7 september 2017

Onderzoek Trend Micro: Boardroom doet of zijn neus bloedt met betrekking tot GDPR in Nederland 

●    Slechts 25% van het Nederlandse management is betrokken bij GDPR-compliance
●    53% weet niet dat e-mail marketingdatabases persoonsgegevens bevatten
●    61% weet niets over de boetes die verbonden zijn aan de GDPR-wetgeving
 
Vianen - Het management van veel Nederlandse bedrijven gaat niet erg serieus om met de General Data Protection Regulation-wetgeving (GDPR) en waant zich onterecht veilig als het gaat om compliancy met deze wetgeving. Dit is de belangrijkste conclusie uit het meest recente onderzoek van Trend Micro dat daarvoor wereldwijd meer dan 1.000 IT-beslissers onderzocht in bedrijven met 500+ medewerkers.
 
Het onderzoek laat zien dat er aardig wat kennis aanwezig is over de aanleiding voor GDPR. Zo weet zeker 93 procent van de onderzochte professionals in Nederland dat ze aan de regelgeving moet voldoen en 72 procent heeft zelf kennis genomen van wat exacte regels. Bij 61 procent van de Nederlandse bedrijven is men ervan overtuigd dat de data niet veiliger opgeslagen kan worden.
 
Wat zijn eigenlijk persoonsgegevens?
Ondanks dat bestaat er ook in Nederland nogal wat onduidelijkheid over welke ‘persoonsgegevens’ ze nu precies goed moeten beschermen. Dat begint al bij de inventarisatie. 23 procent van de Nederlandse respondenten kan om te beginnen niet aangeven welke persoonsgegevens ze hebben opgeslagen en waar die zijn opgeslagen. Van alle respondenten die onderzocht zijn in ons land weet vervolgens 22 procent niet dat een geboortedatum geclassificeerd moet worden als ‘persoonsgegeven’. Erger nog, meer dan de helft (53 procent) van de Nederlandse IT-beslissers zou informatie in hun e-mail marketingdatabases niet als persoonsgegeven bestempelen. Als het gaat om postadressen stijgt dat percentages tot 71 procent en voor e-mailadressen zelfs tot een alarmerende 78 procent. Organisaties die dergelijke gegevens - die hackers vaak genoeg munitie geven voor identiteitsdiefstal - niet goed beveiligen, riskeren hoge boetes.
 
Dikke boetes
Als het gaat over de boetes, kunnen veel Nederlandse organisaties nog voor verrassingen komen te staan. Meer dan 60 procent weet niet dat het hierbij om bedragen gaat die tussen de 2 en 4 procent van hun jaarlijkse omzet kunnen liggen. Ondanks (of dankzij?) dit gebrek aan kennis over de wetgeving en mogelijke boetes maakt zeker 24 procent van de Nederlandse organisaties zich niet druk over een mogelijke bekeuring. De kans is reëel dat ze daar anders over denken wanneer een datalek heeft plaatsgevonden en ze daadwerkelijk bekeurd worden. Vooral wanneer klanten, prospects en autoriteiten vragen gaan stellen over hun systemen, de bedrijfsvoering en het management dat daarvoor verantwoordelijk is.
 
“Het ontbreken van kennis over GDPR, dat duidelijk naar voren komt in dit onderzoek, is schokkend. Geboortedata, e-mailadressen, marketingdatabases en postadressen zijn allemaal belangrijke klantgegevens en het is zorgelijk dat zo veel Nederlandse organisaties dat, ondanks het zelfvertrouwen, gewoon niet weten”, zegt Rik Ferguson, VP Security Research van Trend Micro. “Als organisaties deze gegevens niet beschermen, nemen ze niet alleen hun klanten niet serieus, ze zijn zeker niet klaar voor GDPR.”
 
De verwarring gaat echter nog verder. Trend Micro vroeg Nederlandse ondernemingen tevens wie verantwoordelijk is voor het verlies van grote hoeveelheden EU-data door een grote Amerikaanse service provider. Slecht 10 procent kon daarop het correcte antwoord geven dat beide partijen evenveel verantwoordelijkheid dragen. Dat is iets slechter dan het wereldwijde gemiddelde van een magere 14 procent. 47 procent van de Nederlandse organisaties denkt dat de boete betaald moet worden door de eigenaar van de EU-gegevens, terwijl 26 procent juist denkt dat de Amerikaanse service provider de fout in is gegaan.
 
Wie is verantwoordelijk?
Duidelijk is ook dat Nederlandse ondernemingen niet scherp hebben wie binnen de eigen organisatie verantwoordelijk is voor compliance aan deze regelgeving. Van de respondenten uit Nederland denkt 26 procent dat de CEO verantwoordelijk is voor GDPR-compliancy en slechts 28 procent vindt dat dat de taak is van de CISO en/of het security team. Het C-level in Nederland lijkt echter nog niet echt warm te lopen voor GDPR. Slechts 10 procent van de Nederlandse managers houdt zich actief met dit onderwerp bezig.
 
“Met nog maar negen maanden te gaan voordat GDPR in werking treedt, zou dit een van de hoofdpunten moeten zijn op de agenda van bestuurders. De resultaten van dit onderzoek laten echter zien men het onderwerp lijkt te negeren. Wanneer bedrijven deze regelgeving niet serieus nemen, kunnen ze daadwerkelijk een boete krijgen die een aanzienlijk deel van hun omzet omvat. Het is zaak dat de C-suite GDPR gaat zien als een business-uitdaging in plaats van een security-probleem voordat het te laat is”, vervolgt Ferguson. “Het voorbereiden op GDPR is een enorme klus. Van investeren in state of the art technologie tot en met het implementeren van regels rondom dataprotectie en notificaties. Die voorbereiding is echter nutteloos als bedrijven niet weten om welke data het precies gaat en wie daarvoor verantwoordelijk is. In de hele markt is er te weinig kennis over dit onderwerp en dat moet veranderen.”
 
Moderne technologie
Nieuwe bedreigingen blijven bedrijven op allerlei verschillende manieren lastig vallen. Veel bedrijven hebben niet alleen een gebrek aan expertise om daarmee om te gaan, ze beschikken meestal ook niet over de juiste technologie om dat te doen. GDPR verplicht bedrijven om de benodigde, moderne technologie te implementeren om goed om te kunnen gaan met risico’s. Toch heeft slechts 20 procent van de Nederlandse bedrijven geavanceerde technologie in huis om indringers op hun netwerk op te kunnen sporen. 26 procent heeft encryptietechnologie geïnstalleerd en 16 procent van de Nederlandse ondernemingen heeft geïnvesteerd in data leak prevention-technologie.

-----------------------------------------------
 
Over het onderzoek
De resultaten zijn gebaseerd op gemeenschappelijk onderzoek van Trend Micro en Opinium. Tussen 22 mei en 28 juni 2017 zijn 1.132 online interviews afgenomen met IT-beslissers in bedrijven met 500+ medewerkers. In totaal zijn elf verschillende landen meegenomen in het onderzoek: te weten: de VS, de UK, Frankrijk, Italië, Spanje, Nederland, Duitsland, Polen, Zweden, Oostenrijk en Zwitserland. Respondenten hebben C-level- of senior/middle managementposities en werken in diverse sectoren, waaronder retail, financiële dienstverlening, de publieke sector, media en de bouw.

Over Trend Micro
Trend Micro Inc. is wereldwijde specialist op het gebied van beveiligingssoftware en zorgt voor een veilige uitwisseling van digitale informatie. De oplossingen voor consumenten, bedrijven en overheden bieden een gelaagde content-beveiliging voor optimale bescherming van informatie op mobiele apparaten, endpoints, gateways, servers en in de cloud. Trend Micro zorgt voor slimme bescherming van informatie, met behulp van een innovatieve beveiligingstechnologie die eenvoudig te gebruiken en beheren is en past binnen een veranderend ecosysteem. Alle oplossingen worden ondersteund door het Trend Micro Smart Protection Network. Deze cloud-gebaseerde, wereldwijde threat intelligence wordt ondersteund door meer dan 1.200 beveiligingsexperts over de hele wereld. Voor meer informatie: blog.trendmicro.nl en trendmicro.nl

Voor meer informatie
Trend Micro
Ilona van Ginkel
Tel: 0347 358 430
E-mail: ilona_van_ginkel(at) trendmicro-europe.com

Whizpr
Renée Rijken / Winnie Silvertand / Mandy Willemsen
Tel: 0317 410 483
E-mail: trendmicro(at)whizpr.nl

image
 
 
 
 
Trend Micro - Whizpr
 
 
 
Geen berichten meer ontvangen van ons? Klik hier.