Te veel onduidelijkheid over data in de aanloop naar AVG

citrix

De Algemene Verordening Gegevensbescherming (AVG), die in mei 2018 in de EU wordt ingevoerd, stelt huizenhoge boetes in het vooruitzicht voor bedrijven die niet zorgvuldig omgaan met onze data – maar betekent dat ook dat bedrijven er nu voor zorgen dat onze gegevens veilig zijn? Citrix liet onderzoek uitvoeren onder 250 Nederlandse IT Executives en cybersecurity specialisten. De resultaten zijn nog niet erg bemoedigend.

Uit onderzoek van Citrix blijkt dat, in de aanloop naar de invoering van de AVG (ook wel bekend als de General Data Protection Regulation of GDPR), data verzamelen voor de meeste organisaties de gewoonste zaak van de wereld is. Meer dan een kwart bewaart dagelijks de persoonlijke gegevens van meer dan 1000 personen. Maar wat er vervolgens met die gegevens gebeurt, is helaas niet altijd duidelijk. 18,75% van de respondenten heeft bijvoorbeeld geen idee hoe lang die persoonlijke gegevens bewaard worden (15,83% houdt het op 10 jaar of langer).

Data breed gebruikt

38,75% van de respondenten zegt intern gebruik te maken van álle persoonlijke gegevens die door het bedrijf worden opgeslagen, voor bijvoorbeeld voorspellende analyses zoals koopgewoonten en voorkeuren. Anderen gebruiken slechts een deel van de beschikbare data; in totaal analyseert 48,58% van de respondenten het gedrag van hun klanten. Hoe veilig deze data is, is maar de vraag.

Een kwart van de respondenten geeft bijvoorbeeld aan dat hun organisatie persoonlijke gegevens ook deelt met partners en bedrijven buiten de eigen organisatie (13,33% doet dat zelfs met meer dan 100 bedrijven). Daarbij zegt 81,67% volledige controle te behouden over die informatie als die eenmaal is gedeeld – maar de rest geeft toe dat die controle deels verloren gaat. Slechts 48,75% weet zeker dat hun beleid op dit vlak volledig in overeenstemming is met de AVG, terwijl 11,25% aangeeft dat dit niet duidelijk is – en dat er ook niet aan gewerkt wordt om daarachter te komen. 26,67% weet het óók niet zeker, maar heeft in elk geval wel de intentie om er werk van te maken.

Wie is verantwoordelijk?

Wie er binnen de organisatie precies verantwoordelijk is voor de naleving van de AVG, is voor 18,75% van de respondenten een raadsel. Bij de overige respondenten lopen de antwoorden sterk uiteen (18% wijst naar de CEO; 10% noemt de CIO; 5% heeft die verantwoordelijkheid extern belegd), maar duidelijk is wel dat de Data Protection Officer waar de AVG om vraagt (of de Functionaris Gegevensbescherming in goed Nederlands) nog lang niet overal in dienst is.

Niet alle organisaties hebben zo’n DPO nodig, maar overheden in elk geval wel, net als organisaties die op grote schaal aan tracking en profilering doen, en wanneer data verwerkt wordt die als extra gevoelig wordt beschouwd (zoals etniciteit, levensbeschouwing of politieke voorkeur). Uit de resultaten van een Quickscan van Nederland ICT zou blijken dat 40% van de organisaties zo’n DPO in huis moet hebben. In het Citrix onderzoek beschikt nog geen 21% van de 1000+ bedrijven nu over zo’n functionaris. Bij kleinere bedrijven ligt het percentage zelfs rond de 15%.

Werk samen met partners

De conclusie is dat veel bedrijven nog wel wat hulp kunnen gebruiken om aan de strenge wet- en regelgeving te voldoen, meent Peter van Leest, Regional Director Citrix Benelux. “De kennis van cybersecurity en alles wat daar binnen een organisatie bij komt kijken, moet snel naar een hoger niveau. Bedrijven zijn nog te vaak niet goed op de hoogte van wat er met hun data gebeurt en nemen onvoldoende maatregelen om die data te beschermen.” Slechts 31,6% van de respondenten in dit onderzoek maakt bijvoorbeeld gebruik van Mobile Device Management – terwijl steeds meer werknemers onderweg en op locatie data raadplegen.

Van Leest ziet hierin ook een taak voor IT-leveranciers. “Een van de belangrijkste uitdagingen die wij onszelf bij Citrix hebben gesteld is de complexiteit van IT-oplossingen terug te dringen, zodat veilig gebruik van data vanzelfsprekend wordt.” Dankzij centralisatie en containerization ontstaat bijvoorbeeld de mogelijkheid om een context-gevoelig beveiligingsbeleid te voeren, zodat veiligheidsmaatregelen op een logische manier worden afgestemd op specifieke combinaties van apps, data, bevoegdheden en situaties.

Volgens Van Leest is het voor organisaties vooral zaak samenwerking te zoeken met IT-partners die security een integraal onderdeel van hun oplossingen hebben gemaakt. “Je moet er op kunnen vertrouwen dat je ICT-partners je organisatie veiliger maken, in plaats van minder veilig. In die zin durven wij ons ook gewoon een securitybedrijf te noemen: al onze oplossingen zijn ontworpen om overal veilig toegang te bieden tot data en applicaties.”

De essentie van de eisen die de AVG stelt, is dat organisaties moeten kunnen aantonen dat ze voldoende inspanningen hebben geleverd om data te beveiligen, meent Van Leest. “Voor veel van de organisaties in ons onderzoek wordt dat nog een hele uitdaging.”

Meer over
Lees ook
Teleoperation van vrachtwagens en binnenvaartschepen in het 5G-Blueprint Project

Teleoperation van vrachtwagens en binnenvaartschepen in het 5G-Blueprint Project

Het internationale onderzoeksproject ‘5G-Blueprint’ is een samenwerking van publieke en private partijen uit Nederland, Vlaanderen, Zwitserland en Tsjechië. Gezamenlijk onderzoeken ze hoe met behulp van teleoperation technologie efficiëncy en duurzaamheid van transport en logistiek verbeterd kan worden.

Groeiende datacenterbranche levert komende jaren meer dan 5.000 banen op

Groeiende datacenterbranche levert komende jaren meer dan 5.000 banen op

De datacentersector wordt een steeds belangrijkere bron van werk. Digitaal werk en onderwijs is vaker de standaard, waardoor de vraag naar datacenterdiensten en -personeel gestaag groeit. Scholen zetten meer in op deze trend, wat leidt tot versnelling van onderwijsinnovatie. Brancheorganisatie Dutch Data Center Association (DDA), Workrate en Inter1

Onderzoek Fortinet: Multicloud is de norm, 76% gebruikt meerdere cloud providers

Onderzoek Fortinet: Multicloud is de norm, 76% gebruikt meerdere cloud providers

Securityleverencier Fortinet heeft het 2021 Cloud Security Report gepubliceerd. Hierin wordt in kaart gebracht hoe ruim 500 cybersecurity-professionals (van CIO’s tot IT-managers en medewerkers van security-teams) omgaan met cyberbedreigingen die het op de cloud hebben gemunt, de manier waarop zij de cloud gebruiken en de best practices waaraan zi1