EU:s allmänna dataskyddsförordning (GDPR) trädde i kraft i maj 2018. En strikt datasekretess- och säkerhetsförordning, den ställer strikta krav på organisationer som samlar in och behandlar personuppgifter från EU-medborgare och tar ut höga böter för överträdelser.   

Förordningen har utvecklats för att skydda EU-invånare och medborgares personuppgifter i linje med tekniska framsteg, som riktad reklam och e-postmarknadsföring. Trots att Storbritannien lämnar Europeiska unionen behåller Storbritannien fortfarande GDPR i nationell lagstiftning som Storbritanniens GDPR.   

Men även om företag strävar efter att skydda data de har, lurar hotaktörer fortfarande – och letar efter möjligheter att slå till. Dataintrång ökar, illvilliga aktörer utvecklar allt mer sofistikerade attackmetoder och organisationer är under mer granskning än någonsin när det gäller datasekretess och hur de säkrar konsumentinformation.   

Företag kämpar för att hålla data säkra  

I ISMS.online's Status för informationssäkerhetsrapport 2024, som undersökte 502 brittiska företag inom en rad olika sektorer, uppgav endast 1 % av de tillfrågade att deras företag inte hade fått böter för ett dataintrång eller brott mot dataskyddsregler under de senaste 12 månaderna. 76 % av organisationerna sa att de hade fått böter på mellan 50,000 500,000 och 35 100,000 pund, och över en tredjedel (250,000 %) fick böter på mellan XNUMX XNUMX och XNUMX XNUMX pund.   

Oroväckande nog är dessa felsteg problem på global skala – bara 1 % av de australiensiska svarandena och inga amerikanska respondenter uppgav att deras företag inte hade fått böter.  

Effekten av dataintrång på företag kan inte underskattas. Det globala genomsnittlig kostnad för ett dataintrång nådde ett rekord någonsin 2024 på 4.88 miljoner dollar, en ökning med 10 % från 2023 och den högsta summan någonsin. Kundernas förtroende och varumärkesrykte påverkas också kraftigt: en studie av ISACA avslöjade att 33 % av konsumenterna rapporterar att de har brutit banden med ett företag som är känt för att ha upplevt ett intrång, och 36 % anser att företag underrapporterar överträdelser, även om det krävs enligt lag.  

Konsumenter utövar sina datasekretessrättigheter  

När organisationer kämpar för att följa regler och brottas med dataintrång, blir konsumenter allt mer oroade över sin datasekretess och de organisationer som de ger sin information till. Så, hur gör konsumenter undersöker ett företags rykte om datasekretess 

  • 67 % av konsumenterna läser recensioner från andra konsumenter  
  • 39 % av konsumenterna läser noggrant företagets policyer  
  • 35 % av konsumenterna kontrollerar om företaget har upplevt ett dataintrång  
  • 31 % av konsumenterna läser diskussioner på sociala webbplatser (t.ex. Reddit)  
  • 15 % av konsumenterna kollar med föreningar.  

Över två tredjedelar (67 %) av konsumenterna i Storbritannien söker nu efter sociala bevis, som recensioner från andra konsumenter på betrodda webbplatser, innan de lämnar sina uppgifter till en organisation. Samtidigt säger 39% att de noggrant läser företagets policyer, långt ifrån tiden då köpare slentrianmässigt rullade förbi villkoren för att klicka på "acceptera" och gå vidare. 35 % säger att de kontrollerar om ett företag de tänker köpa från har upplevt ett dataintrång.  

Konsumenter i Storbritannien är medvetna om och utövar sina rättigheter för datasekretess.  

Dessa är de vanligaste sätten för vuxna i Storbritannien att utöva sina rättigheter för datasekretess, enligt Statista:  

  • 70 % bad en organisation att sluta skicka marknadsföring till dem på elektronisk väg  
  • 31 % bad en organisation att helt sluta använda sin personliga information eller data  
  • 31 % vägrade att förse en organisation med sina biometriska uppgifter  
  • 29 % bad en organisation att radera all personlig information eller data som samlats in om dem.  

Hur organisationer kan förbättra sina rutiner för datasekretess  

Att säkerställa att ditt företag följer GDPR-reglerna är ett lagkrav och ett viktigt steg för att säkerställa datasekretess. Men för att etablera och bygga upp organisatoriskt förtroende är det viktigt att överväga andra sätt att säkra kundinformation utöver de grundläggande kraven som anges i lagstiftningen.   

Infographic: Upptäck fem steg för bättre datasekretess

Implementera ett system för hantering av integritetsinformation med ISO 27701    

ISO 27701 är en internationell standard för dataskydd och en utvidgning av informationssäkerhetsstandarden ISO 27001. Den ger ett ramverk för din organisation att etablera, implementera, underhålla och kontinuerligt förbättra ett informationshanteringssystem för integritet (PIMS) och säkerställa robust kontinuerlig efterlevnad av dataskyddslagstiftning som GDPR. ISO 27701 finns tillgängligt som ett tillägg till en befintlig ISO 27001-certifiering.  

Standarden fastställer krav för att bygga ett heltäckande PIMS och vägleder personuppgiftsansvariga och processorer i hanteringen av personlig identifierbar information (PII). Som en del av ISO 27701-implementeringen ska du:  

  • Bestäm sekretesslagstiftning och -förordningar som gäller för ditt företag  
  • Bestäm den organisatoriska omfattningen av din PIMS  
  • Upprätta en process för bedömning och behandling av integritetssäkerhetsrisk   
  • Hantera förhållandet mellan din informationssäkerhet och PII-skydd  
  • Överväg och implementera kontroller för att skydda den PII du kontrollerar eller bearbetar, till exempel:  
  • Bilaga A.7.2.1 – Identifiera och dokumentera de specifika syften för vilka PII kommer att behandlas, till exempel för att behandla och leverera kundorder, hantera betalningar och marknadsföra tjänster  
  • Bilaga A.7.4.1 – Begränsa insamlingen av PII till det minimum som är relevant, proportionellt och nödvändigt för dina identifierade ändamål  
  • Bilaga A.7.4.1 – Behåll endast PII så länge som är nödvändigt för de ändamål för vilka PII behandlas, till exempel genom att fastställa lagringsperioder för specifika posttyper.  

Många av dina PIMS-kontroller kommer att bygga på de kontroller du upprättar i ditt ISO 27001 informationssäkerhetshanteringssystem (ISMS), såsom din åtkomstkontrollpolicy, process för säkerhetskopiering av information och informationsklassificering. Detta gör det möjligt för din organisation att ta ett enhetligt tillvägagångssätt för att hantera informationssäkerhet och integritetsrisker, minska risken för dataintrång och visa ditt engagemang för säkerhet för dina kunder och potentiella kunder.  

Upprätta transparenta datahanteringsprocesser  

Transparens i datahanteringsprocesser krävs för efterlevnad av GDPR, men det ökar också konsumenternas förtroende för din organisations säkerhetsåtgärder. Laglig, rättvis och transparent datahantering inkluderar:  

  • Identifiera och dokumentera syftena för vilka PII kommer att behandlas, till exempel att leverera produkter och tjänster, bearbeta och leverera beställningar eller marknadsföra och marknadsföra tjänster  
  • Identifiera och dokumentera relevant laglig grund för behandling av personuppgifter, såsom samtycke från PII-principer, fullgörande av ett kontrakt eller efterlevnad av en rättslig förpliktelse  
  • Begränsa insamlingen och bearbetningen av PII till det minimum som är nödvändigt för att den relevanta uppgiften ska överensstämma med integritet som standard och privacy by design-principer  
  • Implementera processer för registerskydd inklusive åtkomstkontroll, klassificering av information och specificerade lagringsperioder.   

Ovanstående metoder krävs också för framgångsrik ISO 27701-efterlevnad och certifiering.  

Personalutbildning och medvetenhet  

Det är viktigt att utbilda dina anställda att skydda den personliga information du har och hantera den på ett ansvarsfullt sätt. Överväg att inrätta ett utbildnings- och medvetenhetsprogram för anställda som tar upp vikten av att hålla data säker och säker. Du bör också dela dina policyer för databearbetning och hantering med relevanta anställda, till exempel anställda som regelbundet har tillgång till PII du har som en del av sin dagliga roll.   

Onboarding är en idealisk tidpunkt för att säkerställa att en ny anställd är medveten om din inställning till datasäkerhet, och regelbunden fortbildning hjälper till att hålla datasekretessansvaret i åtanke.   

Att skydda datasekretessen är allas ansvar  

Brittiska konsumenter vet risken med att dela personlig information med organisationer om ett företag skulle falla offer för ett dataintrång eller helt enkelt misslyckas med att hantera sin information korrekt. Men som konsumenter kan vi också vidta enkla åtgärder för att skydda vår personliga information:   

  • God lösenordshygien, till exempel lösenord med 12 eller fler tecken, strängar av orelaterade ord och siffror och specialtecken  
  • Använd endast säkra WiFi-anslutningar och inte ansluta till allmänt WiFi med begränsade säkerhetsåtgärder.  
  • Se till att vi är medvetna om hur man identifierar ett potentiellt nätfiskeförsök via e-post eller sms  
  • Rapportera misstänkta sms till Action Fraud genom att vidarebefordra meddelandet till 7726 så att det kan undersökas   
  • Kontrollera om en e-postadress har äventyrats vid tidigare dataintrång med hjälp av Har jag blivit pwned, och ändra lösenord i enlighet därmed.  

Med företag som etablerar starkare, mer robusta integritetsåtgärder som de som beskrivs i ISO 27701 och konsumenter som vidtar åtgärder för att skydda sig själva och sina data, kan vi ta ett enhetligt tillvägagångssätt för dataskydd, stärka datasäkerheten och omintetgöra ansträngningar från illvilliga aktörer.