Boardroom doet of zijn neus bloedt met betrekking tot GDPR
8 september 2017 -
Het management van veel Nederlandse bedrijven gaat niet erg serieus om met de General Data Protection Regulation-wetgeving (GDPR) en waant zich onterecht veilig als het gaat om compliancy met deze wetgeving.
Dit is de belangrijkste conclusie uit het meest recente onderzoek van Trend Micro dat daarvoor wereldwijd meer dan 1.000 IT-beslissers onderzocht in bedrijven met 500+ medewerkers.
Het onderzoek laat zien dat er aardig wat kennis aanwezig is over de aanleiding voor GDPR. Zo weet zeker 93 procent van de onderzochte professionals in Nederland dat ze aan de regelgeving moet voldoen en 72 procent heeft zelf kennis genomen van wat exacte regels. Bij 61 procent van de Nederlandse bedrijven is men ervan overtuigd dat de data niet veiliger opgeslagen kan worden.
Wat zijn eigenlijk persoonsgegevens?
Ondanks dat bestaat er ook in Nederland nogal wat onduidelijkheid over welke ‘persoonsgegevens’ ze nu precies goed moeten beschermen. Dat begint al bij de inventarisatie. 23 procent van de Nederlandse respondenten kan om te beginnen niet aangeven welke persoonsgegevens ze hebben opgeslagen en waar die zijn opgeslagen. Van alle respondenten die onderzocht zijn in ons land weet vervolgens 22 procent niet dat een geboortedatum geclassificeerd moet worden als ‘persoonsgegeven’. Erger nog, meer dan de helft (53 procent) van de Nederlandse IT-beslissers zou informatie in hun e-mail marketingdatabases niet als persoonsgegeven bestempelen. Als het gaat om postadressen stijgt dat percentages tot 71 procent en voor e-mailadressen zelfs tot een alarmerende 78 procent. Organisaties die dergelijke gegevens - die hackers vaak genoeg munitie geven voor identiteitsdiefstal - niet goed beveiligen, riskeren hoge boetes.
Dikke boetes
Als het gaat over de boetes, kunnen veel Nederlandse organisaties nog voor verrassingen komen te staan. Meer dan 60 procent weet niet dat het hierbij om bedragen gaat die tussen de twee en vier procent van hun jaarlijkse omzet kunnen liggen. Ondanks (of dankzij?) dit gebrek aan kennis over de wetgeving en mogelijke boetes maakt zeker 24 procent van de Nederlandse organisaties zich niet druk over een mogelijke bekeuring. De kans is reëel dat ze daar anders over denken wanneer een datalek heeft plaatsgevonden en ze daadwerkelijk bekeurd worden. Vooral wanneer klanten, prospects en autoriteiten vragen gaan stellen over hun systemen, de bedrijfsvoering en het management dat daarvoor verantwoordelijk is.
Ontbreken van kennis
"Het ontbreken van kennis over GDPR, dat duidelijk naar voren komt in dit onderzoek, is schokkend. Geboortedata, e-mailadressen, marketingdatabases en postadressen zijn allemaal belangrijke klantgegevens en het is zorgelijk dat zo veel Nederlandse organisaties dat, ondanks het zelfvertrouwen, gewoon niet weten," zegt Rik Ferguson, VP Security Research van Trend Micro. "Als organisaties deze gegevens niet beschermen, nemen ze niet alleen hun klanten niet serieus, ze zijn zeker niet klaar voor GDPR."
Nog meer verwarring
De verwarring gaat echter nog verder. Trend Micro vroeg Nederlandse ondernemingen tevens wie verantwoordelijk is voor het verlies van grote hoeveelheden EU-data door een grote Amerikaanse service provider. Slecht tien procent kon daarop het correcte antwoord geven dat beide partijen evenveel verantwoordelijkheid dragen. Dat is iets slechter dan het wereldwijde gemiddelde van een magere veertien procent. 47 procent van de Nederlandse organisaties denkt dat de boete betaald moet worden door de eigenaar van de EU-gegevens, terwijl 26 procent juist denkt dat de Amerikaanse service provider de fout in is gegaan.
Wie is verantwoordelijk?
Duidelijk is ook dat Nederlandse ondernemingen niet scherp hebben wie binnen de eigen organisatie verantwoordelijk is voor compliance aan deze regelgeving. Van de respondenten uit Nederland denkt 26 procent dat de CEO verantwoordelijk is voor GDPR-compliancy en slechts 28 procent vindt dat dat de taak is van de CISO en/of het security team. Het C-level in Nederland lijkt echter nog niet echt warm te lopen voor GDPR. Slechts tien procent van de Nederlandse managers houdt zich actief met dit onderwerp bezig.
"Met nog maar negen maanden te gaan voordat GDPR in werking treedt, zou dit een van de hoofdpunten moeten zijn op de agenda van bestuurders. De resultaten van dit onderzoek laten echter zien men het onderwerp lijkt te negeren. Wanneer bedrijven deze regelgeving niet serieus nemen, kunnen ze daadwerkelijk een boete krijgen die een aanzienlijk deel van hun omzet omvat. Het is zaak dat de C-suite GDPR gaat zien als een business-uitdaging in plaats van een security-probleem voordat het te laat is," vervolgt Ferguson. "Het voorbereiden op GDPR is een enorme klus. Van investeren in state of the art technologie tot en met het implementeren van regels rondom dataprotectie en notificaties. Die voorbereiding is echter nutteloos als bedrijven niet weten om welke data het precies gaat en wie daarvoor verantwoordelijk is. In de hele markt is er te weinig kennis over dit onderwerp en dat moet veranderen."
Moderne technologie
Nieuwe bedreigingen blijven bedrijven op allerlei verschillende manieren lastig vallen. Veel bedrijven hebben niet alleen een gebrek aan expertise om daarmee om te gaan, ze beschikken meestal ook niet over de juiste technologie om dat te doen. GDPR verplicht bedrijven om de benodigde, moderne technologie te implementeren om goed om te kunnen gaan met risico’s. Toch heeft slechts twintig procent van de Nederlandse bedrijven geavanceerde technologie in huis om indringers op hun netwerk op te kunnen sporen. 26 procent heeft encryptietechnologie geïnstalleerd en zestien procent van de Nederlandse ondernemingen heeft geïnvesteerd in data leak prevention-technologie.