GDPR-regelgeving

Begrip ‘State of the Art’ uit GDPR-regelgeving zaait verwarring bij bedrijven

Op 25 mei volgend jaar is het zover, dan doet de General Data Protection Regulation (GDPR of AVG, Algemene Verordening Gegevensbescherming) definitief zijn intrede. Eerder schreven we al een blogpost over de achtergronden en eisen die de GDPR-regelgeving aan het Nederlandse bedrijfsleven stelt. Uit ons onderzoek bleek destijds dat ondanks het feit dat het grootste deel van de Nederlandse organisaties weet dat zij aan de nieuwe regelgeving moet voldoen, er behoorlijk wat onduidelijkheid bestaat over de details van de GDPR-regelgeving.

Term ‘state of the art’ zorgt voor verwarring
Het onderzoek van Trend Micro laat zien dat er onder de 1000 ondervraagde IT-managers wereldwijd veel variatie is over wat zij hanteren als definitie van het begrip ‘State of the Art’ security[1].

  • Terwijl 29 procent van de ondervraagde Nederlandse bedrijven denkt dat zij aan de eis voldoen door security in te kopen bij een gerenommeerde marktleider, denkt 26 procent van de ondervraagde Nederlandse bedrijven dat ze eraan voldoen door producten te gebruiken die goedgekeurd zijn door onafhankelijke derde partijen.
  • Daarnaast denkt 12 procent van de ondervraagde Nederlandse bedrijven dat het begrip ‘State of the Art’ verwijst naar producten die goed beoordeeld worden door analistenrapporten en 13 procent denkt dat het gaat om start-ups die innovatieve technologieën aanbieden.
  • Zorgwekkend genoeg houdt 11 procent van de Nederlandse IT-managers zich meer bezig met de prijs van beveiligingsproducten dan met of deze producten voldoen aan de GDPR-regelgeving. Maar liefst 8 procent van de ondervraagden bleek helemaal niet in staat een definitie te geven van het begrip ‘State of the Art’ security.

“Er zijn verschillende hindernissen die bedrijven moeten overwinnen voordat ze compliant zijn met de GDPR-regelgeving. Ontwaren wat ‘State of the Art’ nu eigenlijk betekent is slechts één van die hindernissen,” aldus Rik Ferguson, vice president security research bij Trend Micro. “Handhavingsinstanties zouden verdere verduidelijking moeten bieden over wat ‘State of the Art’ precies betekent, zodat bedrijven in mei 2018 geen boete riskeren.”

Een schending van vertrouwen
Een ander obstakel dat bedrijven tegenkomen is de nieuwe termijn waarbinnen datalekken moeten worden gemeld bij instanties en klanten die door het datalek getroffen zijn.

  • Slechts 60 procent van de Nederlandse bedrijven heeft een protocol opgesteld om klanten te informeren in geval van een datalek.
  • Geheel tegen de GDPR-regelgeving in heeft 24 procent van de bedrijven wel een protocol om instanties op de hoogte te stellen van een datalek, maar niet voor het informeren van hun klanten.
  • Bedrijven zijn momenteel ook niet in staat om tegemoet te komen aan het recht van de klant om vergeten te worden, ondanks het feit dat bijna de helft (46 procent) van de Nederlandse bedrijven aangeeft dat hun klanten vragen om meer transparantie met betrekking tot wat er met hun gegevens gebeurt.
  • 71 procent van de Nederlandse bedrijven heeft een protocol rondom het recht om vergeten te worden als het gaat om data die zij zelf verzamelen. Slechts 60 procent van de Nederlandse bedrijven kan dergelijke verzoeken verwerken over data die partners verzamelen.
  • Daarnaast kan slechts 57 procent verzoeken verwerken rondom data die door hun cloud service providers worden opgeslagen en is 53 procent in staat verzoeken in te willigen die gaan over data die door third parties worden opgeslagen.

Welke maatregelen treffen Nederlandse organisaties?

Hoewel GDPR-regelgeving bedrijven verplicht stelt tot het inzetten van ‘state of the art’-beveiligingstechnologieën, zorgt het ontbreken van een specifieke definitie hiervan voor verwarring.

  • Veel gebruikte technologieën die door Nederlandse organisaties worden ingezet, zijn data leak prevention- (26 procent) en remote wipe-technologie (26 procent).
  • Bovendien versleutelt 24 procent hun wachtwoorden of maakt gebruik van hardware lockdowns in de strijd tegen geïnfecteerde USB-sticks.

Het gaat echter niet alleen om technologie. Investeren in kennis is ook een prioriteit vanuit de GDPR. Uit het onderzoek blijkt dat een derde (33 procent) van de Nederlandse organisaties bezig is het bewustzijn rondom databeveiliging onder zijn medewerkers te vergroten. Daarnaast heeft 21 procent van de Nederlandse organisaties een nieuw beleid opgesteld ten aanzien van gegevensbescherming.

“Het opleiden van medewerkers en het updaten van het beleid ten aanzien van gegevensbescherming is een positieve ontwikkeling. Echter, als de juiste beveiligingsmaatregelen om datalekken te voorkomen ontbreken, is er geen sprake van een cybersecurity-strategie,” vervolgt Ferguson. “Er bestaat geen silver bullet voor cybersecurity: er zijn meerdere technieken nodig om cyberdreigingen het hoofd te bieden. Elk bedrijf dat zich dit niet terdege beseft, voldoet simpelweg niet aan de GDPR-regelgeving.”

Meer weten over GDPR? Volg ons gratis webinar op 17 november
Op 17 november om 11:00u CET organiseren we een gratis webinar over de GDPR. Daarin gaan we onder meer in op de meest gemaakte security-fouten en leggen we uit welke maatregelen u moet treffen om compliant te zijn aan de nieuwe wetgeving. Inschrijven is gratis en kan direct via deze link.

[1] Ondervraagden van bedrijven met 500+ werknemers in 11 landen, waaronder de VS, Frankrijk, Italië, Spanje, Nederland, Duitsland, Polen, Zweden, Oostenrijk en Zwitserland. 102 managers zijn ondervraagd in het Verenigd Koninkrijk.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *