Online-tietosuojan tila Isossa-Britanniassa: teemmekö tarpeeksi?

EU:n yleinen tietosuoja-asetus (GDPR) tuli voimaan toukokuussa 2018. Tiukka tietosuoja- ja turvallisuussääntö asettaa tiukat vaatimukset EU-kansalaisten henkilötietoja kerääville ja käsitteleville organisaatioille ja määrää rikkomuksista kovia sakkoja.   

Asetus kehitettiin suojaamaan EU:n asukkaiden ja kansalaisten henkilötietoja tekniikan kehityksen mukaisesti, kuten kohdistettu mainonta ja sähköpostimarkkinointi. Huolimatta Yhdistyneen kuningaskunnan erosta Euroopan unionista, Yhdistynyt kuningaskunta säilyttää edelleen GDPR:n kansallisessa lainsäädännössä Yhdistyneen kuningaskunnan GDPR:nä.   

Vaikka yritykset kuitenkin pyrkivät suojelemaan hallussaan olevia tietoja, uhkatekijät väijyvät edelleen – ja etsivät mahdollisuuksia iskeä. Tietoturvaloukkaukset ovat lisääntymässä, pahantahtoiset toimijat kehittävät yhä kehittyneempiä hyökkäysmenetelmiä, ja organisaatiot ovat entistä enemmän tarkastelun kohteena tietosuojan ja kuluttajien tiedon turvaamisen suhteen.   

Yrityksillä on vaikeuksia pitää tiedot turvassa  

ISMS.onlinessa Tietoturvan tilaraportti 2024, jossa kyselyyn osallistui 502 Yhdistyneen kuningaskunnan yritystä useilla eri aloilla, vain 1 % vastaajista ilmoitti, ettei heidän yrityksensä ollut saanut sakkoa tietosuojaloukkauksesta tai tietosuojasääntöjen rikkomisesta edellisten 12 kuukauden aikana. 76 % organisaatioista ilmoitti saaneensa 50,000 500,000–35 100,000 punnan sakkoja, ja yli kolmannes (250,000 %) sai sakkoja XNUMX XNUMX–XNUMX XNUMX punnan välillä.   

Huolestuttavaa on, että nämä virheaskeleet ovat ongelmia maailmanlaajuisesti – vain 1 % australialaisista vastaajista eikä yksikään yhdysvaltalaisvastaaja ilmoitti, että heidän yrityksensä ei ollut saanut sakkoja.  

Tietomurtojen vaikutusta yrityksiin ei voi aliarvioida. Globaali keskimääräinen tietomurron hinta saavutti kaikkien aikojen ennätyksen vuonna 2024, 4.88 miljoonaa dollaria, 10 % enemmän kuin vuonna 2023 ja kaikkien aikojen korkein kokonaissumma. Myös asiakkaiden luottamus ja brändin maine vaikuttavat voimakkaasti: ISACA:n tutkimus paljasti, että 33 prosenttia kuluttajista ilmoittaa katkaiseensa siteet yritykseen, jonka tiedetään kokeneen rikkomuksen, ja 36 prosenttia uskoo, että yritykset ilmoittavat rikkomuksista liian vähän, vaikka laki niin vaatisi.  

Kuluttajat käyttävät tietosuojaoikeuksiaan  

Kun organisaatiot kamppailevat noudattaakseen säädöksiä ja taistelevat tietoturvaloukkausten kanssa, kuluttajat ovat yhä enemmän huolissaan tietosuojastaan ​​ja organisaatioista, joille he luovuttavat tietojaan. Eli miten kuluttajat tutkivat yrityksen tietosuojamainetta?  

• 67 % kuluttajista lukee muiden kuluttajien arvosteluja  

• 39 % kuluttajista lukee huolellisesti yrityksen käytännöt  

• 35 % kuluttajista tarkistaa, onko yritys kokenut tietomurron  

• 31 % kuluttajista lukee keskusteluja sosiaalisilla sivustoilla (esim. Reddit)  

• 15 % kuluttajista tarkistaa asian yhdistyksiltä.  

Yli kaksi kolmasosaa (67 %) Yhdistyneen kuningaskunnan kuluttajista etsii nyt sosiaalista näyttöä, kuten muiden kuluttajien arvosteluja luotettavilta verkkosivustoilta, ennen kuin luovuttavat tietonsa organisaatiolle. Samaan aikaan 39 % sanoo lukeneensa huolellisesti yrityksen käytännöt, mikä on kaukana ajasta, jolloin ostajat vierivät rennosti käyttöehtojen ohi klikatakseen "Hyväksy" ja siirtyäkseen eteenpäin. 35 % sanoo tarkistavansa, onko yritys, jolta he aikovat ostaa, kokenut tietomurron.  

Kuluttajat Isossa-Britanniassa ovat tietoisia tietosuojaoikeuksistaan ​​ja käyttävät niitä.  

Nämä ovat yleisimmät tavat brittiläiset käyttävät tietosuojaoikeuksiaanStatistan mukaan:  

• 70 % pyysi organisaatiota lopettamaan sähköisen markkinoinnin lähettämisen heille  

• 31 % pyysi organisaatiota lopettamaan henkilötietojensa tai tietojensa käytön kokonaan  

• 31 % kieltäytyi toimittamasta organisaatiolle biometrisiä tietojaan  

• 29 % pyysi organisaatiota poistamaan kaikki heistä kerätyt henkilökohtaiset tiedot.  

Miten organisaatiot voivat parantaa tietosuojakäytäntöjään  

Yrityksesi GDPR-säädösten noudattamisen varmistaminen on lakisääteinen vaatimus ja tärkeä askel tietosuojan varmistamisessa. Organisaation luottamuksen luomiseksi ja rakentamiseksi on kuitenkin tärkeää pohtia muita tapoja turvata asiakastiedot laissa asetettujen perusvaatimusten lisäksi.   

Infografiikka: Tutustu viiteen vaiheeseen parempaan tietosuojaan

Ota käyttöön tietosuojatietojen hallintajärjestelmä ISO 27701 -standardilla   

ISO 27701 on kansainvälinen tietosuojastandardi ja ISO 27001 -tietoturvastandardin laajennus. Se tarjoaa organisaatiollesi puitteet luoda, ottaa käyttöön, ylläpitää ja jatkuvasti parantaa tietosuojatietojen hallintajärjestelmää (PIMS) ja varmistaa tietosuojalainsäädännön, kuten GDPR:n, jatkuvan vankan noudattamisen. ISO 27701 on saatavana lisäyksenä olemassa olevaan ISO 27001 -sertifikaattiin.  

Standardi asettaa vaatimukset kattavan PIMS:n rakentamiselle ja opastaa rekisterinpitäjiä ja käsittelijöitä henkilökohtaisten tunnistetietojen (PII) käsittelyssä. Osana ISO 27701 -toteutusta:  

• Määritä yritykseesi sovellettavat tietosuojalainsäädäntö ja -määräykset  

• Määritä PIMS:si organisaation laajuus  

• Perusta tietosuojan turvallisuusriskien arviointi- ja hoitoprosessi   

• Hallitse tietoturvasi ja henkilökohtaisten tunnistetietojen suojauksen välistä suhdetta  

• Harkitse ja ota käyttöön säätimiä hallitsemiesi tai käsittelemiesi henkilökohtaisten tunnistetietojen suojaamiseksi, esimerkiksi:  

• Liite A.7.2.1 – Niiden erityisten tarkoitusten tunnistaminen ja dokumentointi, joita varten henkilökohtaisia ​​tunnistetietoja käsitellään, esimerkiksi asiakkaiden tilausten käsittely ja toimittaminen, maksujen hallinta ja markkinapalvelut  

• Liite A.7.4.1 – Henkilötietojen keräämisen rajoittaminen vähimmäismäärään, joka on olennaista, oikeasuhteista ja tarpeellista yksilöityihin tarkoituksiin  

• Liite A.7.4.1 – Säilytä henkilökohtaisia ​​tunnistetietoja vain niin kauan kuin se on tarpeen henkilötietojen käsittelytarkoituksiin, esimerkiksi asettamalla säilytysajat tietyille tietuetyypeille.  

Monet PIMS-ohjauksistasi perustuvat ISO 27001 -tietoturvajärjestelmässäsi (ISMS) määrittämiisi ohjaimiin, kuten kulunvalvontakäytäntöön, tietojen varmuuskopiointiprosessiin ja tietojen luokitukseen. Näin organisaatiosi voi omaksua yhtenäisen lähestymistavan tietoturva- ja tietosuojariskien hallintaan, tietomurtojen riskin vähentämiseen ja sitoutumisesi turvallisuuteen osoittamalla asiakkaillesi ja mahdollisille asiakkaillesi.  

Luo läpinäkyvät tiedonkäsittelyprosessit  

Tietojenkäsittelyprosessien läpinäkyvyys edellyttää GDPR:n noudattamista, mutta se lisää myös kuluttajien luottamusta organisaatiosi turvatoimiin. Laillinen, oikeudenmukainen ja läpinäkyvä tietojenkäsittely sisältää:  

• Tunnistetaan ja dokumentoidaan tarkoitukset, joita varten henkilökohtaisia ​​tunnistetietoja käsitellään, esimerkiksi tuotteiden ja palvelujen toimittaminen, tilausten käsittely ja toimittaminen tai palvelujen markkinointi ja mainostaminen  

• Henkilötietojen käsittelyn asiaankuuluvan laillisen perusteen tunnistaminen ja dokumentointi, kuten suostumus PII-periaatteisiin, sopimuksen täyttäminen tai lakisääteisen velvoitteen noudattaminen  

• Henkilökohtaisten tunnistetietojen keräämisen ja käsittelyn rajoittaminen minimiin, joka on tarpeen, jotta kyseinen tehtävä on oletusarvoisen yksityisyyden ja sisäänrakennetun yksityisyyden periaatteiden mukainen  

• Tietueiden suojausprosessien toteuttaminen, mukaan lukien kulunvalvonta, tietojen luokittelu ja määrätyt säilytysajat.   

Yllä olevia käytäntöjä tarvitaan myös onnistuneen ISO 27701 -yhteensopivuuden ja sertifioinnin kannalta.  

Työntekijöiden koulutus ja tietoisuus  

On erittäin tärkeää kouluttaa työntekijäsi suojaamaan hallussasi olevia henkilökohtaisia ​​tietoja ja käsittelemään niitä vastuullisesti. Harkitse työntekijöiden koulutus- ja tiedotusohjelman perustamista, jossa käsitellään tietojen turvallisuuden ja turvallisuuden tärkeyttä. Sinun tulee myös jakaa tietojenkäsittely- ja käsittelykäytäntösi asiaankuuluvien työntekijöiden kanssa, esimerkiksi työntekijöiden kanssa, jotka käyttävät säännöllisesti hallussasi olevia henkilökohtaisia ​​tunnistetietoja osana päivittäistä tehtäväänsä.   

Perehtyminen on ihanteellinen aika varmistaa, että uusi työntekijä on tietoinen lähestymistavastasi tietoturvaan, ja säännöllinen kertauskoulutus auttaa pitämään tietosuojavastuut mielessä.   

Tietosuojan turvaaminen on jokaisen vastuulla  

Yhdistyneen kuningaskunnan kuluttajat tietävät riskin jakaa henkilötietoja organisaatioiden kanssa, jos yritys joutuu tietoturvaloukkauksen uhriksi tai yksinkertaisesti epäonnistuu käsittelemään tietojaan oikein. Kuluttajina voimme kuitenkin ryhtyä yksinkertaisiin toimiin henkilötietojemme suojaamiseksi:   

• Hyvä salasanahygienia, kuten 12 tai useamman merkin salasanat, toisiinsa liittymättömien sanojen merkkijonot sekä numerot ja erikoismerkit  

• Käytä vain suojattuja WiFi-yhteyksiä, ei muodosta yhteyttä julkiseen WiFi-verkkoon rajoitetuin turvatoimin.  

• Varmistamme, että olemme tietoisia siitä, kuinka tunnistaa mahdollinen tietojenkalasteluyritys sähköpostitse tai tekstiviestillä  

• Epäilyttävien tekstien ilmoittaminen Action Fraudille lähettämällä viesti edelleen numeroon 7726, jotta se voidaan tutkia   

• Tarkistaa, onko sähköpostiosoite vaarantunut aiemmissa tietoturvaloukkauksissa Olen pukeutunutja vaihtaa salasanat vastaavasti.  

Kun yritykset ottavat käyttöön vahvempia ja tehokkaampia tietosuojatoimenpiteitä, kuten ISO 27701:ssä hahmoteltuja, ja kuluttajat ryhtyvät toimiin suojellakseen itseään ja tietojaan, voimme omaksua yhtenäisen lähestymistavan tietosuojaan, vahvistaa tietoturvaa ja estää haitallisten toimijoiden ponnistelut.