermingsbeoordelingen zijn al van start gegaan naarmate organisaties zich steeds meer bewust worden van hun wettelijke privacy- en beveiligingsverplichtingen, en steeds meer verwachten de klanten van de organisatie dit. Dus, samen met privacy- en beveiligingsaudits die steeds gebruikelijker worden, zal de natuurlijke uitgroei van die beoordelingen sterkere wachtwoordvereisten over de hele linie omvatten, gegevensanonimisering - of de-identificatie van persoonlijke gegevens indien mogelijk - en een nauwere analyse van de onderaannemers van een organisatie privacy- en beveiligingspraktijken. We zullen zien dat steeds meer personen hun rechten op hun persoonlijke informatie uitoefenen door te vragen om toegang, verwijdering of correctie van hun persoonlijke informatie die een organisatie mogelijk bezit.

Deel met ons, wat is de volgende stap voor HayStackID?

HayStackID begon als een computer forensisch en cyberonderzoeksbureau, en de forensische principes en praktijken die zijn vastgesteld om dat werk te doen, zullen altijd de kern zijn van wat we doen. Maar als we naar de toekomst kijken, werkt HayStackID aan het transformeren van de manier waarop cybersecurity-, IG- en eDiscovery-professionals denken over e-bewijs. We verleggen de grenzen in het gebruik van AI, data science en machine learning, en combineren die technologieën met bekwame menselijke recensenten om organisaties sneller en kosteneffectiever dan ooit tevoren bruikbare inzichten te bieden.

Misschien spannender is wat we doen op het gebied van privacy en gegevensbescherming. Om onze klanten te helpen gegevens te analyseren op gevoelige informatie, variërend van PII en PHI tot afwijkingen in de code van datalekken, rollen we HayStackID's Protect Analytics uit. Wanneer we dat combineren met het ReviewRight Protect-aanbod van HayStackID, kunnen we de kracht van technologie en menselijke beoordeling benutten en ze rechtstreeks richten op het detecteren, identificeren, beoordelen en melden van gevoelige gegevensgerelateerde inbreuken en anomalieën.

Hoewel e-evidence en eDiscovery altijd ons brood en boter zullen zijn, zijn we enthousiast over wat we naar de branche brengen om het effectiever, efficiënter en kosteneffectiever te maken voor onze klanten.

Lees het originele artikel.

*Gedeeld met toestemming.

Over HayStackID®

HayStackID is een gespecialiseerd eDiscovery-servicebedrijf dat bedrijven en advocatenkantoren helpt bij het veilig vinden, begrijpen en leren van gegevens wanneer ze worden geconfronteerd met complexe, data-intensieve onderzoeken en geschillen. HayStackID mobiliseert toonaangevende cyberontdekkingsdiensten, bedrijfsoplossingen en juridische ontdekkingsaanbiedingen om meer dan 500 van's werelds toonaangevende bedrijven en advocatenkantoren in Noord-Amerika en Europa te bedienen. HayStackID bedient bijna de helft van de Fortune 100 en is een alternatieve cyber- en juridische dienstverlener die expertise en technische uitmuntendheid combineert met een cultuur van klantenservice met witte handschoenen. Naast consequent gerangschikt door Chambers USA, werd het bedrijf onlangs uitgeroepen tot wereldleider in eDiscovery Services door IDC MarketScape en een representatieve leverancier in de Gartner Market Guide for E-Discovery Solutions. Verder heeft HayStackID SOC 2 Type II-attest behaald op de vijf vertrouwensservicegebieden van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Voor meer informatie over haar dienstenpakket, inclusief programma's en oplossingen voor unieke juridische bedrijfsbehoeften, ga naar Haystackid.com.