‘‘State of the Art’-eis uit GDPR zorgt voor verwarring’

Bedrijven over de hele wereld hebben nog maar 6 maanden totdat de General Data Protection Regulation (GDPR of AVG, Algemene Verordening Gegevensbescherming) definitief zijn intrede doet. Onder bedrijven bestaat echter nog veel onduidelijkheid heerst omtrent de GDPR-regelgeving. Daarbij zaait met name het begrip ‘State of the Art’-beveiligingsregels verwarring.

Dit blijkt uit onderzoek van Trend Micro onder 1000 ondervraagde IT-managers. De definitie die IT-managers hanteren van het begrip ‘State of the Art’ security blijkt sterk te variëren:

• Terwijl 29 procent van de ondervraagde Nederlandse bedrijven denkt dat zij aan de eis voldoen door security in te kopen bij een gerenommeerde marktleider, denkt 26 procent van de ondervraagde Nederlandse bedrijven dat ze eraan voldoen door producten te gebruiken die goedgekeurd zijn door onafhankelijke derde partijen.
• Daarnaast denkt 12 procent van de ondervraagde Nederlandse bedrijven dat het begrip ‘State of the Art’ verwijst naar producten die goed beoordeeld worden door analistenrapporten en 13 procent denkt dat het gaat om start-ups die innovatieve technologieën aanbieden.
• Zorgwekkend genoeg houdt 11 procent van de Nederlandse IT-managers zich meer bezig met de prijs van beveiligingsproducten dan met de vraag of deze producten voldoen aan de GDPR-regelgeving. Acht procent van de ondervraagden bleek helemaal niet in staat een definitie te geven van het begrip ‘State of the Art’ security.

‘Geef meer duidelijkheid’

“Er zijn verschillende hindernissen die bedrijven moeten overwinnen voordat ze compliant zijn met de GDPR-eisen. Ontwaren wat ‘State of the Art’ nu eigenlijk betekent is slechts één van die hindernissen,” aldus Rik Ferguson, vice president security research bij Trend Micro. “Handhavingsinstanties zouden verdere verduidelijking moeten bieden over wat 'State of the Art' precies betekent, zodat bedrijven in mei 2018 geen boete riskeren.”

Een ander obstakel dat bedrijven tegenkomen is de nieuwe termijn waarbinnen datalekken moeten worden gemeld bij instanties en bij de klanten die door het datalek getroffen zijn. Op dit gebied blijkt nog veel werk aan de winkel. Enkele resultaten uit het onderzoek zijn:

• Slechts 60 procent van de Nederlandse bedrijven heeft een protocol opgesteld om klanten te informeren in geval van een datalek.
• Geheel tegen de GDPR-richtlijnen in heeft 24 procent van de bedrijven wel een protocol om instanties op de hoogte te stellen van een datalek, maar niet voor het informeren van hun klanten.
• Bedrijven zijn momenteel ook niet in staat om tegemoet te komen aan het recht van de klant om vergeten te worden, ondanks het feit dat bijna de helft (46 procent) van de Nederlandse bedrijven aangeeft dat hun klanten vragen om meer transparantie met betrekking tot wat er met hun gegevens gebeurt.
• 71 procent van de Nederlandse bedrijven heeft een protocol rondom het recht om vergeten te worden als het gaat om data die zij zelf verzamelen. Slechts 60 procent van de Nederlandse bedrijven kan dergelijke verzoeken verwerken over data die partners verzamelen.
• Daarnaast kan slechts 57 procent verzoeken verwerken rondom data die door hun cloud service providers worden opgeslagen en kan 53 procent verzoeken inwilligen die gaan over data die door third parties worden opgeslagen.

‘Het gaat niet alleen op technologie’

Hoewel GDPR bedrijven verplicht stelt tot het inzetten van ‘State of the Art’-beveiligingstechnologieën, zorgt het ontbreken van een specifieke definitie hiervan voor verwarring.

• Veel gebruikte technologieën die door Nederlandse organisaties worden ingezet, zijn data leak prevention- (26 procent) en remote wipe-technologie (26 procent).
• Bovendien versleutelt 24 procent hun wachtwoorden of maakt gebruik van hardware lockdowns in de strijd tegen geïnfecteerde USB-sticks.

Het gaat echter niet alleen om technologie. Investeren in kennis is ook een prioriteit vanuit de GDPR. Uit het onderzoek blijkt dat slechts een derde (33 procent) van de Nederlandse organisaties bezig is het bewustzijn rondom databeveiliging onder zijn medewerkers te vergroten. Daarnaast heeft 21 procent van de Nederlandse organisaties een nieuw beleid opgesteld ten aanzien van gegevensbescherming.

‘Er bestaat geen silver bullet’

"Het opleiden van medewerkers en het updaten van het beleid ten aanzien van gegevensbescherming is een positieve ontwikkeling. Echter, als de juiste beveiligingsmaatregelen om datalekken te voorkomen ontbreken, is er geen sprake van een cybersecurity-strategie," vervolgt Ferguson. "Er bestaat geen silver bullet voor cybersecurity: er zijn meerdere technieken nodig om cyberdreigingen het hoofd te bieden. Elk bedrijf dat zich dit niet terdege beseft, voldoet simpelweg niet aan de GDPR-regelgeving.”