Hadilábon állunk az adatvédelmi felkészüléssel

Egy újabb felmérés támasztotta alá, hogy az EU új adatvédelmi rendelete még nagyon sok teendőt fog róni a szervezetekre.
 

Kevesebb mint kilenc hónap múlva már kötelezően alkalmazandó lesz az új európai uniós adatvédelmi rendelet, a GDPR. A Trend Micro felmérése arra mutatott rá, hogy sok felsővezető nem kezeli elég komolyan a szabályozást, sőt túlzott magabiztossággal állnak a megfelelőséghez kapcsolódó kérdésekhez. Sok helyen nincsenek tisztában azzal, hogy pontosan milyen adatokat érint az előírás, és az esetleges bírságok mértékét sem mérik fel megfelelően.
 
GDPR-tudatosság
 
A 11 (európai és tengerentúli) országban, több mint 1100 informatikai döntéshozó bevonásával készített kutatás eredményei alapján a GDPR alapelvei széles körben ismertek. A cégvezetők jelentős része, 95 százaléka tudja, hogy meg kell felelnie a rendeletnek, és 85 százalékuk áttekintette annak követelményeit.
 
A vezetők tehát látszólag tudatosan kezelik a kérdést, ennek ellenére zavar érzékelhető azzal kapcsolatban, hogy pontosan milyen adatokat kell védeniük az előírások alapján. A felmérésben résztvevők 64 százaléka például nem tudta, hogy az ügyfelek születési dátuma védendő információnak minősül. Emellett 42 százalékuk nem tekintette GDPR alá sorolandónak az e-mailes marketing adatbázisokat, 32 százalékuk a lakcímeket, illetve 21 százalékuk az ügyfelek e-mail címét sem.
 
Az engedetlenség költségei
 
A felmérés szerint a válaszadók 66 százaléka (még) nem foglalkozik azzal, hogy milyen összegű bírságra számíthat, ha nem építi ki a szükséges védelmet. A szervezetek jelentős része gondolja úgy, hogy a szabályok megszegésekor a hírnévből és a márka értékéből veszíthet a legtöbbet, míg a válaszadók 46 százaléka azt állította, hogy egy ilyen esemény a meglévő ügyfélkört befolyásolná leginkább.
 
Felelős kerestetik
 
A kutatás arra is rávilágított, hogy a vállalatok nem biztosak abban, hogy ki a felelős olyan esetben, amikor az EU-s adatok egy Egyesült Államokban működő szolgáltató hibájából vesznek el. Mindössze 14 százalékuk tudta helyesen megmondani, hogy az adatvesztés minkét fél felelőssége. 51 százalékuk úgy gondolta, hogy a bírságot az EU területén működő adattulajdonos kapja, míg 24 százalékuk úgy vélte, hogy az Egyesült Államokban működő szolgáltató a hibás. 
 
Mindezek mellett az is kiderült, hogy a vállalatok nem biztosak abban sem, hogy kinek a dolga lenne a GDPR-megfelelőség levezénylése. A felmérés résztvevőinek 31 százaléka szerint ez a vezérigazgatóra hárul, míg 27 százalékuk szerint az információbiztonsági vezetőnek és a biztonsági csapatnak kell felelősséget vállalnia. Ennek ellenére a vállalatok mindössze 21 százalékánál vesz ténylegesen részt a felsővezetés a felkészülésben, 65 százalékuknál az informatikai részleg irányítja a folyamatot.
 
A szükséges technológia
 
A GDPR előírja a cégek számára, hogy a várható kockázatoknak megfelelő, korszerű technológiákat alkalmazzanak. Ugyanakkor a szervezeteknek mindössze 34 százaléka vezetett be fejlett megoldásokat a behatolók azonosítására, 33 százalékuk fektetett be adatszivárgás elleni technológiákba és csak 31 százalékuk alkalmaz korszerű titkosítási megoldásokat a GDPR felkészülés jegyében.