Een kwart van de bedrijven zal niet in staat zijn om binnen 72 uur na een datalek een autoriteit in te lichten. Dat blijkt uit onderzoek van Tripwire. De aankomende General Data Protection Regultation (GDPR) schrijft voor dat dit wel moet gebeuren. Ook blijkt slechts 18 procent een plan te hebben om de klant in te lichten over een datalek.
Aan het onderzoek deden 406 cybersecurity-professionals mee. Zo’n 77 procent van de bedrijven kan een autoriteit binnen 72 uur inlichten. 24 procent claimt zelfs binnen 24 uur de klant op de hoogte te kunnen brengen. De meerderheid denkt wel voorbereid te zijn, maar dat er op het moment van het lek zelf geïmproviseerd moet worden.
Tripwire stelt dat het op het gebied van security kortzichtig is om op het moment zelf nog zaken uit te zoeken. Het bedrijf geeft aan dat de meerderheid van de datalekken en security-incidenten voorkomen kan worden door basis veiligheidsstappen te volgen. Een organisatie leiden zonder een noodplan met GDPR in opkomst is vragen om problemen, stelt Tripwire.
Gevolgen
Het onderzoek toont tevens aan dat 35 procent de kennis van waar de klantendata opgeslagen is als uitstekend definieert. Slechts 21 procent gebruikt hetzelfde begrip voor de bescherming van klantendata. De meeste deelnemers denken dan ook niet volledig voorbereid te zijn op een lek.
Minder dan een vijfde (18 procent) voelt zich volledig voorbereid met een team dat kan werken aan IT, finance en communicatie. Bijna driekwart (73 procent) is niet volledig voorbereid om klanten te beschermen, terwijl een vijfde (22 procent) zich voorbereid voelt om de potentiële financiële straffen na een security-lek te kunnen opvangen.
De Europese richtlijnen voor databescherming zullen vanaf mei definitief gelden. Als bedrijven niet voldoen aan GDPR kunnen er forse boetes volgen. Dit kan resulteren in vier procent van de jaarlijkse omzet, met een maximum van 20 miljoen euro. Vanaf 25 mei gelden de GDPR-regels.