‘Meer dan de helft van de organisaties is niet voorbereid op de GDPR’

Meer dan de helft van de organisaties is nog niet begonnen met het treffen van voorbereidingen om te kunnen voldoen aan de Europese General Data Protection Regulation (GDPR). Dit terwijl de GDPR in mei 2018 wordt ingevoerd.

Dit blijkt uit onderzoek dat Vanson Bourne in opdracht van informatiebeveiliger Veritas Technologies heeft uitgevoerd onder 2.500 technologiebeslissers. De GDPR is bedoeld om wetgeving op het gebied van databeveiliging, dataretentie en goverance gelijk te trekken in alle lidstaten van de Europese Unie (EU). De wet verplicht bedrijven onder andere strenger toezicht te houden op de locatie en wijze waarop gevoelige data zoals persoonlijke gegevens, creditcardgegevens, bankgegevens en medische informatie wordt opgeslagen. De GDPR heeft niet alleen betrekking op Europese bedrijven, maar ook op andere organisaties die actief zijn in de EU.

Wie is verantwoordelijk?
Uit het onderzoek blijkt dat er veel verwarring bestaat over wie verantwoordelijk is voor het voldoen aan de GDPR. 32% van de respondenten geeft aan dat de Chief Information Officer (CIO) hier verantwoordelijk voor is, terwijl 21% naar de Chief Information Security Officer (CISO) wijst. 14% stelt dat de Chief Executive Officer (CEO) verantwoordelijk is en 10% de Chief Data Officer (CDO). Bedrijven zijn vooral bang niet aan de wet te voldoen (bijna 40%) indien zij hun databeleid niet op orde te hebben, terwijl 31% aangeeft bang te zijn voor reputatieschade.

De grootste uitdagingen om aan de GDPR te voldoen zijn volgens respondenten datafragmentatie en het verlies van zicht op data. Vooral de opkomst van onbeheerde cloud gebaseerde opslag en het gebruik van op consumenten gerichte opslagdiensten op de werkvloer leidt tot zorgen. Een kwart van de respondenten geeft toe diensten als Box, Google Drive, Dropbox, EMC Simplity of Microsoft OneDrive te gebruiken voor zakelijke doeleinden. 25% maakt gebruik van niet erkende off-site file opslagdiensten, die door IT-professionals niet goed met erkende tools kunnen worden beheerd.

Dataverlies en handelen van medewerkers
Andere belangrijke zorgen van bedrijven zijn dataverlies (52%), waarbij 48% aangeeft vooral bang te zijn dat data verloren gaat bij de migratie tussen verschillende locaties en systemen. Vier op de tien respondenten geeft daarnaast aan zich zorgen te maken over werknemers die niet goed omgaan met data en hiermee de GDPR schenden. Daarnaast verplicht de GDPR bedrijven verzoeken van gebruikers te behandelen die niet relevante of overbodige data willen laten verwijderen. De combinatie van datafragmentatie en ongestructureerde dataverzameling maakt het voor sommige bedrijven echter nagenoeg onmogelijk om aan dergelijke verzoeken te voldoen.

Het gebrek aan inzicht in data en informatie die buiten officiële bedrijfssystemen staan opgeslagen maakt het moeilijk te voldoen aan de wet en levert substantiële financiële en juridische risico’s op, waarschuwt Veritas Technologies. Dit terwijl bedrijven een boete van maximaal 20 miljoen euro of 4% van de jaaromzet opgelegd kunnen krijgen indien zij de GDPR schenden. Het bedrijf adviseert organisaties dan ook nu te beginnen met het treffen van voorbereidingen op de invoering van de Europese wetgeving.