‘State of the Art’ uit GDPR-regelgeving zaait verwarring
21 november 2017 -
Bedrijven over de hele wereld hebben nog maar zes maanden totdat de General Data Protection Regulation (GDPR of AVG, Algemene Verordening Gegevensbescherming) definitief zijn intrede doet.
Een recent onderzoek van Trend Micro Incorporated heeft aangetoond dat er onder bedrijven nog veel onduidelijkheid heerst omtrent de GDPR-regelgeving. Daarbij zaait met name het begrip ‘State of the Art’-beveiligingsregels verwarring. Eerder liet het onderzoek al zien dat het management van veel Nederlandse bedrijven zich onterecht veilig waant als het gaat om compliancy met de GDPR-wetgeving.
Het onderzoek van Trend Micro laat zien dat er onder de 1000 ondervraagde IT-managers wereldwijd veel variatie is over wat zij hanteren als definitie van het begrip ‘State of the Art’ security.
● Terwijl 29 procent van de ondervraagde Nederlandse bedrijven denkt dat zij aan de eis voldoen door security in te kopen bij een gerenommeerde marktleider, denkt 26 procent van de ondervraagde Nederlandse bedrijven dat ze eraan voldoen door producten te gebruiken die goedgekeurd zijn door onafhankelijke derde partijen.
● Daarnaast denkt twaalf procent van de ondervraagde Nederlandse bedrijven dat het begrip ‘State of the Art’ verwijst naar producten die goed beoordeeld worden door analistenrapporten en dertien procent denkt dat het gaat om start-ups die innovatieve technologieën aanbieden.
● Zorgwekkend genoeg houdt elf procent van de Nederlandse IT-managers zich meer bezig met de prijs van beveiligingsproducten dan met de vraag of deze producten voldoen aan de GDPR-regelgeving. Acht procent van de ondervraagden bleek helemaal niet in staat een definitie te geven van het begrip ‘State of the Art’ security.
Hindernissen
"Er zijn verschillende hindernissen die bedrijven moeten overwinnen voordat ze compliant zijn met de GDPR-eisen. Ontwaren wat ‘State of the Art’ nu eigenlijk betekent is slechts één van die hindernissen," aldus Rik Ferguson, vice president security research bij Trend Micro. "Handhavingsinstanties zouden verdere verduidelijking moeten bieden over wat 'State of the Art' precies betekent, zodat bedrijven in mei 2018 geen boete riskeren."
Een schending van vertrouwen
Een ander obstakel dat bedrijven tegenkomen is de nieuwe termijn waarbinnen datalekken moeten worden gemeld bij instanties en bij de klanten die door het datalek getroffen zijn.
● Slechts 60 procent van de Nederlandse bedrijven heeft een protocol opgesteld om klanten te informeren in geval van een datalek.
● Geheel tegen de GDPR-richtlijnen in heeft 24 procent van de bedrijven wel een protocol om instanties op de hoogte te stellen van een datalek, maar niet voor het informeren van hun klanten.
● Bedrijven zijn momenteel ook niet in staat om tegemoet te komen aan het recht van de klant om vergeten te worden, ondanks het feit dat bijna de helft (46 procent) van de Nederlandse bedrijven aangeeft dat hun klanten vragen om meer transparantie met betrekking tot wat er met hun gegevens gebeurt.
● 71 procent van de Nederlandse bedrijven heeft een protocol rondom het recht om vergeten te worden als het gaat om data die zij zelf verzamelen. Slechts 60 procent van de Nederlandse bedrijven kan dergelijke verzoeken verwerken over data die partners verzamelen.
● Daarnaast kan slechts 57 procent verzoeken verwerken rondom data die door hun cloud service providers worden opgeslagen en kan 53 procent verzoeken inwilligen die gaan over data die door third parties worden opgeslagen.
Hoewel GDPR bedrijven verplicht stelt tot het inzetten van ‘state of the art’-beveiligingstechnologieën, zorgt het ontbreken van een specifieke definitie hiervan voor verwarring.
● Veel gebruikte technologieën die door Nederlandse organisaties worden ingezet, zijn data leak prevention- (26 procent) en remote wipe-technologie (26 procent).
● Bovendien versleutelt 24 procent hun wachtwoorden of maakt gebruik van hardware lockdowns in de strijd tegen geïnfecteerde USB-sticks.
Investeren in kennis
Het gaat echter niet alleen om technologie. Investeren in kennis is ook een prioriteit vanuit de GDPR. Uit het onderzoek blijkt dat slechts een derde (33 procent) van de Nederlandse organisaties bezig is het bewustzijn rondom databeveiliging onder zijn medewerkers te vergroten. Daarnaast heeft 21 procent van de Nederlandse organisaties een nieuw beleid opgesteld ten aanzien van gegevensbescherming.
"Het opleiden van medewerkers en het updaten van het beleid ten aanzien van gegevensbescherming is een positieve ontwikkeling. Echter, als de juiste beveiligingsmaatregelen om datalekken te voorkomen ontbreken, is er geen sprake van een cybersecurity-strategie," vervolgt Ferguson. "Er bestaat geen silver bullet voor cybersecurity: er zijn meerdere technieken nodig om cyberdreigingen het hoofd te bieden. Elk bedrijf dat zich dit niet terdege beseft, voldoet simpelweg niet aan de GDPR-regelgeving."
Ontstaat de verwarring ook niet omdat er veel te veel informatie voorhanden is? Iedereen schrijft erover, maar wat is nu de waarheid en juist voor alle bedrijven?
Het bewustwordingsproces binnen organisaties rondom de must van de GDPR en de betekenis ervan, is inderdaad een hot item. Dit is een proces wat continue dient plaats te vinden en niet zomaar in het begin omdat de GDPR eraan komt.
Daarom is het belangrijk dat alle stappen die men moet uitvoeren zowel nu als straks, goed beschrijft. Liever iets teveel dan te weinig. We hebben nu nog de tijd, maar mei 2018 is er zo!
Precies de reden waarom wij ervoor hebben gekozen om een uitgebreide privacy scan in de markt te zetten. Binnen 1 dag hebben bedrijven een volledig overzicht van waar ze staan op het gebied van privacy. Inclusief te nemen maatregelen waar ze nog werk hebben te verrichten.
