Hệ thống dữ liệu báo cáo vi phạm khiến ICO nhận được 500 cuộc gọi mỗi tuần
Diễn đàn - Ngày đăng : 16:47, 17/09/2018
Văn phòng Ủy viên Thông tin (ICO) tiết lộ họ đã nhận được 500 báo cáo qua điện thoại mỗi tuần kể từ khi GDPR (Bộ luật bảo vệ dữ liệu chung - General Data Protection Regulation - Bộ luật mới này sẽ bảo vệ dữ liệu và quyền riêng tư đối với các công dân EU) có hiệu lực, một phần ba trong số đó được coi là không cần thiết hoặc không đạt ngưỡng cho sự cố dữ liệu.
Phó ủy viên ICO James Dipple-Johnstone tiết lộ rằng quan niệm sai lầm vẫn còn phổ biến trong các tổ chức sau khi GDPR có hiệu lực 3 tháng, dẫn đến một số lượng lớn các cuộc gọi không cần thiết đến cơ quan quản lý.
Phát biểu tại Hội nghị an ninh mạng hàng năm của Liên minh Công nghiệp Anh (CBI), ông nói thêm rằng một sai lầm mà nhiều doanh nghiệp thực hiện là tin rằng thời gian báo cáo bắt buộc là 72 giờ làm việc, trong khi thực tế, đây là 72 giờ từ thời điểm phát hiện.
Nhiều báo cáo ICO nhận được cũng không đầy đủ và nhiều người có xu hướng “báo cáo quá mức” do mong muốn được minh bạch, bởi vì các tổ chức muốn quản lý rủi ro của họ hoặc nghĩ rằng họ cần báo cáo mọi thứ.
Bản cập nhật đến sau hai tuần sau khi công ty luật EMW thu thập số liệu thông qua một yêu cầu Tự do Thông tin (FOI) cho thấy số lượng khiếu nại từ ngày 25 tháng 5 đến ngày 3 tháng 7 năm nay đã tăng lên 6.281 so với chỉ 2.417 trong cùng kỳ năm ngoái.
Đối với mọi cuộc điều tra kết thúc bằng tiền phạt, ICO có hàng chục lần kiểm tra, các buổi tư vấn và các buổi hướng dẫn. Đó là quy chuẩn thực sự của công việc ICO làm. Mặc dù tiền phạt 20 triệu euro (hay 4% doanh thu hàng năm toàn cầu) nằm trên bàn theo GDPR, ICO đã nhiều lần nói trong quá khứ nó sẽ không đơn giản tăng quy mô tối đa 500.000 bảng theo Đạo luật bảo vệ dữ liệu năm 1998.
Dipple-Johnstone nói thêm rằng các doanh nghiệp có trách nhiệm bảo vệ dữ liệu của họ nghiêm túc "không có gì phải lo sợ từ việc kiểm tra hoặc điều tra ICO".
Trường hợp phạt tiền phạt có thể được phát hành là trường hợp tổ chức thể hiện nhận thức ở cấp độ kém, có hồ sơ không đầy đủ hoặc mất tích, không có nhân viên được đào tạo và liên tục trì hoãn đầu tư bảo mật giữa các yếu tố khác. Trong thực tế, trong ba tháng kể từ khi GDPR được áp dụng, ICO cho biết họ đã tìm thấy bằng chứng trong một số báo cáo về việc thiếu chuẩn bị, hoặc một sự miễn cưỡng trên một phần lãnh đạo cấp cao tiết lộ thông tin nhạy cảm để đổ lỗi cho các thông báo vi phạm không hợp tác.
Khoảng một nửa số cuộc gọi mà ICO nhận được mỗi tuần liên quan đến yếu tố mạng, trong khi một phần ba có liên quan đến các cuộc tấn công lừa đảo.