Onderzoek van Trend Micro: begrip ‘State of the Art’ uit GDPR-regelgeving zaait verwarring bij bedrijven

Vianen – Bedrijven over de hele wereld hebben nog maar 6 maanden totdat de General Data Protection Regulation (GDPR of AVG, Algemene Verordening Gegevensbescherming) definitief zijn intrede doet. Een recent onderzoek van Trend Micro Incorporated (TYO: 4704; TSE: 4704), wereldwijd leider op het gebied van cybersecurity-oplossingen, heeft aangetoond dat er onder bedrijven nog veel onduidelijkheid heerst omtrent de GDPR-regelgeving. Daarbij zaait met name het begrip ‘State of the Art’-beveiligingsregels verwarring. Eerder liet het onderzoek al zien dat het management van veel Nederlandse bedrijven zich onterecht veilig waant als het gaat om compliancy met de GDPR-wetgeving.

Het onderzoek van Trend Micro laat zien dat er onder de 1000 ondervraagde IT-managers wereldwijd veel variatie is over wat zij hanteren als definitie van het begrip ‘State of the Art’ security[1].

●    Terwijl 29 procent van de ondervraagde Nederlandse bedrijven denkt dat zij aan de eis voldoen door security in te kopen bij een gerenommeerde marktleider, denkt 26 procent van de ondervraagde Nederlandse bedrijven dat ze eraan voldoen door producten te gebruiken die goedgekeurd zijn door onafhankelijke derde partijen.

●    Daarnaast denkt 12 procent van de ondervraagde Nederlandse bedrijven dat het begrip ‘State of the Art’ verwijst naar producten die goed beoordeeld worden door analistenrapporten en 13 procent denkt dat het gaat om start-ups die innovatieve technologieën aanbieden.

●    Zorgwekkend genoeg houdt 11 procent van de Nederlandse IT-managers zich meer bezig met de prijs van beveiligingsproducten dan met de vraag of deze producten voldoen aan de GDPR-regelgeving. Acht procent van de ondervraagden bleek helemaal niet in staat een definitie te geven van het begrip ‘State of the Art’ security.

“Er zijn verschillende hindernissen die bedrijven moeten overwinnen voordat ze compliant zijn met de GDPR-eisen. Ontwaren wat ‘State of the Art’ nu eigenlijk betekent is slechts één van die hindernissen,” aldus Rik Ferguson, vice president security research bij Trend Micro. “Handhavingsinstanties zouden verdere verduidelijking moeten bieden over wat ‘State of the Art’ precies betekent, zodat bedrijven in mei 2018 geen boete riskeren.”

Een ander obstakel dat bedrijven tegenkomen is de nieuwe termijn waarbinnen datalekken moeten worden gemeld bij instanties en bij de klanten die door het datalek getroffen zijn.

●    Slechts 60 procent van de Nederlandse bedrijven heeft een protocol opgesteld om klanten te informeren in geval van een datalek.

●    Geheel tegen de GDPR-richtlijnen in heeft 24 procent van de bedrijven wel een protocol om instanties op de hoogte te stellen van een datalek, maar niet voor het informeren van hun klanten.

●    Bedrijven zijn momenteel ook niet in staat om tegemoet te komen aan het recht van de klant om vergeten te worden, ondanks het feit dat bijna de helft (46 procent) van de Nederlandse bedrijven aangeeft dat hun klanten vragen om meer transparantie met betrekking tot wat er met hun gegevens gebeurt.

●    71 procent van de Nederlandse bedrijven heeft een protocol rondom het recht om vergeten te worden als het gaat om data die zij zelf verzamelen. Slechts 60 procent van de Nederlandse bedrijven kan dergelijke verzoeken verwerken over data die partners verzamelen.

●    Daarnaast kan slechts 57 procent verzoeken verwerken rondom data die door hun cloud service providers worden opgeslagen en kan 53 procent verzoeken inwilligen die gaan over data die door third parties worden opgeslagen.

Hoewel GDPR bedrijven verplicht stelt tot het inzetten van ‘state of the art’-beveiligingstechnologieën, zorgt het ontbreken van een specifieke definitie hiervan voor verwarring.

●    Veel gebruikte technologieën die door Nederlandse organisaties worden ingezet, zijn data leak prevention- (26 procent) en remote wipe-technologie (26 procent).

●    Bovendien versleutelt 24 procent hun wachtwoorden of maakt gebruik van hardware lockdowns in de strijd tegen geïnfecteerde USB-sticks.

Het gaat echter niet alleen om technologie. Investeren in kennis is ook een prioriteit vanuit de GDPR. Uit het onderzoek blijkt dat slechts een derde (33 procent) van de Nederlandse organisaties bezig is het bewustzijn rondom databeveiliging onder zijn medewerkers te vergroten. Daarnaast heeft 21 procent van de Nederlandse organisaties een nieuw beleid opgesteld ten aanzien van gegevensbescherming.

“Het opleiden van medewerkers en het updaten van het beleid ten aanzien van gegevensbescherming is een positieve ontwikkeling. Echter, als de juiste beveiligingsmaatregelen om datalekken te voorkomen ontbreken, is er geen sprake van een cybersecurity-strategie,” vervolgt Ferguson. “Er bestaat geen silver bullet voor cybersecurity: er zijn meerdere technieken nodig om cyberdreigingen het hoofd te bieden. Elk bedrijf dat zich dit niet terdege beseft, voldoet simpelweg niet aan de GDPR-regelgeving.”

———-

De resultaten zijn gebaseerd op gemeenschappelijk onderzoek van Trend Micro en Opinium. Tussen 22 mei en 28 juni 2017 zijn 1.132 online interviews afgenomen met IT-beslissers in bedrijven met 500+ medewerkers. In totaal zijn elf verschillende landen meegenomen in het onderzoek, te weten: de VS, de UK, Frankrijk, Italië, Spanje, Nederland, Duitsland, Polen, Zweden, Oostenrijk en Zwitserland. Respondenten hebben C-level- of senior/middle managementposities en werken in diverse sectoren, waaronder retail, financiële dienstverlening, de publieke sector, media en de bouw.

Trend Micro Inc. is wereldwijde specialist op het gebied van beveiligingssoftware en zorgt voor een veilige uitwisseling van digitale informatie. De oplossingen voor consumenten, bedrijven en overheden bieden een gelaagde content-beveiliging voor optimale bescherming van informatie op mobiele apparaten, endpoints, gateways, servers en in de cloud. Trend Micro zorgt voor slimme bescherming van informatie, met behulp van een innovatieve beveiligingstechnologie die eenvoudig te gebruiken en beheren is en past binnen een veranderend ecosysteem. Alle oplossingen worden ondersteund door het Trend Micro Smart Protection Network. Deze cloud-gebaseerde, wereldwijde threat intelligence wordt ondersteund door meer dan 1.200 beveiligingsexperts over de hele wereld. Voor meer informatie: blog.trendmicro.nl en trendmicro.nl