תקנת הגנת המידע הכללית של האיחוד האירופי (GDPR) נכנסה לתוקף במאי 2018. תקנת פרטיות ואבטחת מידע מחמירה, היא מטילה דרישות מחמירות על ארגונים שאוספים ומעבדים את הנתונים האישיים של אזרחי האיחוד האירופי וגובה קנסות כבדים על הפרות.
הרגולציה פותחה כדי להגן על הנתונים האישיים של תושבי האיחוד האירופי והאזרחים בהתאם להתקדמות הטכנולוגית, כמו פרסום ממוקד ושיווק בדואר אלקטרוני. למרות יציאת בריטניה מהאיחוד האירופי, בריטניה עדיין שומרת על ה-GDPR בחוק הפנימי בתור ה-GDPR של בריטניה.
עם זאת, בעוד עסקים משתדלים להגן על הנתונים שהם מחזיקים, גורמי איומים עדיין אורבים - ומחפשים הזדמנויות לפגוע. פרצות נתונים נמצאות במגמת עלייה, שחקנים זדוניים מפתחים שיטות תקיפה מתוחכמות יותר ויותר, וארגונים נמצאים בבדיקה יותר מאי פעם בנוגע לפרטיות הנתונים והאופן שבו הם מאבטחים מידע צרכני.
עסקים נאבקים לשמור על אבטחת הנתונים
ב-ISMS.online's דוח מצב אבטחת מידע לשנת 2024, שסקר 502 עסקים בבריטניה במגוון מגזרים, רק 1% מהמשיבים ציינו שהחברה שלהם לא קיבלה קנס על הפרת נתונים או הפרה של כללי הגנת מידע ב-12 החודשים הקודמים. 76% מהארגונים אמרו שהם קיבלו קנסות בין 50,000 ל-500,000 ליש"ט, כאשר למעלה משליש (35%) קיבלו קנסות בין 100,000 ל-250,000 ליש"ט.
למרבה הדאגה, הטעויות הללו הן בעיות בקנה מידה עולמי - רק 1% מהמשיבים האוסטרלים ואף אחד מהמשיבים בארה"ב לא ציינו שהעסק שלהם לא קיבל קנסות.
אי אפשר להמעיט בהשפעה של פרצות מידע על עסקים. הגלובלי עלות ממוצעת של פריצת מידע הגיע לשיא של כל הזמנים ב-2024 ב-4.88 מיליון דולר, עלייה של 10% מ-2023 והסך הגבוה ביותר אי פעם. גם אמון הלקוחות ומוניטין המותג מושפעים מאוד: מחקר של ISACA חשף כי 33% מהצרכנים מדווחים על ניתוק קשרים עם חברה שידוע כי חוותה הפרה, ו-36% סבורים שחברות לא מדווחות על הפרות, גם אם הדבר נדרש על פי חוק.
צרכנים מממשים את זכויות פרטיות הנתונים שלהם
ככל שארגונים נאבקים לציית לתקנות ומתמודדים עם הפרות מידע, צרכנים הופכים מודאגים יותר ויותר לגבי פרטיות הנתונים שלהם והארגונים להם הם מוסרים את המידע שלהם. אז איך עושים צרכנים חוקרים את מוניטין פרטיות הנתונים של החברה?
- 67% מהצרכנים קוראים ביקורות מצרכנים אחרים
- 39% מהצרכנים קראו בקפידה את מדיניות החברה
- 35% מהצרכנים בודקים אם החברה חוותה פרצת מידע
- 31% מהצרכנים קוראים דיונים באתרים חברתיים (למשל Reddit)
- 15% מהצרכנים בודקים בעמותות.
יותר משני שלישים (67%) מהצרכנים בבריטניה מחפשים כעת הוכחות חברתיות, כמו ביקורות של צרכנים אחרים באתרים מהימנים, לפני שהם מוסרים את הנתונים שלהם לארגון. בינתיים, 39% אומרים שהם קוראים בקפידה את מדיניות החברה, רחוק מאוד מימי הקונים שגוללו כלאחר יד על פני התנאים וההגבלות כדי ללחוץ על 'קבל' ולהמשיך הלאה. 35% אומרים שהם בודקים אם חברה שהם מתכוונים לרכוש ממנה חוותה פרצת מידע.
צרכנים בבריטניה מודעים לזכויות הפרטיות שלהם ומממשים אותם.
אלו הם הדרכים הנפוצות ביותר שבהן מבוגרים בבריטניה מממשים את זכויות פרטיות הנתונים שלהם, על פי סטטיסטה:
- 70% ביקשו מארגון להפסיק לשלוח להם שיווק באמצעים אלקטרוניים
- 31% ביקשו מארגון להפסיק להשתמש במידע האישי או בנתונים שלהם לחלוטין
- 31% סירבו לספק לארגון את הנתונים הביומטריים שלהם
- 29% ביקשו מארגון למחוק כל מידע אישי או נתונים שנאספו לגביהם.
כיצד ארגונים יכולים לשפר את נוהלי פרטיות הנתונים שלהם
הבטחת העסק שלך עומד בתקנות ה-GDPR היא דרישה משפטית ושלב מרכזי בהבטחת פרטיות הנתונים. עם זאת, כדי לבסס ולבנות אמון ארגוני, חשוב לשקול דרכים אחרות לאבטחת מידע לקוחות מעבר לדרישות הבסיס שנקבעו בחקיקה.
אינפוגרפיקה: גלה חמישה שלבים לשיפור פרטיות הנתונים
הטמעת מערכת לניהול מידע פרטיות עם ISO 27701
ISO 27701 הוא תקן בינלאומי לפרטיות נתונים והרחבה של תקן אבטחת המידע ISO 27001. היא מספקת מסגרת לארגון שלך להקים, ליישם, לתחזק ולשפר ללא הרף מערכת ניהול מידע פרטיות (PIMS) ולהבטיח עמידה מתמשכת בקנה אחד עם חקיקת הגנת מידע כמו GDPR. ISO 27701 זמין כתוספת להסמכת ISO 27001 קיימת.
התקן קובע דרישות לבניית PIMS מקיף ומנחה בקרי נתונים ומעבדי מידע בטיפול במידע אישי מזהה (PII). כחלק מיישום ISO 27701, אתה:
- קבע חקיקה ותקנות פרטיות החלות על העסק שלך
- קבע את ההיקף הארגוני של ה-PIMS שלך
- קבע תהליך הערכת סיכוני אבטחת פרטיות ותהליך טיפול
- נהל את הקשר בין אבטחת המידע שלך להגנת PII
- שקול והטמיע בקרות כדי להגן על ה-PII שאתה שולט או מעבד, לדוגמה:
- נספח A.7.2.1 - זיהוי ותיעוד המטרות הספציפיות שלשמן יעובד ה-PII, למשל, לעבד ולספק הזמנות לקוחות, ניהול תשלומים ושיווק שירותים
- נספח A.7.4.1 - הגבלת איסוף PII למינימום הרלוונטי, פרופורציונלי והכרחי למטרות שזוהו
- נספח A.7.4.1 - שמור PII רק כל עוד הכרחי למטרות שלשמן מעובד ה-PII, למשל, על ידי קביעת תקופות שמירה עבור סוגי רשומות ספציפיות.
רבים מבקרות ה-PIMS שלך יבנו על הבקרות שתקבע במערכת ניהול אבטחת המידע ISO 27001 (ISMS), כגון מדיניות בקרת הגישה שלך, תהליך גיבוי המידע וסיווג המידע. זה מאפשר לארגון שלך לנקוט בגישה אחידה לטיפול בסיכוני אבטחת מידע ופרטיות, להפחית את הסיכון לפרצות מידע ולהפגין את המחויבות שלך לאבטחה ללקוחות וללקוחות פוטנציאליים.
הקמת תהליכי טיפול שקופים בנתונים
שקיפות בתהליכי טיפול בנתונים נדרשת לעמידה ב-GDPR, אך היא גם מגבירה את אמון הצרכנים באמצעי האבטחה של הארגון שלך. טיפול חוקי, הוגן ושקוף בנתונים כולל:
- זיהוי ותיעוד המטרות שלשמן יעובדו PII, למשל, אספקת מוצרים ושירותים, עיבוד ואספקת הזמנות או שיווק וקידום שירותים
- זיהוי ותיעוד הבסיס החוקי הרלוונטי לעיבוד נתונים אישיים, כגון הסכמה מעקרונות PII, ביצוע חוזה או עמידה בהתחייבות משפטית
- הגבלת האיסוף והעיבוד של PII למינימום הדרוש כדי שהמשימה הרלוונטית תתיישר עם פרטיות כברירת מחדל ופרטיות לפי עקרונות עיצוב
- יישום תהליכים להגנת רשומות כולל בקרת גישה, סיווג מידע ותקופות שמירה מוגדרות.
הפרקטיקות שלעיל נדרשות גם לעמידה והסמכה מוצלחת של ISO 27701.
הכשרה ומודעות לעובדים
חיוני להכשיר את העובדים שלך להגן על המידע האישי שאתה מחזיק ולטפל בו באחריות. שקול להקים תוכנית הכשרה ומודעות לעובדים המתייחסת לחשיבות של שמירה על בטיחות ומאובטחת הנתונים. עליך גם לשתף את מדיניות עיבוד הנתונים והטיפול שלך עם עובדים רלוונטיים, לדוגמה, עובדים שניגשים באופן קבוע ל-PII שברשותך כחלק מתפקידם היומיומי.
השתלמות היא זמן אידיאלי להבטיח שעובד חדש מודע לגישה שלך לאבטחת נתונים, והדרכות רענון קבועות עוזרות לזכור את האחריות לפרטיות הנתונים.
שמירה על פרטיות הנתונים היא האחריות של כולם
צרכנים בבריטניה יודעים את הסיכון בשיתוף מידע אישי עם ארגונים אם עסק ייפול קורבן לפרצת מידע או פשוט לא יצליח לטפל במידע שלהם בצורה נכונה. עם זאת, כצרכנים, אנו יכולים גם לנקוט בצעדים פשוטים כדי להגן על המידע האישי שלנו:
- היגיינת סיסמאות טובה, כגון סיסמאות עם 12 תווים או יותר, מחרוזות של מילים לא קשורות, ומספרים ותווים מיוחדים
- רק באמצעות חיבורי WiFi מאובטחים ולא להתחבר ל-WiFi ציבורי עם אמצעי אבטחה מוגבלים.
- להבטיח שאנו מודעים כיצד לזהות ניסיון דיוג אפשרי באמצעות דואר אלקטרוני או טקסט
- דיווח על הודעות טקסט חשודות ל- Action Fraud על ידי העברת ההודעה ל-7726 כדי שניתן יהיה לחקור אותה
- בדיקה אם כתובת דוא"ל נפרצה בפרצות נתונים קודמות באמצעות יש לי Pwned, ושינוי סיסמאות בהתאם.
כשעסקים מקימים אמצעי פרטיות חזקים וחזקים יותר כמו אלו המתוארים ב-ISO 27701 וצרכנים נוקטים בצעדים כדי להגן על עצמם ועל הנתונים שלהם, אנחנו יכולים לנקוט בגישה אחידה להגנה על נתונים, לחזק את אבטחת המידע ולסכל את המאמצים של גורמים זדוניים.
