Ruim de helft van de bedrijven is niet voorbereid op de EU GDPR

europese-unie

Meer dan de helft van de organisaties is nog niet begonnen zich voor te bereiden op de invoering van de European General Data Protection Regulation (GDPR). Deze Europese wetgeving wordt in mei 2018 ingevoerd en is bedoeld om de wetgeving op het gebied van databeveiliging, dataretentie en governance in alle lidstaten van de Europese Unie (EU) gelijk te trekken.

Dit blijkt uit onderzoek van Vanson Bourne onder 2.500 technologiebeslissers in opdracht van beveiligingsbedrijf Veritas Technologies. De wet verplicht bedrijven onder andere strenger toe te zien op de wijze waarop en locatie waar gevoelige data wordt opgeslagen. Denk hierbij aan persoonlijke gegevens, financiële gegevens zoals creditcardgegevens en medische data.

Verantwoordelijkheid

Onder respondenten bestaat veel verwarring over de vraag wie verantwoordelijk is voor compliance met de GDPR. De grootste groep (32%) stelt dat de Chief Information Officer (CIO) dit is. 21% zegt dat de Chief Information Security Officer (CISO) verantwoordelijk is, 14% de Chief Executive Officer (CEO) en 10% de Chief Data Officer (CDO).

Datafragmentatie en een gebrek aan zicht op data worden door technologiebeslissers gezien als de grootste uitdagingen voor hun organisatie om te kunnen voldoen aan de GDPR. 35% van de respondenten noemt dit het grootste bron van zorgen. Vooral het zakelijk gebruik van onbeheerde cloud opslagdiensten en opslagdiensten die zijn ontwikkeld voor consumenten baart bedrijven zorgen. Een kwart van de respondenten geeft toe cloud gebaseerde diensten als Box, Google Drive, Dropbox, EMC Simplicity of Microsoft OneDrive te gebruiken, terwijl dit in strijd is met hun bedrijfsbeleid. 25% geeft toe niet erkende off-site opslagdiensten te gebruiken, wat het beheer hiervan door de IT-afdeling bemoeilijkt.

Dataverlies

52% van de respondenten maken zich daarnaast zorgen over dataverlies voor hun bedrijf. 48% geeft aan bezorgd te zijn over dataverlies dat optreedt bij het verplaatsen van data tussen systemen en locaties. Vier op de tien respondenten geeft daarnaast aan zich zorgen te maken over werknemers die niet juist met data omgaan en hiermee de GDPR overtreden.

Onderdeel van de GDPR is ook het recht om vergeten te worden. Bedrijven zijn verplicht verzoeken van gebruikers te behandelen die niet relevante of onnodige data over hen willen laten vernietigen of wijzigen. De combinatie van datafragmentatie en de ongestructureerde wijze waarop bedrijven data verzamelen maakt het voor veel organisaties echter nagenoeg onmogelijk om aan deze verzoeken te voldoen.

Hoge boetes

Veritas Technologies waarschuwt voor de gevolgen die het schenden van de GDPR kan hebben. Zo kunnen bedrijven een boete opgelegd krijgen die kan oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet van een bedrijf. Veritas adviseert bedrijven daarom nu aan de slag te gaan met het treffen van voorbereidingen om zeker te stellen dat zij bij de invoering van de GDPR in mei 2018 aan de Europese wetgeving voldoen.

Meer over
Lees ook
Bereid je voor op DORA: vijf essentiële stappen

Bereid je voor op DORA: vijf essentiële stappen

De datum dat Europese financiële instellingen zich moeten houden aan de Digital Operational Resilience Act (DORA)nadert snel. Het doel van de verordening is om banken, verzekeringsmaatschappijen en investeringsbedrijven in Europa beter te beschermen en weerbaar te maken tegen de toenemende cyberrisico’s. En de boetes voor niet-naleving zijn fors.

AVG en de cloud: Waarom de focus op boetes niet deugt

AVG en de cloud: Waarom de focus op boetes niet deugt

Discussies over de Algemene Verordening Gegevensbescherming (AVG) gaan meestal over de boetes die organisaties kunnen krijgen als ze onzorgvuldig omgaan met persoonsgegevens. Volgens Bas Loovens van DearBytes zijn er echter veel belangrijkere redenen om de bescherming van persoonsgegevens serieus te nemen. Zeker nu steeds meer organisaties gebruik1

AVG: enkele voorbeelden van grootschalige verwerkingen van persoonsgegevens

AVG: enkele voorbeelden van grootschalige verwerkingen van persoonsgegevens

De Algemene verordening gegevensbescherming (AVG) verplicht organisaties een functionaris voor de gegevensbescherming (FD) aan te stellen en een privacy impact assessment (PIA) uit te voeren. Dit is onder meer verplicht indien sprake is van een grootschalige verwerking van persoonsgegevens die een kernactiviteit van de organisatie is. De AVG defin1