De invoering van de Algemene verordening gegevensbescherming (AVG) ligt inmiddels alweer zo’n anderhalf jaar achter ons. In die tijd hebben organisaties allerlei inspanningen verricht om aan de nieuwe privacywetgeving te voldoen. Toch blijken veel bedrijven nog altijd te worstelen met hun privacybeleid en de beveiliging van persoonsgegevens.
In Nederland geeft meer dan 31 procent van de bedrijven aan volledig ‘GDPR-compliant’ te zijn. Bovendien worden veel cyberincidenten verzwegen ondanks de AVG: hoewel 40 procent van de bedrijven in Europa de afgelopen vijf jaar slachtoffer is geweest van cybercriminaliteit, wordt driekwart van de aanvallen nooit gemeld. Hoe kun je als managed service provider (msp) de klanten helpen bij hun compliancy? Dit is wat we het afgelopen anderhalf jaar van de AVG hebben geleerd.
Grote bedrijven zijn vaker compliant. Grote bedrijven stellen hogere budgetten beschikbaar voor AVG-compliancy. Terwijl kleine en middelgrote bedrijven natuurlijk net zo goed slachtoffer kunnen worden van datalekken of cyberaanvallen. Uit het recente ‘Global State of the Channel Ransomware-rappor’ blijkt dat 85 procent van de msp’s de afgelopen twee jaar ransomware-aanvallen op mkb-bedrijven rapporteerden. En dus is het voor elke organisatie belangrijk om een beleid te hebben voor business continuity en disaster recovery (bcdr). Om zich te beschermen tegen verlies van klantgegevens of een cyberaanval, maar – met het oog op de AVG – óók om de integriteit van klantgegevens te garanderen en te herstellen na een ransomware-aanval.
Het ontbreekt organisaties aan mankracht en kennis. De AVG geldt voor verwerkingen van persoonsgegevens en hebben daarmee een impact op individuen. Dit kan bijvoorbeeld gaan over verwerkingen in een computer of database. Uitleggen hoe persoonsgegevens verwerkt worden, blijkt gemakkelijker gezegd dan gedaan. In eerder onderzoek door ICSA gaf 78 procent van de bedrijven aan dat voldoen aan de AVG een ‘zware last’ is op de beschikbare middelen. Meer dan een derde van de respondenten geeft aan dat beperkte mankracht en beperkte kennis de grootste uitdagingen zijn in het borgen van de AVG.
Privacy wordt wel degelijk serieus genomen. Transparantie en duidelijkheid over hoe en waarom persoonsgegevens verwerkt worden, is dus belangrijke informatie om te ordenen binnen de AVG. Onlangs verschenen er verschillende nieuwsartikelen dat de Autoriteit Persoonsgegevens in de eerste helft van dit jaar 59 procent meer klachten heeft ontvangen dan in het half jaar daarvoor. Een derde van de klachten heeft te maken met privacyrechten, zoals het recht op inzage in gegevens bij verschillende websites en organisaties. Maar dat veel bedrijven nog niet AVG-compliant zijn, wil niet zeggen dat ze privacy niet serieus nemen. Want het aantal organisaties dat investeert in privacy en compliance is in 2019 verdubbeld ten opzichte van het jaar ervoor.
Kosten van non-compliancy stijgen. Dataverlies of -diefstal kost organisaties steeds meer:. De gemiddelde kosten van ransomware zijn in het afgelopen jaar met 37 procent gestegen tot 5900 dollar, terwijl de gemiddelde kosten van downtime uitkomen op 141.000 dollar. En daar komt nog bij dat bedrijven met de invoering van de AVG ook nog eens kans lopen op een boete wanneer zij niet voldoen aan de wetgeving of een datalek verzwijgen.
Focus op de klant
Driekwart van compliancy draait om trainingen, procesprocedures en beleid. It-oplossingen kunnen een belangrijke rol spelen in AVG-compliancy en goede databescherming. Bovendien zijn het vaak menselijke fouten die zorgen voor cyberaanvallen en datalekken. Als het gaat om de AVG, is proactiviteit voor msp’s essentieel – want klanten weten vaak niet wat ze nodig hebben om volledig compliant te zijn, dus zullen ze er ook niet zelf om vragen.
Er is geen oplossing die voor iedereen werkt. Breng daarom de organisatie van je klant in kaart en zorg voor inzicht in hun procedures. Op basis van inzicht in datamanagement, kunnen msp’s klanten helpen hun securitybeleid te reviewen en updaten. Kom met proactieve oplossingen als next-generation firewalls, betere opties voor e-mailencryptie en uitstekende bcdr-producten. En vergeet ook de regelmatige controles niet: zijn firewalls nog juist geconfigureerd? Zijn alle apparaten voorzien van up-to-date patches en de laatste softwareversies? Is encryptie ingeschakeld?
Kortom: focus op de klant, wees op de hoogte van de laatste technologische ontwikkelingen en investeer tijd, geld en aandacht om je klanten te helpen hun data te beschermen. Wanneer je het slim aanpakt, biedt de AVG kansen om je business uit te breiden.