17.9.18

De eerste 100 dagen van de AVG


Welke invloed heeft de nieuwe gegevensbeschermingsrichtlijn tot nu toe gehad op bedrijven?

Tijdens het afgelopen weekend hebben we de kaap achter de rug van de  eerste 100 dagen sinds de invoegetreding van de Algemene Verordening Gegevensbescherming (AVG), die van  belang  is voor  bedrijven over de hele wereld. 
 
Iedereen die onmiddellijke straffen verwachtte voor het maken van headlines, moet teleurgesteld zijn. Hoewel de Europese Commissie klachten heeft ontvangen over bedrijven zoals Facebook, Google, Instagram en WhatsApp in de uren die volgden op de inwerkingtreding van de nieuwe wet,   is  er tot nu toe geen groot nieuws te melden. Omdat de nieuwe richtlijn de maximale boetes opvoert tot 20 miljoen euro, of 4% van de wereldwijde jaaromzet, of 4% van de totale jaaromzet, terwijl het maximum werd vastgesteld op 551.000 euro in de "originele" versie van de wetgeving, zal  de belangstelling van de media waarschijnlijk niet snel afnemen.
 
De situatie vlak voort de AVG  
 
Ruime tijd voor de inwerkingtreding van de strikte AVG-richtlijnen evalueerden de experten van ESET de staat van de voorbereidingen voor deze belangrijke wijziging inzake gegevensbescherming. Deze evaluatie werd uitgevoerd op basis van het formulier voor nalevingscontrole van het bedrijf. Tijdens de periode van november 2017 tot mei 2018, hebben meer dan 27.000 deelnemers - voornamelijk uit landen van de Europese Unie, waar de formulier gratis online actief werd gepromoot - deze vragenlijst ingevuld. 
 
Deze conformiteitsbeoordeling heeft verschillende interessante feiten over EU-bedrijven aan het licht gebracht. Het is nu bijvoorbeeld duidelijk dat de meeste bedrijven persoonlijke gegevens (of PII - persoonlijk identificeerbare informatie) hebben over hun klanten (82,6%) en hun werknemers (70,2%). Bovendien meldde iets meer dan een vijfde van de deelnemers aanvullende PII's te hebben, zoals biometrische of gezondheidsgerelateerde gegevens.


"Een audit van gegevensverzameling en -verwerking zou de nuttigste actie kunnen zijn die een bedrijf in verband met de AVG kan ondernemen. Zelfs vandaag, slechts enkele maanden na de inwerkingtreding van deze richtlijn, is dit de eenvoudigste manier om ervoor te zorgen dat een bedrijf niets nalaat bij het vaststellen van de naleving van de regels van de RGPD ", vertelt Tomáš Mičo, Senior Data Protection en Licensing Lawyer bij ESET. Wat de uitkomst ook is, het geeft het bedrijf goede vooruitzichten voor de toekomst en een overzicht van de nodige investeringen. Met het budgetseizoen voor de deur is het nu wellicht de beste tijd van het jaar - als dat nog niet werd gedaan. "
 
Tegelijkertijd gaf meer dan de helft (56%) van de bedrijven toe dat ze geen audit hadden uitgevoerd om de naleving van de nieuwe regels te waarborgen, zowel voor de manier waarop hun bedrijf persoonsgegevens verzamelt, als hun bronnen en de mensen met wie ze deze delen. Iets meer dan de helft van deze organisaties (51,4%) documenteerde niet de technische en organisatorische beveiligingsmaatregelen die van toepassing zijn op de manier waarop deze documenten worden verwerkt. En slechts zes maanden voor de aanloop naar de AVG, was slechts 47% van de belangrijkste mensen binnen deze bedrijven volledig op de hoogte van regelwijzigingen die de AVG teweeg bracht.
 
Beveiliging in dit nieuwe tijdperk van gegevensbescherming
 
De conformiteitscontrole van ESET ging nog verder en informeerde naar de technische maatregelen die bedrijven genomen hebben om ongeoorloofde toegang tot en gebruik van persoonsgegevens door cybercriminelen te voorkomen. Volgens deze gegevens is het meest gebruikte type cybersecurity-bescherming malwaredetectie- en beveiligingssoftware (90,6%).Bedrijven gebruiken ook software voor browserbescherming (87,8%), firewalls (83,6%), voor toegangsbeperking (83,7%) en Wi-Fi-netwerken beveiligd met wachtwoorden (81,9%).
 
Gevraagd naar de coderingssoftware - de belangrijkste methode om door de AVG voorgeschreven persoonsgegevens te beschermen - vóór de inwerkingtreding van de richtlijn had slechts een derde van de ondervraagde bedrijven een deel van deze beschermingsmethode geïmplementeerd.
Onder de ondervraagde bedrijven was de versleuteling via e-mail (32,5%) het meest geïmplementeerd, gevolgd door lokale bestandsversleuteling (31%) en netwerk / cloud-codering (30,5%).


Als het over de verzamelde gegevens gaat, is het verrassend te moeten opmerken dat slechts een kwart van de deelnemers over software beschikt die de inhoud van de schijven en USB-sleutels codeert. Het verlies of de diefstal van een toestel met onbeschermde persoonlijke en gevoelige gegevens vormt een onmiskenbaar gevaar voor de betrokken bedrijven," aldus David Tomlinson, verantwoordelijk voor ESET Endpoint Encryption. "Sinds de inwerkingtreding van de AVG is het aantal gebruikers van encryptiesoftware gestaag toegenomen. We mogen dus verwachten dat dit aantal vandaag hoger is dan een paar maanden geleden, hoewel we nog geen gegevens hebben om dit te ondersteunen."
 
De AVG is er. Hoewel toezichthouders op het gebied van gegevensbescherming edelmoedig waren als het over de betaling van boetes ging in de eerste paar maanden na de oprichting van de AVG en de Europese Commissie hier en daar enkele miljoenen boetes heeft vermeden, zal de tijd voor enorme boetes er vroeg of laat wel komen. Als een bedrijf vandaag nog steeds niet voldoet aan de nieuwe wetgeving, moet niet langer gewacht worden.