| 摘要: “继续保持冷静”似乎是通用数据保护条例(GDPR)这个欧洲范围内的新立法一个拟合的主题,其目的是使个人对其个人信息有更大的控制能力。但是,这对于重视客户数据的组织来说,这仅仅是个案。 |
不幸的是,长久以来,一些组织对“隐含”权限的工作都会有“假定”同意,这需要花费数月检测和报告,而且在某些情况下,如TalkTalk公司的经验数据丢失,已无法正确分类的个人数据被泄露,管理人员并不愿意发生这种事情,而客户有权期望更好的绝对权利。
根据DQMGRC的新研究,与DataIQ协会,表明在何种程度上已成为消费者都怀疑和精明的有关公司如何使用他们的个人资料。消者费的数据保护控制意识较高,注意网页的cookies占84%,76%的人在电子邮件中的退订链接,74%的人注意到了隐私政策。然而,只有一半的人表示他们发现其个人资料的登记表,这表明有很多人对于组织进入藏有他们的个人信息的媒介,并随后利用这些信息有所忽视。
还有将近一半的人(49%)不愿意分享信息,除非有一个明确的理由,或者除非是他们信赖的品牌。同样,消费者期望公司来加密他们的数据,并使用适当的监测的技术,防止黑客和伴随这些事件随之而来的困扰。这是有原因的,,其中有一半的受访者经历了一些个人数据泄露(如网站黑客,帐户黑客,甚至身份盗窃等)。
研究表明,消费者对于他们的数据期望监管机构进行保护表示一致赞同,但是这也可能证明只是对组织的期望。76.8%的人预计加密,67.5%的人认为网络防火墙应该保持最新版本,一半人认为使用数据要得到限制和监控。虽然消费者完全有权要求企业采取这些步骤,以确保他们的数据保护,并实现这些流程,但18.4%的企业可能承认他们将需要12-24个月内作出必要的改变,因此GDPR所设定的两年期限相当精细。
在某些方面,这是一个耻辱,这是引人注目的,仅通知客户加密数据以及防止数据泄露企业每年的营业额就达到了20万欧元,这引起了相关企业的关注。然而,如果这能让企业醒悟和意识到这不是他们的数据,这是我们的数据,是我们委托他们保管,那么这绝对是实质性的进展。它应该有助于商业案例。
那么组织可以做些什么呢?
首先,组织需要评估他们的个人数据,并对数据进行分类,因此他们要对个人和敏感数据和那些不重要的数据驻留要有明确的位置。通常,绘制一个数据流图可以帮助企业了解数据的模式,对那些令人关注的数据的走向提供了清晰的判断。
一旦组织了解他们所拥有的个人数据,那么他们应该确保完成定期的风险评估,以了解在处理数据时公司所面临的威胁程度。事实上,欧洲全球数据保护法规(GDPR)要求“基于风险的方法”适当地控制发展。这应该在一个单一的行程中,确保数据管理者认识到客户数据丢失、误用、盗窃或其他任何妥协相关的危险。
对于将数据传递到第三方机构,人们通常有一种倾向,认为第三方机构必须提供高标准的数据安全和保护。然而,现在美国的GDPR认为只需对处理器能提供“充分的保证”。基本上,作为数据的所有者,用户必须检查他们是否具备有效的“技术和组织措施,以确保处理的安全性”。
随后,如今企业要对数据保护的违约做好准备,以确保不出差错。如果用户已经对于是什么类型的个人数据(分类)和数据在哪里(数据流)进行管理的话,那么这个过程会比较容易明确。然而,其价值是要对客户沟通,媒体反应和补救活动进行统筹,并确保你考虑到了这一点,从而在实际情况下实行,因此有人认为这是一个数据破坏的消防演习。
当消费者遭受数据丢失或组织违反基准设置的话,92%的受访者表示,他们希望企业告诉他们哪些信息已丢失或被盗。除此之外,研究还显示,消费者希望企业公开道歉,并进行赔偿(这占消费者的57%)。
但是,如果消费者要求知道其个人信息的数据泄露是否已经受到威胁,企业需要他们的数据资产进行分类。令人担忧的是,只有30.7%的消费者要求企业对他们所有的数据资产的类型进行分类,而对于企业来说,只有五分之一公司可以这么做,11.4%的企业说他们不会这么做,9.7%的企业表示如果有法律要求的话才会这样做。
数据保护的一个最佳方式就是确保了使用个人数据的组织将其各个方面都包含在数据治理流程中。这将确保所有的功能以一个共同的标准进行操作,这对于一个数据泄露事件尤为重要。同样重要的是,组织试图了解发生的任何数据的问题点的趋势,并分别记录问题。否则会出现的每个事件将被看作是唯一的,而不是具有共同的根源,然后可以加以修正并解决整个问题。
此外,至关重要的是,组织考虑实施一个引人入胜的员工培训计划,以确保所有员工都知道他们正在处理的宝贵资产,并了解如何安全地管理数据。数据安全是建立消费者的信任度的一个重要组成部分。最后,所有机构应该尊重消费者所拥有的个人资料,并把它当作是他们自己的资产进行保护,否则具有新的“隐私意识”的消费者可能会决定把数据存留在其他地方。
编辑:Harris
评论表单加载中...
