Ruim de helft van de bedrijven is niet voorbereid op invoering GDPR

Meer dan de helft van de organisaties is nog niet begonnen zich voor te bereiden op de invoering van de European General Data Protection Regulation (GDPR). Deze Europese wetgeving wordt in mei 2018 ingevoerd en is bedoeld om de wetgeving op het gebied van databeveiliging, dataretentie en governance in alle lidstaten van de Europese Unie (EU) gelijk te trekken.

Dit blijkt uit onderzoek van Vanson Bourne onder 2.500 technologiebeslissers in opdracht van beveiligingsbedrijf Veritas Technologies. De wet verplicht bedrijven onder andere strenger toe te zien op de wijze waarop en locatie waar gevoelige data wordt opgeslagen. Denk hierbij aan persoonlijke gegevens, financiële gegevens zoals creditcardgegevens en medische data.

Verantwoordelijkheid

Onder respondenten bestaat veel verwarring over de vraag wie verantwoordelijk is voor compliance met de GDPR. De grootste groep (32%) stelt dat de Chief Information Officer (CIO) dit is. 21% zegt dat de Chief Information Security Officer (CISO) verantwoordelijk is, 14% de Chief Executive Officer (CEO) en 10% de Chief Data Officer (CDO).

Datafragmentatie en een gebrek aan zicht op data worden door technologiebeslissers gezien als de grootste uitdagingen voor hun organisatie om te kunnen voldoen aan de GDPR. 35% van de respondenten noemt dit het grootste bron van zorgen. Vooral het zakelijk gebruik van onbeheerde cloud opslagdiensten en opslagdiensten die zijn ontwikkeld voor consumenten baart bedrijven zorgen. Een kwart van de respondenten geeft toe cloud gebaseerde diensten als Box, Google Drive, Dropbox, EMC Simplicity of Microsoft OneDrive te gebruiken, terwijl dit in strijd is met hun bedrijfsbeleid. 25% geeft toe niet erkende off-site opslagdiensten te gebruiken, wat het beheer hiervan door de IT-afdeling bemoeilijkt.

Dataverlies

52% van de respondenten maken zich daarnaast zorgen over dataverlies voor hun bedrijf. 48% geeft aan bezorgd te zijn over dataverlies dat optreedt bij het verplaatsen van data tussen systemen en locaties. Vier op de tien respondenten geeft daarnaast aan zich zorgen te maken over werknemers die niet juist met data omgaan en hiermee de GDPR overtreden.

Onderdeel van de GDPR is ook het recht om vergeten te worden. Bedrijven zijn verplicht verzoeken van gebruikers te behandelen die niet relevante of onnodige data over hen willen laten vernietigen of wijzigen. De combinatie van datafragmentatie en de ongestructureerde wijze waarop bedrijven data verzamelen maakt het voor veel organisaties echter nagenoeg onmogelijk om aan deze verzoeken te voldoen.

Hoge boetes

Veritas Technologies waarschuwt voor de gevolgen die het schenden van de GDPR kan hebben. Zo kunnen bedrijven een boete opgelegd krijgen die kan oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet van een bedrijf. Veritas adviseert bedrijven daarom nu aan de slag te gaan met het treffen van voorbereidingen om zeker te stellen dat zij bij de invoering van de GDPR in mei 2018 aan de Europese wetgeving voldoen.