Die ICO hersien sy benadering tot boetes in die openbare sektor: wat moet hy besluit?

Data-oortredingsboetes neem toe. Volgens die ISMS.online Stand van inligtingsekuriteitsverslag 2024, die gemiddelde boetebedrag wat besighede wat verlede jaar gerapporteer het, gerapporteer het, was jaarliks ​​byna 4% tot £258,000 XNUMX. Tog neem hierdie studie slegs die finansies-, gesondheidsorg-, vervaardigings-, kleinhandel- en tegnologiesektore in ag. In die openbare sektor het die databeskermingsreguleerder, die Inligtingskommissaris se kantoor (ICO) 'n ligter benadering tot boetes vir twee jaar beproef.  

’n Besluit oor die vraag of daar voortgegaan moet word of ’n harder standpunt oor handhawing moet volg, hang in die herfs. Die bewyse dui daarop dat 'n heroorweging nodig is. 

Twee jaar se stampe trek

'N Ontleding van ICO boetes deur URM Consulting beklemtoon die skerp verskil in regulatoriese benadering tussen die openbare en private sektore. Van 29 teregwysings wat verlede jaar aan organisasies uitgereik is, is 20 teen die openbare sektor gerig. Al 17 is egter teen private ondernemings uitgereik wat boetes betref.  

Van die mees noemenswaardige voorbeelde van die ICO wat die afgelope twee jaar met boetes in die openbare sektor getrek het, is: 

• Die polisiediens van Noord-Ierland (PSNI), wat per ongeluk sensitiewe inligting oor beamptes uitgelek het in wat beskryf is as een van die ergste oortredings van sy soort, gegewe die sensitiwiteit rondom die polisiemag. Tog, hoewel die lewens van dienende beamptes en hul gesinne waarskynlik in gevaar gestel is, moontlike boete van £5.6 miljoen is tot £750,000 XNUMX verminder 

• Die Tavistock en Portman NHS Foundation Trust, wat per ongeluk die e-posadresse van 1,781 900 Gender Identity Clinic-pasiënte bekend gemaak het, van wie sommige in die openbaar geïdentifiseer is. 'n Voornemende boete is XNUMX%+ verminder net £ 78,400 

• Die Kabinetskantoor, wat ontbloot het die name en ongeredigeerde adresse van meer as 1,000 500,000 mense wat in die Nuwejaar-eerbewyselys aangekondig is, insluitend verskeie bekendes. ’n Boete van £50,000 XNUMX is tot £XNUMX XNUMX verminder  

• Die Ministerie van Verdediging (MoD), wat hoogs sensitiewe inligting per e-pos uitgelek het oor mense wat na die VK wou verhuis nadat die Taliban beheer oor Afghanistan oorgeneem het. 'n Boete van £1 miljoen is tot £350,000 XNUMX verminder  

• NHS Hoogland, wat e-pos gestuur het aan 37 mense wat waarskynlik toegang tot MIV-dienste het, en hul besonderhede met mekaar gedeel het. 'n Boete van £35,000 XNUMX is verminder tot 'n blote berisping.  

• Die Verkiesingskommissie, wat kuberkrakers toegelaat het om toegang te verkry tot inligting oor 40 miljoen burgers na 'n reeks basiese sekuriteitsmislukkings. Dit is glad nie beboet nie maar eenvoudig berisping ontvang het.  

Waarom gaan die ICO maklik?

Verlede jaar is meer Britse ondernemings beboet tussen £250-500K (26% teenoor 21% in 2022) en tussen £100K-250K (35% vs 18%) as in die vorige 12 maande, volgens ISMS.online-data. Tog het die openbare sektor ontsnap. Dit is ten spyte van verslegtende data-oortredingstatistieke in die regering. Volgens die ICO se eie data, ontleed deur regsfirma Mishon de Reya, was daar 'n verbysterende 8000% toename in die aantal individue wat geraak is deur data-oortredings in sentrale regering tussen 2019 en 2023. Ongelooflik, daar was 195 miljoen individue wat geraak is deur oortredings wat verband hou met "ekonomiese of finansiële data" in 2023 alleen, byna drie keer die bevolking van die VK. 

So hoekom die verandering in ICO-beleid? Vir inligtingskommissaris John Edwards kom dit daarop neer dat boetes waarskynlik die gedrag van die private sektor makliker sal verander as in die openbare sektor. En die feit dat staatsfinansies reeds gevaarlik dun gerek is. 

“Ek is nie oortuig dat groot boetes op hul eie so effektiewe afskrikmiddel binne die openbare sektor is nie. Hulle raak nie aandeelhouers of individuele direkteure op dieselfde manier as wat hulle in die private sektor doen nie, maar kom direk uit die begroting vir die verskaffing van dienste.” het hy in Junie 2022 geskryf. 

“Die impak van 'n openbare sektor-boete word ook dikwels op die slagoffers van die oortreding besoek, in die vorm van verminderde begrotings vir noodsaaklike dienste, nie die oortreders nie. In werklikheid word mense wat deur 'n oortreding geraak word twee keer gestraf.” 

Tog is die logika oor boetes as afskrikmiddel 'n bietjie wollerig. ISMS.online-navorsing bevind dat slegs 'n vyfde (19%) van besighede wat reageer, sê hul primêre motivering vir voldoening is om boetes te vermy. Veel meer praat oor om mededingend te bly (34%), die verhoging van klantevraag (34%) en die beskerming van besigheid (30%) en klante- (29%)-inligting. Nie een van hierdie ander motiverende faktore is veral relevant vir die openbare sektor nie, wat boetes laat as een van die min hefbome wat vir die ICO beskikbaar is. 

Wat die verwarring vererger, is die feit dat daar gemengde boodskappe van binne die ICO self kom. John Edwards was eers onlangs berig soos om te sê dat sy beleid om nie die openbare sektor te beboet nie, maar eerder nie-bindende berispings uit te reik, “baie doeltreffend was, veral in die openbare sektor waar reputasie meer werd is as die beursie”. Hy het egter sedert erken dat daar beperkte bewyse beskikbaar is, selfs om die impak van geldelike boetes op die sektor te bepaal. 

"Ek sou verwag dat die komende hersiening sommige data en ander bewyse sal hê, byvoorbeeld of die ICO enige bewyse gesien het van 'n verbetering in voldoening in die openbare sektor as gevolg van die openbare sektor-benadering," Mishcon de Reya senior data beskermingspesialis, Jon Baines, vertel aan ISMS.online.  

“Anekdoties sou ek sê ons het eerder armer gesien nakoming. Ek is steeds onoortuig dat daar enige basis is om die openbare sektor anders as enige ander sektor te behandel. Ek vrees dat die 'openbare sektor-benadering' die effek het om die ICO se diskresie te beperk om effektiewe, proporsionele en afskrikwekkende aksie te neem. 

Ruimte vir verbetering

So wat gebeur volgende? Baines verduidelik dat, voor die GDPR, die ICO gebruik het om 'n databeheerder te vereis om 'n "onderneming" te onderteken om verbeterings aan te bring - as hul organisasie ontbreek, maar 'n boete of afdwingingsaksie nie geregverdig was nie. 

“Ek sien geen rede waarom die ICO nie hierdie benadering in toepaslike gevalle kon hervat nie: dit sou die effek hê dat senior bestuurders verpligtinge oplê om te verseker dat hul belofte nagekom word. Volgens my ervaring was daardie 'ondernemings' baie effektief om daardie senior bestuurders se gedagtes te konsentreer op die belangrikheid van voldoening aan databeskerming,” voeg hy by.  

“Ek sou ook voorstel dat die regering oorweeg of dit dalk formele magte, deur wetgewing, aan die ICO wil toeken om sulke ondernemings te soek, met die moontlikheid vir sanksies teen individue – sowel as organisasies – as die ondernemings verbreek word. Ek dink dat dit dan 'n reeks magte beskikbaar sal hê wat, alleen of in kombinasie, effektief kan wees. 

Te midde van hierdie verwarring, is die beste manier vir organisasies in die openbare sektor om beheer oor hul lot te neem om oortredingsrisiko's proaktief te versag. Die ICO het behulpsaam die dinge uitgelig wat beide openbare en privaatsektorfirmas in hierdie verband moet doen. Dit het voorheen stappe gedoen teen organisasies wat versuim het om: 

• Ontplooi multi-faktor-verifikasie (MFA) op eksterne verbindings. 

• Teken en monitor stelsels en tree op wanneer daar onverwagte uitskeiding van data of RDP-verbindings is 

• Reageer op eindpuntwaarskuwings soos dié wat deur nutsmiddels teen wanware vervaardig word 

• Gebruik sterk en unieke wagwoorde op interne rekeninge – veral bevoorregte rekeninge. 

• Maak bekende kwesbaarhede reg.