Ruim de helft van de bedrijven is niet klaar voor invoering GDPR

europese-unie

Meer dan de helft van de organisaties is nog niet begonnen zich voor te bereiden op de invoering van de European General Data Protection Regulation (GDPR). Deze Europese wetgeving wordt in mei 2018 ingevoerd en is bedoeld om de wetgeving op het gebied van databeveiliging, dataretentie en governance in alle lidstaten van de Europese Unie (EU) gelijk te trekken.

Dit blijkt uit onderzoek van Vanson Bourne onder 2.500 technologiebeslissers in opdracht van beveiligingsbedrijf Veritas Technologies. De wet verplicht bedrijven onder andere strenger toe te zien op de wijze waarop en locatie waar gevoelige data wordt opgeslagen. Denk hierbij aan persoonlijke gegevens, financiële gegevens zoals creditcardgegevens en medische data.

Verantwoordelijkheid

Onder respondenten bestaat veel verwarring over de vraag wie verantwoordelijk is voor compliance met de GDPR. De grootste groep (32%) stelt dat de Chief Information Officer (CIO) dit is. 21% zegt dat de Chief Information Security Officer (CISO) verantwoordelijk is, 14% de Chief Executive Officer (CEO) en 10% de Chief Data Officer (CDO).

Datafragmentatie en een gebrek aan zicht op data worden door technologiebeslissers gezien als de grootste uitdagingen voor hun organisatie om te kunnen voldoen aan de GDPR. 35% van de respondenten noemt dit het grootste bron van zorgen. Vooral het zakelijk gebruik van onbeheerde cloud opslagdiensten en opslagdiensten die zijn ontwikkeld voor consumenten baart bedrijven zorgen. Een kwart van de respondenten geeft toe cloud gebaseerde diensten als Box, Google Drive, Dropbox, EMC Simplicity of Microsoft OneDrive te gebruiken, terwijl dit in strijd is met hun bedrijfsbeleid. 25% geeft toe niet erkende off-site opslagdiensten te gebruiken, wat het beheer hiervan door de IT-afdeling bemoeilijkt.

Dataverlies

52% van de respondenten maken zich daarnaast zorgen over dataverlies voor hun bedrijf. 48% geeft aan bezorgd te zijn over dataverlies dat optreedt bij het verplaatsen van data tussen systemen en locaties. Vier op de tien respondenten geeft daarnaast aan zich zorgen te maken over werknemers die niet juist met data omgaan en hiermee de GDPR overtreden.

Onderdeel van de GDPR is ook het recht om vergeten te worden. Bedrijven zijn verplicht verzoeken van gebruikers te behandelen die niet relevante of onnodige data over hen willen laten vernietigen of wijzigen. De combinatie van datafragmentatie en de ongestructureerde wijze waarop bedrijven data verzamelen maakt het voor veel organisaties echter nagenoeg onmogelijk om aan deze verzoeken te voldoen.

Hoge boetes

Veritas Technologies waarschuwt voor de gevolgen die het schenden van de GDPR kan hebben. Zo kunnen bedrijven een boete opgelegd krijgen die kan oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet van een bedrijf. Veritas adviseert bedrijven daarom nu aan de slag te gaan met het treffen van voorbereidingen om zeker te stellen dat zij bij de invoering van de GDPR in mei 2018 aan de Europese wetgeving voldoen.

Meer over
Lees ook
5 tips om klaar te zijn voor DORA en NIS2

5 tips om klaar te zijn voor DORA en NIS2

Willen organisaties klaar zijn voor de nieuwe Europese DORA- en NIS2-richtlijnen, dan is het de hoogste tijd om aan de slag te gaan. Zowel operations en IT als de security teams zullen aardig wat werk moeten verzetten. Beide nieuwe initiatieven zijn in de eerste plaats een juridisch raamwerk, maar toch zijn het vooral IT en security die aan de bak1

Wanneer is sprake van een grootschalige verwerking van persoonsgegevens?

Wanneer is sprake van een grootschalige verwerking van persoonsgegevens?

De Algemene verordening gegevensbescherming (AVG) verplicht organisaties een functionaris voor de gegevensbescherming (FD) aan te stellen en een privacy impact assessment (PIA) uit te voeren. Dit is onder meer verplicht indien sprake is van een grootschalige verwerking van persoonsgegevens die een kernactiviteit van de organisatie is. De AVG defin1

Crowe Horwath Peak neemt MKB’ers mee in de wereld van de AVG

Crowe Horwath Peak neemt MKB’ers mee in de wereld van de AVG

De nieuwe Algemene Verordening Gegevensbescherming (AVG) treedt in mei 2018 in werking. Deze nieuwe Europese privacywet heeft impact op veel organisaties, die tijdig van start zullen moeten gaan met de implementatie van de AVG. Geert-Jan Krol, IT-advisor bij Crowe Horwath Peak, heeft bezoekers van de Seminar IT Privacy & Security daarom op 201