De stand van zaken op het gebied van online privacy in het Verenigd Koninkrijk: doen we genoeg?

De Algemene Verordening Gegevensbescherming van de EU (GDPR) is in mei 2018 van kracht geworden. Deze strenge regelgeving voor gegevensprivacy en -beveiliging stelt strenge eisen aan organisaties die persoonsgegevens van EU-burgers verzamelen en verwerken en legt hoge boetes op bij overtredingen.   

De verordening is ontwikkeld om de persoonlijke gegevens van EU-ingezetenen en burgers te beschermen in lijn met technologische ontwikkelingen, zoals gerichte reclame en e-mailmarketing. Ondanks dat het Verenigd Koninkrijk de Europese Unie heeft verlaten, behoudt het VK nog steeds de AVG in de nationale wetgeving als de Britse AVG.   

Terwijl bedrijven echter proberen de data die ze bezitten te beschermen, liggen er nog steeds dreigingsactoren op de loer – en ze zoeken naar mogelijkheden om toe te slaan. Datalekken nemen toe, kwaadwillenden ontwikkelen steeds geavanceerdere aanvalsmethoden en organisaties staan ​​meer dan ooit onder toezicht wat betreft dataprivacy en hoe ze consumenteninformatie beveiligen.   

Bedrijven hebben moeite om hun gegevens veilig te houden  

In ISMS.online's Rapport Staat van Informatiebeveiliging 2024, waaraan 502 Britse bedrijven uit verschillende sectoren deelnamen, gaf slechts 1% van de respondenten aan dat hun bedrijf in de afgelopen 12 maanden geen boete had gekregen voor een datalek of schending van de regels voor gegevensbescherming. 76% van de organisaties gaf aan boetes te hebben gekregen tussen de £ 50,000 en £ 500,000, terwijl meer dan een derde (35%) boetes kreeg tussen de £ 100,000 en £ 250,000.   

Zorgelijk is dat deze misstappen een wereldwijd probleem vormen: slechts 1% van de Australische respondenten en geen enkele Amerikaanse respondent gaf aan dat hun bedrijf geen boetes had gekregen.  

De impact van datalekken op bedrijven kan niet worden onderschat. De wereldwijde gemiddelde kosten van een datalek bereikte een recordhoogte in 2024 van $4.88 miljoen, een stijging van 10% ten opzichte van 2023 en het hoogste totaal ooit. Het vertrouwen van klanten en de reputatie van het merk worden ook zwaar beïnvloed: een studie van ISACA Uit onderzoek is gebleken dat 33% van de consumenten aangeeft de banden met een bedrijf te hebben verbroken waarvan bekend is dat het slachtoffer is geworden van een inbreuk. Daarnaast is 36% van mening dat bedrijven inbreuken te weinig melden, ook al is dat wettelijk verplicht.  

Consumenten maken gebruik van hun rechten op het gebied van gegevensbescherming  

Terwijl organisaties worstelen met het naleven van regelgeving en omgaan met datalekken, maken consumenten zich steeds meer zorgen over hun dataprivacy en de organisaties waaraan ze hun informatie verstrekken. Dus, hoe consumenten onderzoeken de reputatie van een bedrijf op het gebied van gegevensbescherming?  

• 67% van de consumenten leest beoordelingen van andere consumenten  

• 39% van de consumenten leest het bedrijfsbeleid zorgvuldig door  

• 35% van de consumenten controleert of er sprake is van een datalek bij het bedrijf  

• 31% van de consumenten leest discussies op sociale sites (bijv. Reddit)  

• 15% van de consumenten informeert bij verenigingen.  

Meer dan twee derde (67%) van de Britse consumenten zoekt nu naar sociaal bewijs, zoals beoordelingen van andere consumenten op vertrouwde websites, voordat ze hun gegevens aan een organisatie verstrekken. Ondertussen zegt 39% dat ze het bedrijfsbeleid zorgvuldig lezen, een heel eind verwijderd van de tijd dat kopers achteloos langs de algemene voorwaarden scrollden om op 'accepteren' te klikken en verder te gaan. 35% zegt dat ze controleren of een bedrijf waar ze van plan zijn iets te kopen, te maken heeft gehad met een datalek.  

Consumenten in het Verenigd Koninkrijk zijn op de hoogte van hun rechten op het gebied van gegevensbescherming en maken hier gebruik van.  

Dit zijn de meest voorkomende manieren waarop volwassenen in het Verenigd Koninkrijk hun rechten op het gebied van gegevensbescherming uitoefenenVolgens Statista:  

• 70% vroeg een organisatie om te stoppen met het sturen van marketing via elektronische middelen  

• 31% vroeg een organisatie om helemaal te stoppen met het gebruiken van hun persoonlijke informatie of gegevens  

• 31% weigerde om hun biometrische gegevens aan een organisatie te verstrekken  

• 29% vroeg een organisatie om alle persoonlijke informatie of verzamelde gegevens over hen te verwijderen.  

Hoe organisaties hun dataprivacypraktijken kunnen verbeteren  

Zorgen dat uw bedrijf voldoet aan de AVG-regelgeving is een wettelijke vereiste en een belangrijke stap in het waarborgen van gegevensprivacy. Om echter organisatorisch vertrouwen te vestigen en op te bouwen, is het belangrijk om andere manieren te overwegen om klantgegevens te beveiligen dan de basisvereisten die in de wetgeving zijn vastgelegd.   

Infographic: Ontdek vijf stappen naar betere gegevensprivacy

Implementeer een Privacy Information Management System met ISO 27701   

ISO 27701 is een internationale standaard voor dataprivacy en een uitbreiding van de ISO 27001-informatiebeveiligingsstandaard. Het biedt een raamwerk voor uw organisatie om een ​​privacy-informatiebeheersysteem (PIMS) op te zetten, te implementeren, te onderhouden en continu te verbeteren en robuuste, voortdurende naleving van wetgeving inzake gegevensbescherming zoals AVG te garanderen. ISO 27701 is beschikbaar als een add-on op een bestaande ISO 27001-certificering.  

De norm stelt eisen vast voor het bouwen van een uitgebreid PIMS en begeleidt gegevensbeheerders en -verwerkers bij het verwerken van persoonlijk identificeerbare informatie (PII). Als onderdeel van de implementatie van ISO 27701:  

• Bepaal de privacywet- en regelgeving die op uw bedrijf van toepassing is  

• Bepaal de organisatorische reikwijdte van uw PIMS  

• Stel een proces voor de beoordeling en behandeling van privacy- en beveiligingsrisico's op   

• Beheer de relatie tussen uw informatiebeveiliging en PII-bescherming  

• Overweeg en implementeer controles om de PII die u beheert of verwerkt te beschermen, bijvoorbeeld:  

• Bijlage A.7.2.1 – Identificeren en documenteren van de specifieke doeleinden waarvoor de PII zal worden verwerkt, bijvoorbeeld om klantorders te verwerken en te leveren, betalingen te beheren en diensten op de markt te brengen  

• Bijlage A.7.4.1 – Beperk de verzameling van PII tot het minimum dat relevant, proportioneel en noodzakelijk is voor uw geïdentificeerde doeleinden  

• Bijlage A.7.4.1 – Bewaar PII alleen zolang als nodig is voor de doeleinden waarvoor de PII wordt verwerkt, bijvoorbeeld door bewaartermijnen vast te stellen voor specifieke soorten records.  

Veel van uw PIMS-controles bouwen voort op de controles die u instelt in uw ISO 27001-informatiebeveiligingsbeheersysteem (ISMS), zoals uw toegangscontrolebeleid, informatieback-upproces en informatieclassificatie. Dit stelt uw organisatie in staat om een ​​uniforme aanpak te hanteren voor het aanpakken van informatiebeveiliging en privacyrisico's, het risico op datalekken te verminderen en uw toewijding aan beveiliging te tonen aan uw klanten en prospects.  

Transparante gegevensverwerkingsprocessen opzetten  

Transparantie in dataverwerkingsprocessen is vereist voor GDPR-naleving, maar het vergroot ook het vertrouwen van de consument in de beveiligingsmaatregelen van uw organisatie. Rechtmatige, eerlijke en transparante dataverwerking omvat:  

• Het identificeren en documenteren van de doeleinden waarvoor PII zal worden verwerkt, bijvoorbeeld het leveren van producten en diensten, het verwerken en leveren van bestellingen of het op de markt brengen en promoten van diensten  

• Het identificeren en documenteren van de relevante wettelijke basis voor de verwerking van persoonsgegevens, zoals toestemming op basis van PII-beginselen, uitvoering van een contract of naleving van een wettelijke verplichting  

• Beperk de verzameling en verwerking van PII tot het minimum dat nodig is voor de relevante taak, om te voldoen aan de principes van privacy by default en privacy by design.  

• Implementeren van processen voor gegevensbescherming, waaronder toegangscontrole, classificatie van informatie en gespecificeerde bewaartermijnen.   

De bovenstaande werkwijzen zijn ook vereist voor succesvolle ISO 27701-naleving en -certificering.  

Training en bewustwording van medewerkers  

Het is van vitaal belang om uw werknemers te trainen om de persoonlijke informatie die u bezit te beschermen en er verantwoord mee om te gaan. Overweeg om een ​​trainingsprogramma voor werknemers op te zetten en bewustwordingsprogramma dat het belang van het veilig houden van gegevens benadrukt. U moet ook uw beleid voor gegevensverwerking en -verwerking delen met relevante werknemers, bijvoorbeeld werknemers die regelmatig toegang hebben tot de PII die u bezit als onderdeel van hun dagelijkse rol.   

Onboarding is een ideaal moment om ervoor te zorgen dat een nieuwe werknemer op de hoogte is van uw aanpak van gegevensbeveiliging. Regelmatige opfriscursussen helpen om de verantwoordelijkheden op het gebied van gegevensprivacy in gedachten te houden.   

Het waarborgen van de privacy van gegevens is ieders verantwoordelijkheid  

Britse consumenten kennen het risico van het delen van persoonlijke informatie met organisaties als een bedrijf slachtoffer wordt van een datalek of gewoonweg niet correct omgaat met hun informatie. Als consumenten kunnen we echter ook eenvoudige stappen ondernemen om onze persoonlijke informatie te beschermen:   

• Goede wachtwoordhygiëne, zoals wachtwoorden met 12 of meer tekens, reeksen van niet-gerelateerde woorden en cijfers en speciale tekens  

• Maak alleen verbinding met beveiligde wifi-verbindingen en niet met openbare wifi-netwerken met beperkte veiligheidsmaatregelen.  

• Zorgen dat we weten hoe we een mogelijke phishingpoging via e-mail of sms kunnen herkennen  

• Meld verdachte teksten aan Action Fraud door het bericht door te sturen naar 7726, zodat het onderzocht kan worden.   

• Controleren of een e-mailadres is gecompromitteerd bij eerdere datalekken met behulp van Heb ik Pwneden wachtwoorden dienovereenkomstig wijzigen.  

Wanneer bedrijven sterkere, robuustere privacymaatregelen treffen, zoals beschreven in ISO 27701, en consumenten stappen ondernemen om zichzelf en hun gegevens te beschermen, kunnen we een uniforme aanpak hanteren voor gegevensbescherming, de gegevensbeveiliging versterken en de inspanningen van kwaadwillende partijen dwarsbomen.