GDPR i åtgärd: Hur EU böter företag som inte hanterar lösenord på lämpligt sätt

Europeiska unionens allmänna dataskyddsförordning (GDPR) trädde i kraft för nästan två år sedan, och det måste sägas att det orsakar lika många debatter nu som det gjorde redan 2018. Det finns människor som fortsätter att avfärda det som en värdelös reglering som har resulterat i ingenting annat än en våg av popups som EU-medborgare behöver stänga när de besöker en ny webbplats. Andra anser att det är rätt svar på det ökande antalet hot på nätet som utsätter vår integritet. För att verkligen bedöma GDPR: s framgång måste du dock kunna räkna ut vad den är exakt. Låt oss börja med de mer synliga effekterna av GDPR.

GDPR och användarna

Många av er kanske vet att samtycke popups inte började med GDPR. EU har varit ganska fast i sin ståndpunkt att webbplatser måste få användarens tillstånd innan de lagrar cookies på sina datorer en god stund. Många webbplatser visade information om användningen av cookies långt före 2018, och folk klagade också på dem då.

Cookies jobb är inte bara för att spåra dig eller invadera din integritet. De är ofta viktiga för att webbplatser och onlinetjänster ska fungera korrekt. Det som de nya popup-popup-tillbehören från GDPR gjorde var att ge dig möjligheten att använda webbplatsen till dess fulla potential och samtidigt se till att annonsörerna inte är för aggressiva i sina spårningsaktiviteter. Har det dock fungerat?

Det faktum är att många antingen avfärdar popup-fönster eller klickar på "Jag håller med" -knappen utan att ens läsa igenom varningen, vilket visar att åtgärden till viss del inte är särskilt effektiv. Samtidigt finns det dock användare som inser att deras integritet är viktigare än en försening på några sekunder, så popup-fönstren är inte helt värdelösa.

För tjänsteleverantörer var detta en av de enklaste åtgärderna att genomföra, och du skulle vara hårt pressad för att hitta en webbplats som inte försöker berätta vilken typ av företag som kan komma att titta på dina data, så ur det perspektivet fungerar förordningen. Problemet här ligger mer hos användarna och deras motvilja mot att utbilda sig.

GDPR och leverantörer av onlinetjänster

Vad vissa kanske inte förstår är att popup-kakorna var långt ifrån den enda förändring som GDPR medförde. För att följa bestämmelserna var många företag tvungna att ompröva sin riskbedömning, sina dataskyddsmekanismer, sina planer för händelsepåståenden och deras avslöjande. Några av dem visste att de inte kunde göra det och de gick ut och valde att sluta erbjuda sina tjänster i EU. Andra misslyckades också med att göra det, men de beslutade att fortsätta arbeta och hoppas att de inte kommer att fångas, eller ännu värre, riktade av cyberbrottslingar.

Detta fungerade uppenbarligen inte för alla. Enligt en GDPR-finspårare från CoreView har EU: s myndigheter ålagts betydande böter för mer än 28 företag och har tagit upp över 428 miljoner euro (cirka 465 miljoner dollar).

Majoriteten av de stora överträdelserna består av antingen misslyckande med att skydda användarnas information, exponering av privata uppgifter genom andra kanaler eller överdriven insamling av personuppgifter. Det stora antalet kränkningar kan tolkas på två helt olika sätt. Å ena sidan kanske du accepterar dem som ett tecken på att reglerna och förordningarna fungerar och att företag som inte följer dem betalar priset. Å andra sidan visar en snabb titt på orsakerna till böterna att ganska många affärsorganisationer har gjort några ganska grundläggande säkerhetsfel, och det är en säker satsning att det finns många andra som är skyldiga till samma sak men är ännu inte upptäckt.

Sammantaget kommer GDPR att behöva mycket mer tid för att få en betydande inverkan på hur både användare och tjänsteleverantörer behandlar privata uppgifter. Och även när det gör det bör det inte betraktas som ett universalmedel. GDPRs mål är inte helt att eliminera de många hoten mot vår integritet online och det kan verkligen inte sätta stopp för dataintrång. Vad det emellertid kan (och förhoppningsvis kommer att göra) är att se till att orden "vi tar säkerhet väldigt allvarligt" är mer än bara ett uttalande om en pannplatta som utfärdas efter ett cyberattack.