Az Apricorn által az év elején benyújtott információszabadság-kérelmekre adott válaszok szerint a brit tanácsok 2023-ban mintegy 5000 adatvédelmi incidenst regisztráltak.

A Whatdotheyknow.com oldalon keresztül 2024 februárjában benyújtott FoI-kérelmekből kiderül, hogy Kent megye tanácsa 734 adatvédelmi incidenst jelentett 2023 januárja és decembere között, míg Surrey megye tanácsa 665, Norfolk tanácsa pedig 605 adatvédelmi incidenst. A további nagy veszteségek közé tartozott még a Warwickshire County Council (495) és East Sussex (490).

"Ismerjük azt a tényt, hogy a szervezeteket adatvédelmi incidensek érik, különösen azokat, amelyek értékes ügyféladatokat tárolnak" - mondta Jon Fielding, az EMEA Apricorn ügyvezető igazgatója. "Ennek ellenére aggasztó a bejelentett jogsértések túlzott száma. Ezeknek a kormányzati szervezeteknek precedenst kellene teremteniük az adatvédelem tekintetében. Bár tudjuk, hogy nincs csodaszer a jogsértések megelőzésére, több lépést és folyamatot lehet bevezetni a jogsértés kockázatának csökkentése érdekében."

A Warwickshire Megyei Tanács közölte, hogy eszközei nincsenek titkosítva, és a szervezet a többfaktoros hitelesítés használatára támaszkodik a rendszerekhez való hozzáférés során. Bár minden eszközön lehetőség van a távoli törlésre, és minden adatot vagy az alkalmazásokban, vagy a megosztott hálózati meghajtókon lehet tárolni, ez nem akadályozza meg teljesen az érzékeny adatokhoz való lehetséges hozzáférést, ha valamelyik eszköz rossz kezekbe kerülne.

A Surrey Megyei Tanács arra a kérdésre, hogy hány USB-eszközt vesztettek el vagy loptak el, megjegyezte, hogy a perifériákat nem követik nyomon, és hogy a memóriapálcikákért a szervezeti egységek felelősek. Ez is aggasztó, mivel az eszközöket nem követik nyomon és nem dokumentálják pontosan, ami jelentős jogsértést eredményezhet, amelyről a tanács nem tud, ha az eszközök tudtukon kívül eltűnnek.

A szervezeten belül elveszett és ellopott eszközök számával kapcsolatos kérdésekre adott válaszában a Lancashire Megyei Tanács közölte, hogy nem rögzíti/dokumentálja ezeket az információkat, ami azzal a kockázattal jár, hogy nem felel meg az adatvédelmi előírásoknak, például az általános adatvédelmi rendeletnek, és jelentős veszélyt jelent az ügyfelek adatbiztonságára.