Grote onzekerheid over data in aanloop naar invoer GDPR

Abonneer je gratis op Techzine!

Het wordt nog wat als de General Data Protection Regulation (GDPR) ingevoerd wordt. Vanaf mei 2018 zal de nieuwe Europawijde regelgeving gelden. Bedrijven die dan niet zorgvuldig genoeg omgaan met data, liggen torenhoge boetes in het verschiet. Maar uit onderzoek blijkt keer op keer dat bedrijven lang niet klaar zijn voor de wetgeving.

Citrix liet een onderzoek uitvoeren onder 250 Nederlandse IT Executives en cybersecurity specialisten en keek of de bedrijven er al voor zorgen dat gegevens veilig zijn in overeenstemming met de wetgeving. Dat blijkt niet het geval te zijn en de grote vraag is of bedrijven dat wel op tijd gaan doen.

Verzameling gegevens

Uit het onderzoek blijkt dat het verzamelen van data de gewoonste zaak van de wereld is voor veel bedrijven. Meer dan een kwart bewaart dagelijks de persoonsgegevens van meer dan duizend personen.Maar wat er vervolgens met die gegevens gebeurt, is helaas niet altijd duidelijk. 18,75% van de respondenten heeft bijvoorbeeld geen idee hoe lang die persoonlijke gegevens bewaard worden (15,83% houdt het op 10 jaar of langer).

38,75% van de respondenten zegt intern gebruik te maken van álle persoonlijke gegevens die door het bedrijf worden opgeslagen, voor bijvoorbeeld voorspellende analyses zoals koopgewoonten en voorkeuren. Anderen gebruiken slechts een deel van de beschikbare data; in totaal analyseert 48,58% van de respondenten het gedrag van hun klanten. Hoe veilig deze data is, is maar de vraag.

Delen gegevens

Dat laatste blijkt wel uit de antwoorden die gegeven werden rond het delen van persoonlijke gegevens. Een kwart van de bedrijven deelt persoonsgegevens met partners en bedrijven buiten de eigen organisatie. 13,33 procent doet dat zelfs met meer dan honderd ondernemingen. Daarbij zegt 81,67% volledige controle te behouden over die informatie als die eenmaal is gedeeld – maar de rest geeft toe dat die controle deels verloren gaat.

Slechts 48,75% weet zeker dat hun beleid op dit vlak volledig in overeenstemming is met de GDPR, terwijl 11,25% aangeeft dat dit niet duidelijk is – en dat er ook niet aan gewerkt wordt om daarachter te komen. 26,67% weet het óók niet zeker, maar heeft in elk geval wel de intentie om er werk van te maken.

Wie is verantwoordelijk?

Wie er binnen de organisatie precies verantwoordelijk is voor de naleving van de GDPR, is voor 18,75% van de respondenten een raadsel. Bij de overige respondenten lopen de antwoorden sterk uiteen (18% wijst naar de CEO; 10% noemt de CIO; 5% heeft die verantwoordelijkheid extern belegd), maar duidelijk is wel dat de Data Protection Officer waar de GDPR om vraagt nog lang niet overal in dienst is.

Die DPO is lang niet altijd nodig, maar wel voor bedrijven die veel gegevens verzamelen en verwerken. Uit de resultaten van een Quickscan van Nederland ICT zou blijken dat 40% van de organisaties zo’n DPO in huis moet hebben. In het Citrix onderzoek beschikt nog geen 21% van de 1000+ bedrijven nu over zo’n functionaris. Bij kleinere bedrijven ligt het percentage zelfs rond de 15%.

Hulp nodig

Veel bedrijven hebben dus nog wel hulp nodig om aan de strenge nieuwe regels te voldoen straks. Peter van Leest, Regional Director Citrix Benelux aan het woord: “De kennis van cybersecurity en alles wat daar binnen een organisatie bij komt kijken, moet snel naar een hoger niveau. Bedrijven zijn nog te vaak niet goed op de hoogte van wat er met hun data gebeurt en nemen onvoldoende maatregelen om die data te beschermen.”

De essentie van de eisen die de GDPR stelt, is dat organisaties moeten kunnen aantonen dat ze voldoende inspanningen hebben geleverd om data te beveiligen, meent Van Leest. “Voor veel van de organisaties in ons onderzoek wordt dat nog een hele uitdaging.”