Status for online privatliv i Storbritannien: gør vi nok?

EU's generelle databeskyttelsesforordning (GDPR) trådte i kraft i maj 2018. En streng databeskyttelses- og sikkerhedsforordning, den stiller strenge krav til organisationer, der indsamler og behandler EU-borgeres personoplysninger og opkræver store bøder for overtrædelser.   

Forordningen blev udviklet for at beskytte EU-borgere og borgeres personlige data i overensstemmelse med teknologiske fremskridt, såsom målrettet annoncering og e-mail-marketing. På trods af, at Storbritannien forlader Den Europæiske Union, bevarer Storbritannien stadig GDPR i national lovgivning som UK GDPR.   

Men mens virksomheder bestræber sig på at beskytte de data, de har, lurer trusselsaktører stadig – og leder efter muligheder for at slå til. Databrud er stigende, ondsindede aktører udvikler stadig mere sofistikerede angrebsmetoder, og organisationer er under mere kontrol end nogensinde før med hensyn til databeskyttelse og hvordan de sikrer forbrugeroplysninger.   

Virksomheder kæmper for at holde data sikre  

I ISMS.online's Status for informationssikkerhedsrapport 2024, som undersøgte 502 britiske virksomheder på tværs af en række sektorer, sagde kun 1 % af de adspurgte, at deres virksomhed ikke havde modtaget en bøde for et databrud eller overtrædelse af databeskyttelsesreglerne i de foregående 12 måneder. 76 % af organisationerne sagde, at de havde modtaget bøder mellem £50,000 og £500,000, mens over en tredjedel (35%) modtog bøder mellem £100,000 og £250,000.   

Det er bekymrende, at disse fejltrin er problemer på globalt plan – kun 1 % af de australske respondenter og ingen amerikanske respondenter sagde, at deres virksomhed ikke havde modtaget bøder.  

Indvirkningen af ​​databrud på virksomheder kan ikke undervurderes. Det globale gennemsnitlige omkostninger ved et databrud nåede et rekordhøjt niveau i 2024 med 4.88 mio. USD, en stigning på 10 % fra 2023 og det højeste antal nogensinde. Kundernes tillid og brands omdømme er også stærkt påvirket: en undersøgelse fra ISACA afslørede, at 33 % af forbrugerne rapporterer at have afbrudt forbindelsen til en virksomhed, der vides at have oplevet et brud, og 36 % mener, at virksomheder underrapporterer brud, selvom det er påkrævet ved lov.  

Forbrugere udøver deres databeskyttelsesrettigheder  

Efterhånden som organisationer kæmper for at overholde regler og kæmper med databrud, bliver forbrugerne i stigende grad bekymrede over deres databeskyttelse og de organisationer, som de giver deres oplysninger til. Så hvordan gør forbrugere undersøger en virksomheds omdømme til databeskyttelse?  

• 67 % af forbrugerne læser anmeldelser fra andre forbrugere  

• 39 % af forbrugerne læser omhyggeligt virksomhedens politikker  

• 35 % af forbrugerne tjekker, om virksomheden har oplevet et databrud  

• 31 % af forbrugerne læser diskussioner på sociale sider (f.eks. Reddit)  

• 15 % af forbrugerne tjekker med foreninger.  

Over to tredjedele (67%) af de britiske forbrugere leder nu efter sociale beviser, ligesom anmeldelser fra andre forbrugere på pålidelige websteder, før de giver deres data til en organisation. I mellemtiden siger 39%, at de omhyggeligt læser virksomhedens politikker, langt fra de dage, hvor købere tilfældigt rullede forbi vilkårene og betingelserne for at klikke på 'accepter' og gå videre. 35 % siger, at de tjekker, om en virksomhed, de har til hensigt at købe hos, har oplevet et databrud.  

Forbrugere i Storbritannien er opmærksomme på og udøver deres databeskyttelsesrettigheder.  

Disse er de mest almindelige måder, britiske voksne udøver deres databeskyttelsesrettigheder påifølge Statista:  

• 70 % bad en organisation om at stoppe med at sende dem markedsføring ad elektronisk vej  

• 31 % bad en organisation om helt at stoppe med at bruge deres personlige oplysninger eller data  

• 31 % nægtede at give en organisation deres biometriske data  

• 29 % bad en organisation om at slette alle personlige oplysninger eller data indsamlet om dem.  

Hvordan organisationer kan forbedre deres praksis for databeskyttelse  

At sikre, at din virksomhed overholder GDPR-reglerne er et lovkrav og et vigtigt skridt i at sikre databeskyttelse. Men for at etablere og opbygge organisatorisk tillid er det vigtigt at overveje andre måder at sikre kundeoplysninger på ud over de grundlæggende krav, der er fastsat i lovgivningen.   

Infografik: Opdag fem trin til bedre databeskyttelse

Implementer et Privacy Information Management System med ISO 27701   

ISO 27701 er en international standard for databeskyttelse og en udvidelse af ISO 27001 informationssikkerhedsstandarden. Det giver en ramme for din organisation til at etablere, implementere, vedligeholde og løbende forbedre et privatlivsinformationsstyringssystem (PIMS) og sikre robust løbende overholdelse af databeskyttelseslovgivning som GDPR. ISO 27701 er tilgængelig som en tilføjelse til en eksisterende ISO 27001 certificering.  

Standarden fastlægger krav til opbygning af et omfattende PIMS og vejleder dataansvarlige og databehandlere i håndteringen af ​​personlig identificerbar information (PII). Som en del af ISO 27701 implementeringen skal du:  

• Bestem privatlivslovgivning og -bestemmelser, der gælder for din virksomhed  

• Bestem det organisatoriske omfang af din PIMS  

• Etabler en sikkerhedsrisikovurdering og behandlingsproces for privatlivets fred   

• Administrer forholdet mellem din informationssikkerhed og PII-beskyttelse  

• Overvej og implementer kontroller for at beskytte den PII, du kontrollerer eller behandler, for eksempel:  

• Bilag A.7.2.1 – Identifikation og dokumentation af de specifikke formål, som PII'en vil blive behandlet til, for eksempel at behandle og levere kundeordrer, administrere betalinger og markedsføre tjenester  

• Bilag A.7.4.1 – Begrænsning af indsamlingen af ​​PII til det minimum, der er relevant, proportionalt og nødvendigt til dine identificerede formål  

• Bilag A.7.4.1 – Opbevar kun PII, så længe det er nødvendigt af hensyn til de formål, PII'en behandles til, for eksempel ved at fastlægge opbevaringsperioder for specifikke registreringstyper.  

Mange af dine PIMS-kontroller vil bygge på de kontroller, du etablerer i dit ISO 27001 informationssikkerhedsstyringssystem (ISMS), såsom din adgangskontrolpolitik, informationssikkerhedskopiering og informationsklassificering. Dette gør det muligt for din organisation at tage en samlet tilgang til at håndtere informationssikkerhed og privatlivsrisici, reducere risikoen for databrud og demonstrere dit engagement i sikkerhed over for dine kunder og kundeemner.  

Etablere gennemsigtige datahåndteringsprocesser  

Gennemsigtighed i datahåndteringsprocesser er påkrævet for at overholde GDPR, men det øger også forbrugernes tillid til din organisations sikkerhedsforanstaltninger. Lovlig, retfærdig og gennemsigtig datahåndtering omfatter:  

• Identificering og dokumentation af de formål, som PII vil blive behandlet til, for eksempel levering af produkter og tjenester, behandling og levering af ordrer eller markedsføring og promovering af tjenester  

• Identifikation og dokumentation af det relevante lovlige grundlag for behandling af personoplysninger, såsom samtykke fra PII-principper, opfyldelse af en kontrakt eller overholdelse af en juridisk forpligtelse  

• Begrænsning af indsamling og behandling af PII til det minimum, der er nødvendigt for, at den relevante opgave kan tilpasses til privatliv som standard og privacy by design-principper  

• Implementering af processer for journalbeskyttelse, herunder adgangskontrol, klassificering af oplysninger og specificerede opbevaringsperioder.   

Ovenstående praksis er også påkrævet for succesfuld overholdelse og certificering af ISO 27701.  

Medarbejderuddannelse og bevidsthed  

Det er afgørende at træne dine medarbejdere i at beskytte de personlige oplysninger, du har, og håndtere dem ansvarligt. Overvej at etablere et medarbejderuddannelses- og bevidsthedsprogram, der adresserer vigtigheden af ​​at holde data sikkert og sikkert. Du bør også dele dine databehandlings- og håndteringspolitikker med relevante medarbejdere, for eksempel medarbejdere, der regelmæssigt får adgang til den PII, du har, som en del af deres daglige rolle.   

Onboarding er et ideelt tidspunkt til at sikre, at en ny medarbejder er opmærksom på din tilgang til datasikkerhed, og regelmæssig genopfriskningstræning hjælper med at holde databeskyttelsesansvaret i tankerne.   

Beskyttelse af databeskyttelse er alles ansvar  

Britiske forbrugere kender risikoen ved at dele personlige oplysninger med organisationer, hvis en virksomhed bliver offer for et databrud eller blot undlader at håndtere deres oplysninger korrekt. Men som forbrugere kan vi også tage enkle trin for at beskytte vores personlige oplysninger:   

• God adgangskodehygiejne, såsom adgangskoder med 12 eller flere tegn, strenge af ikke-relaterede ord og tal og specialtegn  

• Brug kun sikre WiFi-forbindelser og opretter ikke forbindelse til offentlig WiFi med begrænsede sikkerhedsforanstaltninger.  

• Sikre, at vi er opmærksomme på, hvordan man identificerer et potentielt phishingforsøg via e-mail eller tekst  

• Rapportering af mistænkelige tekster til Action Fraud ved at videresende beskeden til 7726, så den kan undersøges   

• Kontrollerer, om en e-mailadresse er blevet kompromitteret ved tidligere databrud vha Er jeg blevet pwned, og ændre adgangskoder i overensstemmelse hermed.  

Med virksomheder, der etablerer stærkere, mere robuste privatlivsforanstaltninger, såsom dem, der er skitseret i ISO 27701, og forbrugere tager skridt til at beskytte sig selv og deres data, kan vi tage en samlet tilgang til databeskyttelse, styrke datasikkerheden og forpurre indsatsen fra ondsindede aktører.