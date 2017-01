De deadline nadert: zaken doen in Europa, ja of nee?

Maar liefst 92 procent van alle Amerikaanse multinationals noemen compliance met de komende General Data Protection Regulation (GDPR), de Europese databeschermingswet, als een topprioriteit, meldt een nieuw onderzoek van PwC. 68 Procent heeft 1 tot 10 miljoen dollar beschikbaar om aan die nieuwe regels te voldoen, en 9 procent denkt dat ze meer dan 10 miljoen dollar eraan moeten besteden, zegt Jay Cline, privacy-adviseur bij PwC.

Cine zegt dat het onderzoek laat zien dat angst de grootste drijfveer is voor Amerikaanse CIO's, veroorzaakt door de datalekken van de laatste tijd, die leiden tot omzetverlies, boetes en het weglekken van het consumentenvertrouwen. "Amerikaanse bedrijven zien de relatie tussen goede privacy bieden en meer omzet en consumentenvertrouwen", zegt Cline, die 200 CIO's, CISO's en andere directeuren bevroeg.

Met het groeiende risico op een datalek zou er wel eens geen betere business case zijn voor Amerikaanse bedrijven dan de Europese GDPR, dat ze dwingt om hun IT-beveiliging en hun risicomanagement te verbeteren voordat het ingaat op 25 mei 2018. Bedrijven die tegen die tijd niet kunnen voldoen aan de brede en uitputtende regels in de GDPR kunnen boetes krijgen van tot 4 procent van hun wereldwijde omzet, dus mogelijk honderden miljoenen dollars.

Compliance aan GDPR is zwaar

De belasting die GDPR oplegt is overweldigend, zelfs voor Amerikaanse multinationals met aanmerkelijke middelen. GDPR eist dat bedrijven adequate monitoring hebben op hun data, de toezichthouders inschakelen als er zich een datalek voordoet, klanten het recht om vergeten te worden aanbieden en klanten de mogelijkheid te geven hun data met zich mee te nemen. In sommige gevallen, als bijvoorbeeld dataverwerking wordt gedaan door een publieke instelling, vereist GDPR de aanstelling van een databeschermingsmanager of -directeur.

Met oog op die vereisten worstelen veel bedrijven met de vernieuwing van hun databeschermingsmechanismen en het opbouwen van hun risicobeheersingsprocessen, zegt Bart Willemsen, analist bij Gartner. HIj heeft in de laatste maanden honderden klanten gevraagd naar hun inspanningen om te voldoen aan GDPR. Bedrijven pijnigen zichzelf tevens in hoe ze het voorkomen, ontdekken, onderzoeken, herleiden en melden van lekken moeten laten voldoen aan de door GDPR opgelegde maatstaven. Daarnaast is er de uitdaging van de juridische en technische aspecten in waar de data vandaan komt en waar het zou moeten worden opgeslagen.

"Grensoverschrijdend verkeer en de toegestane mechanismen hierin geven zorgen en bij zowel de juridische afdeling als in de IT-organisatie moet daar naar worden gekeken, zelfs in het selecteren van leveranciers en in aankoopprocessen", zegt Willemsen.

CIO's en CISO's kijken nu naar versleuteling (zowel in het versturen van data als met de rest), het gebruik van tokens en technologieën die het pseudonimiseren mogelijk maakt. En alsof die interne inspanning al niet genoeg is, moeten CIO's er ook zeker van zijn dat hun cloudleveranciers en andere partners eveneens voldoen aan de GDPR-specificaties.

Contracten en clausules

Het voldoen aan GDPR heeft meer dan alleen technische en procedurele kanten. Veel bedrijven vluchten in speciale contracten om risico's te vermijden en zichzelf uit de schootslijn te halen. De zo geheten modelclausules, contracten die gesloten worden tussen bedrijven en technologieleveranciers om ervoor te zorgen dat aan bepaalde databeschermingsstandaarden wordt voldaan, worden nu gebruikt door 58 procent van de onderzochte bedrijven, zegt Cline.

