Die toestand van aanlyn privaatheid in die Verenigde Koninkryk: doen ons genoeg?

Die EU Algemene Databeskermingsregulasie (BBP) het in Mei 2018 in werking getree. ’n Streng dataprivaatheid- en sekuriteitsregulasie stel dit streng vereistes op organisasies wat die persoonlike data van EU-burgers insamel en verwerk en hef swaar boetes vir oortredings.   

Die regulasie is ontwikkel om EU-inwoners en burgers se persoonlike data te beskerm in ooreenstemming met tegnologiese vooruitgang, soos geteikende advertensies en e-posbemarking. Ten spyte daarvan dat die Verenigde Koninkryk die Europese Unie verlaat, behou die VK steeds die GDPR in binnelandse wetgewing as die VK GDPR.   

Alhoewel besighede poog om die data wat hulle besit te beskerm, loer bedreigingsakteurs steeds – en soek geleenthede om toe te slaan. Dataskendings neem toe, kwaadwillige akteurs ontwikkel toenemend gesofistikeerde aanvalmetodes, en organisasies word meer as ooit onder die loep geneem oor dataprivaatheid en hoe hulle verbruikersinligting beveilig.   

Besighede sukkel om data veilig te hou  

In ISMS.online's Stand van inligtingsekuriteitsverslag 2024, wat 502 Britse ondernemings oor 'n reeks sektore ondervra het, het slegs 1% van die respondente verklaar dat hul maatskappy nie 'n boete ontvang het vir 'n data-oortreding of oortreding van databeskermingsreëls in die vorige 12 maande nie. 76% van organisasies het gesê hulle het boetes tussen £50,000 500,000 en £35 100,000 ontvang, met meer as 'n derde (250,000%) wat boetes tussen £XNUMX XNUMX en £XNUMX XNUMX ontvang het.   

Dit is kommerwekkend dat hierdie misstappe kwessies op wêreldwye skaal is – net 1% van die Australiese respondente en geen Amerikaanse respondente het gesê dat hul besigheid nie boetes ontvang het nie.  

Die impak van data-oortredings op besighede kan nie onderskat word nie. Die globale gemiddelde koste van 'n data-oortreding het in 2024 'n hoogtepunt bereik op $4.88 miljoen, 'n styging van 10% vanaf 2023 en die hoogste totaal ooit. Kliëntevertroue en handelsmerkreputasie word ook sterk beïnvloed: 'n studie deur ISACA het aan die lig gebring dat 33% van verbruikers rapporteer dat hulle bande verbreek het met 'n maatskappy waarvan bekend is dat hulle 'n oortreding ervaar het, en 36% glo dat maatskappye oortredings onderrapporteer, selfs al word dit deur die wet vereis.  

Verbruikers oefen hul dataprivaatheidsregte uit  

Soos organisasies sukkel om aan regulasies te voldoen en met data-oortredings te kampe het, raak verbruikers al hoe meer bekommerd oor hul dataprivaatheid en die organisasies aan wie hulle hul inligting gee. So, hoe doen verbruikers ondersoek 'n maatskappy se dataprivaatheidsreputasie?  

• 67% van verbruikers lees resensies van ander verbruikers  

• 39% van verbruikers lees die maatskappy se beleid noukeurig  

• 35% van verbruikers kyk of die maatskappy 'n data-oortreding ervaar het  

• 31% van verbruikers lees besprekings op sosiale webwerwe (bv. Reddit)  

• 15% van verbruikers maak seker by verenigings.  

Meer as twee derdes (67%) van Britse verbruikers soek nou sosiale bewyse, soos resensies van ander verbruikers op betroubare webwerwe, voordat hulle hul data aan 'n organisasie gee. Intussen sê 39% dat hulle maatskappybeleide noukeurig lees, ver van die dae van kopers wat terloops verby die bepalings en voorwaardes blaai om op 'aanvaar' te klik en aan te gaan. 35% sê hulle kyk of 'n maatskappy by wie hulle van plan is om te koop, 'n data-oortreding ervaar het.  

Verbruikers in die VK is bewus van en oefen hul data privaatheidsregte uit.  

Dit is die mees algemene maniere waarop Britse volwassenes hul dataprivaatheidsregte uitoefen, volgens Statista:  

• 70% het 'n organisasie gevra om op te hou om vir hulle bemarking op elektroniese wyse te stuur  

• 31% het 'n organisasie gevra om heeltemal op te hou om hul persoonlike inligting of data te gebruik  

• 31% het geweier om 'n organisasie van hul biometriese data te voorsien  

• 29% het 'n organisasie gevra om enige persoonlike inligting of data wat oor hulle ingesamel is, uit te vee.  

Hoe organisasies hul dataprivaatheidspraktyke kan verbeter  

Om te verseker dat jou besigheid aan GDPR-regulasies voldoen, is 'n wetlike vereiste en 'n sleutelstap om dataprivaatheid te verseker. Om organisatoriese vertroue te vestig en te bou, is dit egter belangrik om ander maniere te oorweeg om klante-inligting te beveilig, verder as die basislynvereistes wat in die wetgewing uiteengesit word.   

Infographic: Ontdek vyf stappe tot beter dataprivaatheid

Implementeer 'n privaatheidsinligtingbestuurstelsel met ISO 27701   

ISO 27701 is 'n internasionale standaard vir dataprivaatheid en 'n uitbreiding van die ISO 27001 inligtingsekuriteitstandaard. Dit bied 'n raamwerk vir jou organisasie om 'n privaatheidsinligtingbestuurstelsel (PIMS) daar te stel, te implementeer, in stand te hou en voortdurend te verbeter en om robuuste deurlopende voldoening aan databeskermingswetgewing soos GDPR te verseker. ISO 27701 is beskikbaar as 'n byvoeging tot 'n bestaande ISO 27001-sertifisering.  

Die standaard stel vereistes vas vir die bou van 'n omvattende PIMS en lei databeheerders en verwerkers in die hantering van persoonlik identifiseerbare inligting (PII). As deel van ISO 27701 implementering, sal jy:  

• Bepaal privaatheidswetgewing en regulasies wat op jou besigheid van toepassing is  

• Bepaal die organisatoriese omvang van jou PIMS  

• Vestig 'n privaatheid sekuriteit risiko assessering en behandeling proses   

• Bestuur die verhouding tussen jou inligtingsekuriteit en PII-beskerming  

• Oorweeg en implementeer kontroles om die PII wat jy beheer of verwerk te beskerm, byvoorbeeld:  

• Bylae A.7.2.1 – Identifisering en dokumentasie van die spesifieke doeleindes waarvoor die PII verwerk sal word, byvoorbeeld om klantbestellings te verwerk en te lewer, betalings te bestuur en dienste te bemark  

• Bylae A.7.4.1 – Beperk die versameling van PII tot die minimum wat relevant, proporsioneel en nodig is vir u geïdentifiseerde doeleindes  

• Bylae A.7.4.1 – Behou PII net so lank as wat nodig is vir die doeleindes waarvoor die PII verwerk word, byvoorbeeld deur retensieperiodes vir spesifieke rekordtipes vas te stel.  

Baie van jou PIMS-kontroles sal voortbou op die kontroles wat jy in jou ISO 27001-inligtingsekuriteitbestuurstelsel (ISMS) vestig, soos jou toegangsbeheerbeleid, inligtingrugsteunproses en inligtingklassifikasie. Dit stel jou organisasie in staat om 'n verenigde benadering te volg om inligtingsekuriteit en privaatheidrisiko aan te spreek, die risiko van data-oortredings te verminder en jou verbintenis tot sekuriteit aan jou kliënte en vooruitsigte te demonstreer.  

Vestig deursigtige datahanteringsprosesse  

Deursigtigheid in datahanteringsprosesse word vereis vir GDPR-nakoming, maar dit verhoog ook verbruikersvertroue in jou organisasie se sekuriteitsmaatreëls. Wettige, regverdige en deursigtige datahantering sluit in:  

• Identifisering en dokumentasie van die doeleindes waarvoor PII verwerk sal word, byvoorbeeld die lewering van produkte en dienste, verwerking en aflewering van bestellings of bemarking en bevordering van dienste  

• Identifisering en dokumentasie van die relevante wettige basis vir die verwerking van persoonlike data, soos toestemming van PII-beginsels, uitvoering van 'n kontrak of nakoming van 'n wetlike verpligting  

• Beperk die versameling en verwerking van PII tot die minimum wat nodig is vir die betrokke taak om by verstek met privaatheid en privaatheid deur ontwerp-beginsels in lyn te kom  

• Implementering van prosesse vir rekordbeskerming, insluitend toegangsbeheer, klassifikasie van inligting en gespesifiseerde retensieperiodes.   

Bogenoemde praktyke word ook vereis vir suksesvolle ISO 27701-nakoming en sertifisering.  

Werknemersopleiding en -bewustheid  

Dit is noodsaaklik om u werknemers op te lei om die persoonlike inligting wat u besit te beskerm en dit verantwoordelik te hanteer. Oorweeg dit om 'n opleiding- en bewusmakingsprogram vir werknemers daar te stel wat die belangrikheid daarvan aanspreek om data veilig en veilig te hou. Jy moet ook jou dataverwerking en -hanteringsbeleide met relevante werknemers deel, byvoorbeeld werknemers wat gereeld toegang tot die PII wat jy hou as deel van hul daaglikse rol.   

Aanboord is 'n ideale tyd om te verseker dat 'n nuwe werknemer bewus is van jou benadering tot datasekuriteit, en gereelde opknappingsopleiding help om data-privaatheidverantwoordelikhede in gedagte te hou.   

Die beveiliging van dataprivaatheid is almal se verantwoordelikheid  

Britse verbruikers weet die risiko om persoonlike inligting met organisasies te deel indien 'n besigheid die slagoffer van 'n data-oortreding word of bloot versuim om hul inligting korrek te hanteer. As verbruikers kan ons egter ook eenvoudige stappe neem om ons persoonlike inligting te beskerm:   

• Goeie wagwoordhigiëne, soos wagwoorde met 12 of meer karakters, stringe onverwante woorde, en syfers en spesiale karakters  

• Gebruik slegs veilige WiFi-verbindings en koppel nie aan openbare WiFi met beperkte sekuriteitsmaatreëls nie.  

• Om te verseker dat ons bewus is van hoe om 'n potensiële uitvissingpoging per e-pos of teks te identifiseer  

• Rapporteer verdagte tekste aan Action Fraud deur die boodskap aan te stuur na 7726 sodat dit ondersoek kan word   

• Kontroleer of 'n e-posadres gekompromitteer is in vorige data-oortredings met behulp van Is ek gekry, en wagwoorde dienooreenkomstig te verander.  

Met besighede wat sterker, meer robuuste privaatheidsmaatreëls instel soos dié wat in ISO 27701 uiteengesit word en verbruikers wat stappe doen om hulself en hul data te beskerm, kan ons 'n verenigde benadering tot databeskerming volg, datasekuriteit versterk en die pogings van kwaadwillige akteurs stuit.