‘Meer dan de helft van de bedrijven voldoet nog niet aan de AVG’

0
402

60% van de incidenten is het gevolg van menselijke fouten

52% van de bedrijven voldoet meer dan een jaar na de implementatie nog niet volledig aan de Algemene Verordening Gegevensbescherming. Dat blijkt onderzoek door de internationaal opererende leverancier van oplossingen voor gegevensbeveiliging Egress onder Britse verantwoordelijken voor de implementatie van de AVG-maatregelen.

De Nederlandse situatie is al even zorgwekkend, geeft het Nederlandse Egress-team aan.
Uit het onderzoek blijkt dat 37% van de respondenten de afgelopen 12 maanden een incident heeft gemeld bij de ICO, de Britse Autoriteit Persoonsgegevens, en dat 17% er zelfs meerdere heeft gemeld. Verder blijkt dat 53% van de middelgrote bedrijven datalekken heeft gemeld, tegen 36% van de kleine bedrijven en slechts 23% van de grotere ondernemingen.*

In het verlengde daarvan geeft een opmerkelijk laag percentage (39,5%) van de middelgrote bedrijven aan volledig ‘GDPR compliant’ te zijn, tegen 56% van de grote en 51% van de kleine bedrijven. Al met al duiden deze cijfers erop dat middelgrote bedrijven duidelijk achterblijven bij de rest op het gebied van de AVG.

“Ik realiseer me dat ik me op Britse cijfers baseer, maar er is geen reden om aan te nemen dat de situatie in Nederland heel anders is,” zegt Axel van Drongelen, General Manager van Egress voor de Benelux. “De voortdurende stijging van het aantal datalekken dat gemeld wordt door de Autoriteit Persoonsgegevens (AP) is daar een goede indicator van. In 2018, het jaar waarin AVG van kracht werd, verdubbelde het aantal gemelde datalekken tot bijna 21.000. De eerste boetes zijn al uitgeschreven door het AP, bijvoorbeeld aan het Haga Ziekenhuis dat zijn patiëntendossiers intern niet goed genoeg beveiligd had.”


Van Drongelens uitspraak wordt kracht bijgezet door een recent nieuwsbericht waarin de Autoriteit Persoonsgegevens bekendmaakt dat ze in het eerste halfjaar van 2019 al meer dan 15.000 klachten van burgers ontvangen heeft over mogelijke privacyschendingen door bedrijven en instanties. In totaal ging het om 15.313 klachten, een toename van 59 % ten opzichte van het laatste halfjaar van 2018. De AP schrijft de toename van klachten toe aan de nieuwe mogelijkheden om privacyklachten in te dienen, maar ook aan het feit dat Nederland een ‘sterk gedigitaliseerd land’ is.

Onderzoek

Andere belangrijke bevindingen uit het onderzoek onder de Britse respondenten zijn:

  • Slechts de helft van de besluitvormers (48%) meldt dat zijn bedrijf volledig ‘AVG proof’ is
  • 42% beoordeelt zijn organisatie als ‘grotendeels compliant’
  • Meer dan een derde (35%) geeft aan dat de AVG de afgelopen 12 maanden minder prioriteit heeft gekregen
  • 28% geeft aan de afgelopen 12 maanden vooral geïnvesteerd te hebben in de implementatie van nieuwe processen voor de verwerking van gevoelige gegevens
  • Daarnaast investeerde men in: beter inzicht in welke gegevens worden verzameld en waarom (18%); de aanstelling van een Data Protection Officer (functionaris voor gegevensbescherming) of ander personeel belast met de AVG (18%); nieuwe technologie (17%)
  • 7% geeft aan dat ‘opleiding en training’ de grootste kostenpost is.

Tanende aandacht voor de AVG in de afgelopen 12 maanden

Zo’n 35% van de respondenten geeft aan dat zij het merendeel van de AVG-gerelateerde activiteiten hebben uitgevoerd in de aanloop naar de deadline in mei 2018. Sindsdien is de aandacht voor de AVG afgenomen. Slechts 6% geeft aan dat het voornemen van de ICO om British Airways en Marriott een boete op te leggen de bewustwording rond het onderwerp heeft vergroot. Terwijl 70% van de ondervraagden aangeeft dat hun organisatie zeer positief was over de AVG, zegt slechts 62% dat het bedrijf de AVG het afgelopen jaar met topprioriteit heeft opgepakt.


De CEO van Egress, Tony Pepper, zegt: “Waar we eerst nog enorme haast hadden om de deadline van mei 2018 te halen, lijken bedrijven nu een houding te hebben aangenomen van ‘bijna compliant is goed genoeg’. Die houding zien we niet alleen in het VK, ik hoor deze tendens ook terug van bijvoorbeeld ons Benelux-team. Een flink percentage besluitvormers geeft aan dat de focus op de AVG in de afgelopen 12 maanden is afgenomen. De wachttijd van meer dan een jaar tussen de implementatie van de AVG en de eerste actie van overheidswege is daar debet aan; het spreekwoord ‘blaffende honden bijten niet’ lijkt door veel bedrijven buiten de security-sector geciteerd te worden als ze het over de AVG hebben.

Hoewel de aangekondigde torenhoge boetes voor British Airways en Marriott wel een schokgolf teweeg brachten, blijkt slechts 6% actie ondernomen te hebben om elk risico te vermijden. Deze aankondigingen hadden toch echt een heel duidelijke waarschuwing moeten zijn dat geen enkel bedrijf het zich kan permitteren niet compliant te zijn.”
Van Drongelen voegt daar aan toe: “In Nederland zien we heel duidelijk de behoefte ontstaan aan een organisatie die verantwoordelijk is voor de uitgifte van AVG-certificaten. Zonder een toezichthoudend orgaan is een AVG-certificaat een papiertje zonder waarde. Op dit moment is het als bedrijf nog moeilijk te bewijzen dat je compliant bent, hoe goed je ook je best hebt gedaan.”


Menselijke fouten voorkomen om datalekken te voorkomen

Gevraagd naar hun grootste compliance-investering, gaven de respondenten de volgende antwoorden:

  • Implementeren van nieuwe processen voor de verwerking van gevoelige gegevens (28%)
  • Betere controle over welke gegevens we verzamelen en om welke redenen (18%)
  • In dienst nemen van een functionaris voor gegevensbescherming of ander relevant personeel (18%)
  • Nieuwe technologie (17%)
  • Implementeren van nieuwe procedures voor het melden van incidenten (8%)
  • Opleiding en training van eindgebruikers (7%)

Ondanks deze investeringen heeft 37% van de Britse respondenten in de afgelopen 12 maanden minstens één incident gemeld bij de ICO. Uit analyse van de ICO-data** blijkt dat  60% van de beveiligingsincidenten waarbij sprake is van inbreuk op persoonsgegevens in de eerste zes maanden van 2019 veroorzaakt is door menselijke fouten.

Pepper: “De overgrote meerderheid van de respondenten (96%) geeft aan dat hun organisatie de afgelopen 12 maanden heeft geïnvesteerd in de naleving van de AVG, met de implementatie van nieuwe processen als topprioriteit. Terwijl we weten dat de primaire oorzaak van datalekken menselijke fouten betreft. Het is dus duidelijk dat we een andere strategie moeten kiezen om het tij te keren. Er is behoefte aan oplossingen die het risico op menselijk falen wegnemen, zoals beveiligings- en DLP-technologie die aan de hand van het gedrag van de gebruiker de juiste strategie kiest.

Daarmee wordt de gebruiker behoed voor bijvoorbeeld phishing-aanvallen die malware of gestolen inloggegevens tot gevolg hebben, en voor verkeerd geadresseerde e-mails of ten onrechte gedeelde documenten. Als we als bedrijfsleven boetes willen voorkomen, moeten we zorgen dat de techniek de mens ondersteunt, en niet andersom.”

Bron: Egress