Látszólagos tudatosság jellemzi a GDPR-ra való felkészülést

Sok vállalat felkészültnek érzi magát az EU szigorú adatvédelmi előírásainak alkalmazására. Azonban a valóságban még nagyon sok teendő vár a szervezetekre.
 
Kevesebb mint 9 hónap múlva életbe lép az új európai uniós adatvédelmi rendelet, a GDPR, amire a vállalatoknak alaposan fel kell készülniük. A Trend Micro nemrégiben végzett felmérése arra mutatott rá, hogy a felsővezetők egy jelentős hányada nem kezeli elég komolyan a szabályozást, vagy túlzott magabiztossággal áll a megfelelőséghez kapcsolódó kérdésekhez.
 
GDPR-tudatosság
 
A 11 (európai és tengerentúli) országban, több mint 1100 informatikai döntéshozó bevonásával készített kutatás eredményei alapján a GDPR alapelvei széles körben ismertek. A cégvezetők jelentős része, 95 százaléka tudja, hogy meg kell felelnie a rendeletnek, és 85 százalékuk áttekintette annak követelményeit. Emellett a vállalatok 79 százaléka biztos abban, hogy az általuk kezelt adatok a lehető legnagyobb biztonságban vannak. A Gartner azonban azt vetíti előre, hogy 2018 végére a vállalatoknak több mint az 50 százaléka nem fog teljesen megfelelni a GDPR követelményeinek.
 
A vezetők tehát látszólag tudatosan kezelik a kérdést. Ennek ellenére nagy a bizonytalanság azzal kapcsolatban, hogy pontosan milyen adatokat kell védeniük az előírások szerint. A felmérésben résztvevők 64 százaléka például nem tudta, hogy az ügyfelek születési dátuma személyes adatnak minősül. Emellett 42 százalékuk nem tekintette ilyen jellegű információnak az e-mailes marketing adatbázisokat, 32 százalékuk a lakcímeket, illetve 21 százalékuk az ügyfelek e-mail címét sem.
 
Az engedetlenség költségei
 
A válaszadók 66 százaléka nem foglalkozott azzal, hogy milyen összegű bírságra számíthat, ha nem rendelkezik a szükséges védelemmel. Mindössze 33 százalékuk ismerte fel, hogy az éves forgalom akár négy százalékát is elveszítheti. Továbbá a szervezetek 66 százaléka gondolja úgy, hogy a szabályok megszegésekor a hírnévből és a márka értékéből veszíthet a legtöbbet, míg sokan azt állították, hogy egy ilyen esemény a meglévő ügyfélkört befolyásolná a leginkább.
 
Felelős felek
 
A kutatás arra is rávilágított, hogy a vállalatok nem biztosak abban, ki a felelős olyan esetben, amikor az EU-s adatok egy Egyesült Államokban működő szolgáltató hibájából vesznek el. Mindössze 14 százalékuk tudta helyesen megmondani, hogy az adatvesztés minkét fél felelőssége. 51 százalékuk úgy gondolta, hogy a bírság az EU területén működő felet sújtja, míg 24 százalékuk úgy vélte, hogy az Egyesült Államokban működő szolgáltató egymaga felelős ilyen esetekben. 
 
Emellett az is kiderült, hogy a vállalatok nem biztosak abban sem, kinek a felelőssége a compliance. A felmérésben résztvevők 31 százaléka úgy gondolja, hogy ez a vezérigazgatóra hárul, míg 27 százalékuk szerint az információbiztonsági vezetőnek és a biztonsági csapatnak kell felelősséget vállalnia. Ennek ellenére a vállalatok mindössze 21 százalékánál vesz ténylegesen részt a felsővezetés a felkészülésben, 65 százaléknál az informatikai részleg irányítja a folyamatot.
 
A szükséges technológia
 
A GDPR előírja a cégek számára, hogy a várható kockázatoknak megfelelő, korszerű technológiákat alkalmazzanak. Ennek ellenére a szervezeteknek mindössze a 34 százaléka vezetett be fejlett megoldásokat a behatolások detektálásához, 33 százalékuk fektetett be adatszivárgás elleni technológiákba és csak 31 százalékuk alkalmaz titkosítási megoldásokat. Vagyis a technológiai védelem terén is sok még a teendő.