Onderzoek: ‘GDPR heeft praktijken voor gegevensbeheer weinig veranderd’

Volgens onderzoek van databeschermingsbedrijf Varonis Systems heeft de Europese privacywetgeving GDPR in het eerste jaar weinig veranderd aan de praktijken voor gegevensbeheer. Het gemiddelde grote bedrijf laat bijvoorbeeld ongeveer 17 procent van zijn gevoelige bestanden openstaan voor iedere werknemer.

Varonis concludeerde dit in zijn jaarlijkse audit, schrijft Silicon Angle. Ruim de helft van de bedrijven die geaudit werden had ruim duizend gevoelige bestanden open staan. Hetzelfde aantal liet ruim 100.000 mappen staan met vrijwel geen regels over toegang.

Het rapport van Varonis is gebaseerd op audits bij 785 bedrijven. Daarbij gebruikt het geautomatiseerde processen om toestemmingen van bestanden en mappen te scannen, evenals om keywords te identificeren die een document mogelijk als gevoelig classificeren. De analyse omvatte in totaal 54 miljard bestanden.

Het wordt erger

Niet alleen concludeerde Varonis dat de toegangscontroles in de meeste organisaties zwak zijn, maar ook dat 40 procent van de bedrijven ruim duizend actieve accounts in hun access directories hebben staan van mensen die er niet langer werken. 53 procent van de data van een gemiddeld bedrijf is bovendien verouderd en zou niet langer bewaard moeten worden. Verlaten of “ghost”-accounts worden gezien als een grote kwetsbaarheid. Verouderde data kan ook een probleem zijn volgens de GDPR.

Bovendien wordt de situatie steeds erger, blijkt uit een vergelijking met het laatste rapport van een vergelijkbaar onderzoek dat Varonis vorig jaar uitvoerde. 22 procent van de mappen die het bedrijf bekeek stonden voor iedereen open, tegenover 21 procent vorig jaar. Het aantal mappen van een gemiddeld bedrijf met gevoelige, maar eenvoudig toegankelijke data steeg naar 53 procent, tegenover 41 procent in 2018.

Het volgen en reguleren van data is in de meeste organisaties vrijwel onmogelijk, stelt Brian Vecci, field chief technology officer bij Varonis. Persoonlijke data die in eerste instantie uit een webformulier komt, kan later gekopieerd worden in een spreadsheet die naar meerdere mensen gemaild wordt. Daardoor ontstaan dubbele records die onmogelijk te controleren zijn.