Verbijsterende resultaten van een onlangs gehouden GDPR-enquête bij topmanagers in Europa en de VS: de meeste managers blinken uit in overmoed en onwetendheid. En daarnaast verbijsterend nieuws de voorbije zomer voor alle Game of Thrones-fans: het einde van seizoen zeven van deze epische reeks stond al online nog voor het werd uitgezonden. Niets met elkaar te maken, denk je? Nochtans zijn de twee veel meer met elkaar verbonden dan je zou verwachten.
Om te beginnen met de enquête: ik zet enkele resultaten op een rijtje. Bij 57 procent van de bevraagde ondernemingen wil het topmanagement (ceo of andere c-level) geen verantwoordelijkheid opnemen over de GDPR. 42 procent van de bedrijven weet niet dat e-mail marketing pii (personally identifiable information) bevat, en dus volgens de GDPR als dusdanig moet worden beschermd. Nochtans gelooft 79 procent dat hun beveiliging waterdicht is… En 22 procent van de organisaties meent dat een boete wegens inbreuk op de GDPR hen niet zou deren.
Elk van deze cijfers doet me toch wel even de wenkbrauwen fronsen. Het topmanagement lijkt zich onvoldoende bewust dat het beschermen en rechtmatig gebruiken van data een grotere impact kan hebben op de bedrijfsvoering dan een verwaarloosbaar incident en een boete die hen nauwelijks deert. Ik ken weinig bedrijven die geen last zouden hebben van een boete die kan oplopen tot 4 procent van de omzet. Maar nog onrustwekkender is dat een groot aantal bedrijven (nog steeds) niet schijnt te weten hoe ver GDPR precies reikt, en dat de kans op inbreuk dus nog vele malen groter is dan ze zelf beseffen.
Virussen en White Walkers
Ik hoop dat onderzoeksresultaten als deze een wake-up call zijn voor ondernemingen om echt aan de slag gaan met het opstellen van een omvattende strategie voor gegevensbescherming en voor het juist gebruik van deze data. GDPR is bovendien niet het enige waar ze zich zorgen over moeten maken. Dat heeft HBO dan weer ondervonden tijdens de seizoensfinale van ‘Game of thrones’.
Enkele weken voor de laatste afleveringen zouden worden uitgezonden, kreeg betaalzender HBO een bericht van een groep hackers dat zij 1,5 TB aan bedrijfsgegevens hadden ontvreemd, waaronder de scripts van nog uit te zenden afleveringen van ‘Game of Thrones’. Ze dreigden die online te zetten tenzij HBO met miljoenen dollars ‘losgeld’ over de brug kwam. Uiteindelijk liep dit verhaal met een sisser af, maar het illustreert nogmaals dat het echte gevaar bij hacks en gegevensdiefstal niet eens de hete adem van GDPR hoeft te zijn. Hoe meer je business online plaatsvindt, hoe groter het gevaar voor je activiteiten en het bedrijfsresultaat. De hackers beweerden overigens ook alle contactgegevens en andere informatie over acteurs en andere medewerkers aan HBO-series in hun bezit te hebben, en dreigden ermee ook die openbaar te maken. Een verhaal dat sterk doet denken aan het lek bij Sony Pictures, dat eindelijk het hoofd van Sony de kop heeft gekost.
Wie ‘Game of Thrones’ heeft gezien begrijpt dan ook perfect de titel van deze blog. Winter is coming voor zij die niet wakker worden en in actie schieten. Wie de gevaren weglacht, zou daar wel eens heel erg spijt van kunnen krijgen. Virussen zien er minder akelig uit dan de gemiddelde White Walker, maar ze kunnen evengoed een totale ravage aanrichten. Het is natuurlijk niet allemaal kommer en kwel. In tegenstelling tot de nakende winter in Game of Thrones, kan die voor bedrijven echt wel nog afgewend worden.
Geen operationele last
Ceo’s doen er goed aan om meer interesse te tonen in GDPR in het bijzonder en in gegevensbescherming in het algemeen. Van persoonlijk ontslag tot onherstelbare schade voor het bedrijf, de gevolgen van een gegevenslek en oneigenlijk gebruik van data kunnen enorm zijn. Heel concreet vertaalt zich dat in het aanstellen van een verantwoordelijke. Europa’s opgelegde GDPR regelgeving is eigenlijk het perfecte moment om orde op zaken te stellen en security naar een hoger niveau te tillen.
‘Het wordt de hoogste tijd dat bedrijven hun investeringen in state-of-the-art materiaal en in degelijke policies voor gegevensbescherming beschouwen als duurzame handelspraktijken, en niet als een operationele last’, zuchtte Rik Ferguson, vice president security research Trend Micro, bij het lezen van deze resultaten. Ik kan hem alleen maar bijtreden, met nog de extra bedenking: hopelijk krijgen we volgend jaar geen even hoge percentages van respondenten die hun eerste GDPR-boete achter de rug hebben. Of erger.
Steven Heyde, regionaal directeur Benelux bij Trend Micro