GDPR, is het Nederlandse bedrijfsleven er klaar voor?

gdpr

De GDPR (General Data Protection Regulation) komt er in hoog tempo aan. Maar de vraag is of het (Nederlandse) bedrijfsleven wel klaar is voor de nieuwe wetgeving.

Als je aan iemand vraagt of er wel eens wat gestolen is, is het antwoord 9 van de 10 keer “ja”. Van fietsen tot laptops en van geld tot telefoons, iedereen is wel eens de dupe geweest van diefstal. Bij materiële zaken is het meteen duidelijk wanneer iets ontvreemd is: het is immers weg. Dat is bij cybercrime wel anders. De data staat namelijk nog steeds op jouw computer, maar ook op de computer van een hacker en wie weet wat die er allemaal mee gaat doen.

GDPR
De GDPR (of in het Nederlands AVG, Algemene Verordening Gegevensbescherming) van de Europese Unie die op 25 mei 2018 ingaat, eist dat bedrijven persoonlijke gegevens in hun bezit beschermen. Het vervangt de vroegere European Data Privacy Directive. Onder deze EDPR was het voor niet-Europese landen nog mogelijk om te onderhandelen over alternatieve sancties. Dit leidde tot de ontwikkeling van US Safe Harbor, maar de EU vond dat deze maatregel de veiligheid van persoonsgegevens niet voldoende kon waarborgen. Voortbordurend op het Harvard Law Review-artikel “The Concept of Privacy” uit 1860, stelt de GDPR dat voor alle burgers in de Europese Unie:

  1. het individu weet welke informatie over hem/haar is opgeslagen;
  2. het individu weet hoe die informatie wordt gebruikt en
  3. het individu het recht van verzet heeft.

Als een organisatie per ongeluk persoonlijke informatie vrijgeeft, zijn ze verplicht uit te zoeken hoe dat kon gebeuren, zich ervan te verzekeren dat het lek gedicht is, de getroffen personen te informeren en de National Data Protection Authority te informeren. Hier heeft de getroffen organisatie 72 uur de tijd voor.

Onduidelijkheid over GDPR bij Nederlandse bedrijfsleven
Uit onderzoek van TrendMicro blijkt dat er bij Nederlandse bedrijven behoorlijk wat kennis aanwezig is m.b.t. de aanleiding van GDPR. Zo weet zeker 93 procent van de onderzochte professionals in Nederland dat ze aan de regelgeving moet voldoen en 72 procent heeft zelfs kennis genomen van wat de exacte regels zijn. Toch bestaat er ook nog behoorlijk wat onduidelijkheid over welke persoonsgegevens nu goed beschermd dienen te worden. 23 procent van de Nederlandse respondenten weet niet welke persoonsgegevens zij in hun bezit hebben of waar die zijn opgeslagen. Sommige respondenten – 22 procent – wisten niet dat iemands geboortedatum ook als persoonsgegeven geclassificeerd wordt en maar liefst 53 procent van de ondervraagden zou data uit hun marketing databases niet als zodanig categoriseren. Dit stijgt tot 71 procent wanneer het gaat om postadressen en zelfs tot een zeer alarmerende 78 procent wanneer organisaties in moeten schatten of e-mailadressen vallen in de categorie persoonsgegevens.

Torenhoge boetes
Organisaties die de persoonsgegevens die zij in hun bezit hebben niet goed beschermen, riskeren torenhoge boetes. Dit is echter nog niet echt tot het Nederlandse bedrijfsleven doorgedrongen: meer dan 60 procent weet niet dat het hierbij om bedragen gaat die – voor elk afzonderlijk incident – tussen de 2 en 4 procent van hun jaarlijkse omzet kunnen liggen. En dan niet alleen de omzet van de locatie van het euvel, maar van de globale omzet.

Verantwoordelijkheid binnen de organisatie
Uit ons onderzoek bleek verder dat Nederlandse ondernemingen niet scherp hebben wie binnen de eigen organisatie verantwoordelijk is voor compliance aan deze regelgeving. Van de respondenten uit Nederland denkt 26 procent dat de CEO verantwoordelijk is voor GDPR compliancy en slechts 28 procent vindt dat dat de taak is van de CISO en/of het security team. Het C-level in Nederland lijkt echter nog niet echt warm te lopen voor GDPR: slechts 10 procent van de Nederlandse managers houdt zich actief met dit onderwerp bezig.

“Met nog maar negen maanden te gaan voordat GDPR in werking treedt, zou dit één van de hoofdpunten moeten zijn op de agenda van bestuurders. De resultaten van dit onderzoek laten echter zien dat men het onderwerp lijkt te negeren. Wanneer bedrijven deze regelgeving niet serieus nemen, kunnen ze daadwerkelijk een boete krijgen die een aanzienlijk deel van hun omzet omvat. Het is zaak dat de C-suite GDPR gaat zien als een business-uitdaging in plaats van een security-probleem voordat het te laat is,” aldus Rik Ferguson, VP Security Research bij Trend Micro.

Tools voor GDPR compliance
Elk bedrijf dat persoonsgegevens van Europese burgers in haar bezit heeft moet er, volgens de GDPR-richtlijnen, voor zorgen dat deze gegevens secuur en begrijpelijk worden gemanaged. Er zijn verschillende identity management tools die bedrijven helpen compliant te zijn en boetes te voorkomen. Het investeren in systemen en bedrijfsprocessen die compliance met wet- en regelgeving garanderen is nu eenmaal onderdeel van de kosten die horen bij het runnen van een bedrijf. Het doel van het implementeren van een informatiebeveiligingssysteem is ervoor te zorgen dat data niet verloren gaat en dat het niet op afstand aangepast of per ongeluk gepubliceerd kan worden. Desondanks heeft slechts 20 procent van de Nederlandse bedrijven geavanceerde technologie in huis om ongewenste indringers op te sporen en/of op afstand te houden. 26 procent heeft encryptietechnologie geïmplementeerd en een schamele 16 procent van de ondervraagden heeft geïnvesteerd in data leak prevention-technologie. Het implementeren van dergelijke systemen is snel noch makkelijk, maar het is wel wettelijk verplicht en bovendien ook gewoon the right thing to do.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *