Datalekken nauwelijks gemeld door onwetendheid over GDPR-regels

Wereldwijd hebben organisaties nog steeds moeite om te voldoen aan de GDPR-regels. De nieuwe Europese privacywetgeving gaat gepaard met veel implicaties. De regelgevening dwingt bedrijven in onder meer de VS, China en Japan zich te houden aan tal van regels.

Veel bedrijven tasten wereldwijd nog steeds in het duister rondom de soms geheimzinnige regels van de Europese GDPR. Dit blijkt uit het onderzoek Keeping pace in the GDPR race in opdracht van het internationaal advocatenkantoor McDermott Will & Emery, zoals uitgevoerd door het Ponemon Institute, aldus Tech Republic.

Uitdaging

Ruim 50 procent van de respondenten bleek sinds het in werking treden van de wet afgelopen jaar tenminste één datalek van persoonsgegevens te hebben gehad. Volgens de GDPR-regels moeten deze datalekken worden gemeld, maar dat gebeurt voor het overgrote deel nog steeds niet. Een zeer groot aantal respondenten buiten de EU, zoals China en Japan, geven aan dat ze nog steeds niet bekend zijn met grote delen van de Europese regelgeving.

Veel organisaties ervaren het proces rond het melden van datalekken als de grootste uitdaging. Zo’n 25 procent van de respondenten zegt nauwelijks voorbereid te zijn en weinig vertrouwen te hebben in het omgaan met GDPR-regels rondom datalekken. Nog geen 20 procent heeft er vertrouwen in dat hun organisatie binnen 72 uur een datalek meldt aan een EU-regelgever. 

GDPR-functionaris

Wel investeren veel bedrijven inmiddels in maatregelen om de GDPR te kunnen naleven, al worstelen vele nog steeds met de nieuwe realiteit van gegevensbeheer. Zo zijn er speciaal GDPR-functionarissen aangesteld, die zich met de nieuwe Europese regelgeving bezighouden. Dat is bij 86 procent van de respondenten het geval. Ook meer dan 50 procent van de organisaties in niet-EU-landen hebben speciaal iemand hiervoor aangesteld.

Dat is geen luxe, wetende dat de helft van de ondervraagden het afgelopen jaar te maken had met een datalek. Volgens de GDPR moeten deze wettelijk worden gemeld. Toch gebeurde dat in veel van de gevallen niet. Slechts 39 procent van de bedrijven in de VS en 45 procent van de EU-bedrijven hebben zich daadwerkelijk ingespannen om een ​​ontdekte inbreuk aan een GDPR-regelgever te melden.

Forensische professionals

“Bedrijven zouden baat hebben bij het uitvoeren van risicobeoordelingen en het inschakelen van forensische professionals. Zij kunnen kwetsbaarheden identificeren en verbeterde processen en remediëring aanbevelen. Als dit gebeurt onder procesrecht of voor een advocaat, kunnen organisaties zichzelf verder beveiligen,” aldus Mark Schreiber, partner en co-leider van McDermott.

Bovendien wenden veel respondenten zich steeds vaker tot cyberrisicoverzekeringen om hun gebrek aan naleving te compenseren. Ondanks dat vele ook aangeven eigenlijk geen idee te hebben of hun polissen GDPR-boetes en straffen überhaupt dekken. Minder dan de helft van de respondenten zegt dat hun verzekeringspolissen wel AVG-gerelateerde kosten dekken.

 

Lees ook: GDPR: België verwerkt bijna 50 keer minder datalekmeldingen dan Nederland