Het management van veel Nederlandse bedrijven denkt te lichtvoetig over de eisen die de GDPR aan organisaties stelt. Slechts een kwart van hen is betrokken bij de compliance van deze regelgeving en een aanzienlijk deel weet niet welke persoonsgegevens zij precies moeten beschermen. Daarop duidt onderzoek van Trend Micro.

Paradoxaal genoeg is er aardig wat kennis aanwezig over GDPR in het algemeen. Zo weet zeker 93 procent van de onderzochte professionals in Nederland dat ze aan de regelgeving moet voldoen en 72 procent heeft zelf kennis genomen van enkele exacte regels. Zes op de tien Nederlandse bedrijven zegt dat hun data niet veiliger opgeslagen kan worden.
 

Persoonsgegevens?

Er heerst nogal wat onduidelijkheid over welke ‘persoonsgegevens’ goed beschermd moeten. Dat begint al bij de inventarisatie. Bijna een kwart van de Nederlandse respondenten kan niet aangeven welke persoonsgegevens ze hebben opgeslagen en waar.

Van alle Nederlandse respondenten weet vervolgens 22 procent niet dat een geboortedatum geclassificeerd moet worden als een ‘persoonsgegeven’ en meer dan de helft van de Nederlandse IT-beslissers ziet informatie in hun e-mail marketingdatabases onterecht niet als persoonsgegeven.

Voor wat postadressen aangaat, stijgt dat percentage tot 71 procent en voor e-mailadressen zelfs tot een alarmerende 78 procent. Organisaties die dergelijke gegevens – die hackers vaak genoeg munitie geven voor identiteitsdiefstal – niet goed beveiligen, riskeren hoge boetes.

Meer dan 60 procent weet niet dat het hierbij om bedragen gaat die tussen de 2 en 4 procent van hun jaarlijkse omzet kunnen liggen. Een opvallende kwart van de ondervraagde organisaties in Nederland maakt zich echter niet druk over een mogelijke sanctie.

“Het ontbreken van kennis over GDPR, dat duidelijk naar voren komt in dit onderzoek, is schokkend. Geboortedata, e-mailadressen, marketingdatabases en postadressen zijn allemaal belangrijke klantgegevens en het is zorgelijk dat zo veel Nederlandse organisaties dat, ondanks het zelfvertrouwen, gewoon niet weten”, zegt Rik Ferguson, VP Security Research van Trend Micro.

“Als organisaties deze gegevens niet beschermen, nemen ze niet alleen hun klanten niet serieus, ze zijn zeker niet klaar voor GDPR.”
 

Verantwoordelijkheden

Op de vraag wie verantwoordelijk is voor het verlies van grote hoeveelheden EU-data bij of door Amerikaanse aanbieders wist slechts 10 procent het correcte antwoord: beide partijen dragen evenveel verantwoordelijkheid, iets minder dan het wereldwijde gemiddelde van 14 procent. Bijna de helft van de Nederlandse organisaties denkt dat de boete betaald moet worden door de data-eigenaar, een kwart denkt dat de verantwoordelijkheid overzee ligt.

Ook hebben Nederlandse beslissers niet helder voor ogen wie intern verantwoordelijk is voor compliance aan deze regelgeving. Een kwart denkt dat de CEO verantwoordelijk is, een iets groter percentage vindt dat het in handen is van de CISO en/of het security team. Slechts 10 procent van de Nederlandse hogere managers houdt zich echter actief met dit onderwerp bezig.

“Het is zaak dat de C-suite GDPR gaat zien als een business-uitdaging in plaats van een security-probleem voordat het te laat is”, zegt Ferguson. “Het voorbereiden op GDPR is een enorme klus. Van investeren in state of the art technologie tot en met het implementeren van regels rondom dataprotectie en notificaties.

Die voorbereiding is echter nutteloos als bedrijven niet weten om welke data het precies gaat en wie daarvoor verantwoordelijk is.”

De GDPR verplicht bedrijven om de benodigde, moderne technologie te implementeren om goed om te kunnen gaan met risico’s. Toch heeft slechts 20 procent van de Nederlandse bedrijven geavanceerde technologie in huis om indringers op hun netwerk op te kunnen sporen. 26 procent heeft encryptietechnologie geïnstalleerd en 16 procent van de Nederlandse ondernemingen heeft geïnvesteerd in technologie die datalekken moet voorkomen.

Bron: Felix Speulman, IT Executive



Meer weten over GDPR/AVG en hoe Mavim uw organisatie daarbij kan helpen? Lees meer op onze website of download de whitepaper "In 5 stappen voldoen aan de GDPR/AVG"