“繼續保持冷靜”似乎是通用數據保護條例（GDPR）這個歐洲范圍內的新立法一個擬合的主題，其目的是使個人對其個人信息有更大的控制能力。但是，這對于重視客戶數據的組織來說，這僅僅是個案。

不幸的是，長久以來，一些組織對“隱含”權限的工作都會有“假定”同意，這需要花費數月檢測和報告，而且在某些情況下，如TalkTalk公司的經驗數據丟失，已無法正確分類的個人數據被泄露，管理人員并不愿意發生這種事情，而客戶有權期望更好的絕對權利。

根據DQMGRC的新研究，與DataIQ協會，表明在何種程度上已成為消費者都懷疑和精明的有關公司如何使用他們的個人資料。消者費的數據保護控制意識較高，注意網頁的cookies占84％，76％的人在電子郵件中的退訂鏈接，74％的人注意到了隱私政策。然而，只有一半的人表示他們發現其個人資料的登記表，這表明有很多人對于組織進入藏有他們的個人信息的媒介，并隨后利用這些信息有所忽視。

還有將近一半的人（49％）不愿意分享信息，除非有一個明確的理由，或者除非是他們信賴的品牌。同樣，消費者期望公司來加密他們的數據，并使用適當的監測的技術，防止黑客和伴隨這些事件隨之而來的困擾。這是有原因的，，其中有一半的受訪者經歷了一些個人數據泄露（如網站黑客，帳戶黑客，甚至身份盜竊等）。

研究表明，消費者對于他們的數據期望監管機構進行保護表示一致贊同，但是這也可能證明只是對組織的期望。76.8％的人預計加密，67.5％的人認為網絡防火墻應該保持最新版本，一半人認為使用數據要得到限制和監控。雖然消費者完全有權要求企業采取這些步驟，以確保他們的數據保護，并實現這些流程，但18.4％的企業可能承認他們將需要12-24個月內作出必要的改變，因此GDPR所設定的兩年期限相當精細。

在某些方面，這是一個恥辱，這是引人注目的，僅通知客戶加密數據以及防止數據泄露企業每年的營業額就達到了20萬歐元，這引起了相關企業的關注。然而，如果這能讓企業醒悟和意識到這不是他們的數據，這是我們的數據，是我們委托他們保管，那么這絕對是實質性的進展。它應該有助于商業案例。

那么組織可以做些什么呢？

首先，組織需要評估他們的個人數據，并對數據進行分類，因此他們要對個人和敏感數據和那些不重要的數據駐留要有明確的位置。通常，繪制一個數據流圖可以幫助企業了解數據的模式，對那些令人關注的數據的走向提供了清晰的判斷。

一旦組織了解他們所擁有的個人數據，那么他們應該確保完成定期的風險評估，以了解在處理數據時公司所面臨的威脅程度。事實上，歐洲全球數據保護法規(GDPR)要求“基于風險的方法”適當地控制發展。這應該在一個單一的行程中，確保數據管理者認識到客戶數據丟失、誤用、盜竊或其他任何妥協相關的危險。

對于將數據傳遞到第三方機構，人們通常有一種傾向，認為第三方機構必須提供高標準的數據安全和保護。然而，現在美國的GDPR認為只需對處理器能提供“充分的保證”?；旧?，作為數據的所有者，用戶必須檢查他們是否具備有效的“技術和組織措施，以確保處理的安全性”。

隨后，如今企業要對數據保護的違約做好準備，以確保不出差錯。如果用戶已經對于是什么類型的個人數據（分類）和數據在哪里（數據流）進行管理的話，那么這個過程會比較容易明確。然而，其價值是要對客戶溝通，媒體反應和補救活動進行統籌，并確保你考慮到了這一點，從而在實際情況下實行，因此有人認為這是一個數據破壞的消防演習。

當消費者遭受數據丟失或組織違反基準設置的話，92％的受訪者表示，他們希望企業告訴他們哪些信息已丟失或被盜。除此之外，研究還顯示，消費者希望企業公開道歉，并進行賠償（這占消費者的57％）。

但是，如果消費者要求知道其個人信息的數據泄露是否已經受到威脅，企業需要他們的數據資產進行分類。令人擔憂的是，只有30.7％的消費者要求企業對他們所有的數據資產的類型進行分類，而對于企業來說，只有五分之一公司可以這么做，11.4％的企業說他們不會這么做，9.7％的企業表示如果有法律要求的話才會這樣做。

數據保護的一個最佳方式就是確保了使用個人數據的組織將其各個方面都包含在數據治理流程中。這將確保所有的功能以一個共同的標準進行操作，這對于一個數據泄露事件尤為重要。同樣重要的是，組織試圖了解發生的任何數據的問題點的趨勢，并分別記錄問題。否則會出現的每個事件將被看作是唯一的，而不是具有共同的根源，然后可以加以修正并解決整個問題。

此外，至關重要的是，組織考慮實施一個引人入勝的員工培訓計劃，以確保所有員工都知道他們正在處理的寶貴資產，并了解如何安全地管理數據。數據安全是建立消費者的信任度的一個重要組成部分。最后，所有機構應該尊重消費者所擁有的個人資料，并把它當作是他們自己的資產進行保護，否則具有新的“隱私意識”的消費者可能會決定把數據存留在其他地方。