ISO 27001 als ticket to trade

De strategische rol van gegevensbescherming is voor veel organisaties nog steeds onduidelijk. Van de 1300 organisaties die aan het onderzoek hebben deelgenomen, beschouwt 80% gegevensbescherming als een kwestie van naleving en 28,5% ziet het als een business enabler. Kwetsbare sectoren, zoals zorginstellingen, overheid en softwarebedrijven, en ISO/IEC 27001-gecertificeerde organisaties verschillen hier enigszins van, omdat zij het belang van gegevensbescherming erkennen als de sleutel tot hun algemene bedrijfsstrategie en deze direct in verband brengen met hun prestaties.

Gebrek aan competentie 

Het verwerken van persoonsgegevens brengt risico’s met zich mee, vooral wanneer organisaties te maken hebben met klantgegevens (45,8%). Hierin is de "menselijke factor" zorgwekkender dan welke externe bedreiging dan ook. De voornaamste aandachtspunten zijn de geringe juridische (23,5%) en technische competenties (17,4%), de onwetendheid van de werknemers (21,9%) en het management (20,3%) en menselijke fouten (20%). Daarnaast is het gebrek aan IT-veiligheidsmaatregelen om externe bedreigingen het hoofd te bieden nog steeds een relevant punt van zorg (19,4%).

Investeren in beveiliging, training en risicobeoordeling heeft de hoogste prioriteit

Eén op de twee organisaties investeert  in de verbetering van informatiebeveiliging. In voorafgaande jaren ging de aandacht vooral uit naar de infrastructuur, nu komt de menselijke rol steeds meer in de schijnwerpers te staan,maar liefst 43,4% van de toegekende resources is bestemd voor training van de medewerkers. Ook wordt er met 37,7% flink geïnvesteerd in risicobeoordeling.

Bedrijven in kwetsbare sectoren investeren het meest

Bedrijven die actief zijn in kwetsbare sectoren zoals de gezondheidszorg, sociale dienstverlening, financiële instellingen, overheid en softwarebedrijven investeren het meest in de verbetering van informatiebeveiliging(60,6%) en training van medewerkers (56%). Dit is waarschijnlijk het gevolg van hun directe interactie met de consument. Deze organisaties zijn zich ook bewuster van de risico’s met betrekking tot de verwerking van persoonsgegevens van eindgebruikers (43,4%). Het merendeel van de opgelegde sancties door gegevensautoriteiten is te wijten aan een gebrek aan adequate bescherming van persoonsgegevens.

Gecertificeerde organisaties behalen concurrentievoordeel

40% van de organisaties heeft moeite om te bepalen waar ze zich op moeten richten om aan de regels te voldoen en ongeveer 34% van de bedrijven is van mening dat er een gebrek is aan wettelijke richtlijnen. De helft van alle organisaties gelooft dat een efficiënt beheer van persoonsgegevens kan leiden tot een winstgevend voordeel. Organisaties die al gecertificeerd zijn, hebben niet met deze problemen te maken en zijn beter in staat om het concurrentievoordeel van gegevensbescherming (58,3%) te benutten.

Technologie en regelgeving: een toegevoegde waarde of complicatie?

Volgens 34,3% van de deelnemers aan het onderzoek vormen nieuwe digitale technologieën, zoals Big Data Analytics, IOT (Internet of Things),  blockchain en smart tags, een bedreiging voor de gegevensbescherming, terwijl 15,4% van de organisaties van mening is dat deze technologieën gunstig kunnen zijn voor het beschermen van gegevens.

Klein aantal organisaties expert in dataprotectie 

Slechts 7,5% van de respondenten beschouwt zichzelf als deskundig op het gebied van informatiebeveiliging. Kwetsbare sectoren (15,3%) en gecertificeerde organisaties (12,3%) zijn samen goed voor een groot percentage van de organisaties met geavanceerde privacy managementvaardigheden. Bijna iedereen is zich ervan bewust dat dit een essentiële kwestie is. Naar verwachting zullen de vaardigheden de komende twee jaar verbeteren. 77% van alle organisaties zal in het komende jaar de investering in privacy beheer handhaven of verhogen.

Certificering, een ondersteuning voor gegevensbescherming

Voor de meerderheid (83%) van alle gecertificeerde organisaties, voelde certificering volgens ISO/IEC 27001 als ondersteuning voor het op orde brengen van de gegevensbescherming. ISO/IEC 27001 vereist een beleid, duidelijk gedefinieerde taken en verantwoordelijkheden, werkende processen en technologieën voor informatiebeheer en getrainde medewerkers. De behaalde voordelen compenseren de meest urgente risico's waarmee bedrijven te maken hebben.  Van de organisaties die deze voordelen merken, heeft 44,4% een hogere betrokkenheid van werknemers en omvat 46% de toepassing van passende technische maatregelen.