Η Symantec, παγκόσμιος ηγέτης στην ασφάλεια στον κυβερνοχώρο, αποκάλυψε σήμερα ότι βάσει έρευνας που διεξήγαγε, το 96% των επιχειρήσεων εξακολουθούν να μην κατανοούν πλήρως τον νέο Ευρωπαϊκό Κανονισμό Γενικής Προστασίας Δεδομένων (European General Data Protection Regulation-GDPR), ο οποίος θα τεθεί σε ισχύ τον Μάιο του 2018.
Τα αποτελέσματα της έρευνας για την Ευρωπαϊκή Επιτροπή Προσωπικών Δεδομένων European Data Privacy Survey η οποία πραγματοποιήθηκε μέσω συνεντεύξεων, σε 900 επιχειρήσεις και υπεύθυνους μηχανογράφησης στη Βρετανία, τη Γαλλία και τη Γερμανία, δείχνουν ότι το 91% των ερωτηθέντων έχει σοβαρές ανησυχίες σχετικά με την ικανότητα συμμόρφωσης.
Η έρευνα αποκάλυψε επίσης ότι μόλις το 22% των επιχειρήσεων θεωρούν ότι η συμμόρφωση αποτελεί ύψιστη προτεραιότητα για τα επόμενα δύο χρόνια, ενώ μόνο το 26% των ερωτηθέντων πιστεύουν ότι η επιχείρησή τους είναι πλήρως προετοιμασμένη για το νέο Ευρωπαϊκό Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR).
«Τα ευρήματα αυτά δείχνουν ότι οι επιχειρήσεις όχι μόνο είναι απροετοίμαστες για τον GDPR, αλλά δεν μπαίνουν καν στη διαδικασία της προετοιμασίας», δήλωσε ο Kevin Isaac, αντιπρόεδρος της Symantec. «Υπάρχει μια σημαντική διαφοροποίηση σχετικά με το πόσο σημαντική είναι η προστασία της ιδιωτικής ζωής και της ασφάλειας για τους καταναλωτές, με την προτεραιότητα που έχει για τις επιχειρήσεις. Τα καλά νέα είναι ότι υπάρχει ακόμη χρόνος να διορθωθεί η κατάσταση – αν οι εταιρείες δραστηριοποιηθούν άμεσα».
Έλλειψη ρυθμιστικής ενημέρωσης
Εκ των ερωτηθέντων στην έρευνα, σχεδόν το ένα τέταρτο (23%) δήλωσε ότι η επιχείρησή τους δεν θα είναι καθόλου ή θα είναι μόνο εν μέρει συμμορφωμένες μέχρι το 2018. Από το συγκεκριμένο αυτό ποσοστό, μόνο το 20%, πιστεύουν ότι είναι πιθανό να καταστούν πλήρως συμμορφωμένες με τον GDPR, ενώ σχεδόν οι μισοί από αυτούς (49%), πιστεύουν ότι ορισμένα μόνο τμήματα των εταιρειών θα μπορέσουν να συμμορφωθούν, σε αντίθεση με άλλα τμήματα που δε θα μπορέσουν.
Αυτή η έλλειψη εμπιστοσύνης ως προς την τήρηση της προθεσμίας έναρξης το Μάιο του 2018, βάζει τις επιχειρήσεις σε κίνδυνο που έχει ως συνέπεια, την καταβολή υψηλών προστίμων με την παρέλευση της ημερομηνίας αυτής.
Έλλειψη κατανόησης των απαιτήσεων των πελατών
Ενώ οι επιχειρήσεις παλεύουν για τη συμμόρφωσή τους, παραμένουν έξω από την επαφή με τις προσδοκίες των καταναλωτών ως προς την προστασία και την ασφάλεια των προσωπικών δεδομένων. Σχεδόν το 74% των επιχειρήσεων, δε θεωρούν την προστασία των προσωπικών δεδομένων ως μία από τις τρεις βασικές προτεραιότητες των καταναλωτών με τους οποίους συναλλάσσονται, παρά το γεγονός ότι στο 36% των επιχειρήσεων, οι πελάτες συχνά ρωτούν για την ασφάλεια των δεδομένων τους στις συναλλαγές τους.
Εξίσου ανησυχητικό είναι το αποτέλεσμα που προέκυψε από την έρευνα, όπου του 35% των ερωτηθέντων δεν πιστεύουν ότι η επιχείρηση τους, λαμβάνει κάποια ηθική προσέγγιση ως προς τη διασφάλιση και την προστασία των δεδομένων των πελατών τους.
Αυτά τα αποτελέσματα δείχνουν ότι υπάρχει σημαντική απόσταση από τις προτεραιότητες των καταναλωτών σε σύγκριση με αυτά των επιχειρήσεων. Η έρευνα της Symantec έδειξε ότι το 88% των ευρωπαίων καταναλωτών βλέπει την ασφάλεια των δεδομένων τους ως τον πιο σημαντικό παράγοντα στη διαδικασία επιλογής μιας εταιρείας με την οποία θα συναλλαχθούν. Στην πραγματικότητα, το 86% το θεωρεί μάλιστα πιο σημαντικό παράγοντα ακόμη και από την ποιότητα του προϊόντος.
Δεν προκαλεί λοιπόν έκπληξη το αποτέλεσμα της έρευνας, που διαπιστώνει ότι το 55% των επιχειρήσεων δεν είναι πεπεισμένο ότι κατανοεί απόλυτα τις προσδοκίες ως προς την ασφάλεια των προσωπικών δεδομένων των πελατών.
Έλλειψη προετοιμασίας
Η μελέτη της Symantec κατέληξε ότι πολλές επιχειρήσεις δεν έχουν καν αρχίσει να εργάζονται πάνω στις οργανωτικές αλλαγές, με στόχο τη συμμόρφωση, που πρέπει να πραγματοποιηθούν μέχρι το Μάιο του 2018 οπότε και θα ενεργοποιηθεί ο νέος Ευρωπαϊκός Κανονισμός Γενικής Προστασίας Δεδομένων (GDPR).
- Περίπου ένας στους δέκα (9%), ισχυρίζεται ότι όλοι οι υπάλληλοι έχουν τη δυνατότητα πρόσβασης στις προσωπικές πληροφορίες των πελατών.
- Το 6% ισχυρίζεται ότι όλο τους το προσωπικό, μπορεί να έχει πρόσβαση στις λεπτομέρειες που αφορούν δεδομένα πληρωμών των πελατών.
- Μόνο το 14% πιστεύει ότι όλοι σε έναν οργανισμό έχουν την ευθύνη να εγγυηθούν ότι τα δεδομένα είναι προστατευμένα.
Με τόσο μεγάλο αριθμό ατόμων να έχει πρόσβαση σε προσωπικές πληροφορίες, οι εταιρείες δεν έχουν κατανοήσει τις προκλήσεις που θα πρέπει αντιμετωπίσουν ώστε να είναι σε θέση να διαχειριστούν τη συμμόρφωσή τους με τον GDPR.
- Λιγότεροι από τους μισούς ερωτηθέντες (47%), ισχυρίστηκαν ότι η ηθική διαχείριση των δεδομένων είναι η σημαντικότερη προτεραιότητα για την εταιρεία τους και λιγότεροι από τους μισούς επίσης, ισχυρίστηκαν ότι θα μπορούσαν να αυξήσουν την εκπαίδευση στον τομέα της ασφάλειας.
- Μόνο το 27% των επιχειρήσεων σκοπεύουν να αναδιαρθρώσουν πλήρως την προσέγγισή τους ως προς τις απαιτήσεις του GDPR.
Τεχνική ετοιμότητα και το δικαίωμα «Να αγνοηθεί»
- Το 91% των ερωτηθέντων έχει ανησυχίες σχετικά με τη δυνατότητα της επιχείρησης τους να συμμορφωθεί με τον GDPR, σε σχέση με παράγοντες όπως η πολυπλοκότητα της σωστής επεξεργασίας των δεδομένων, σε συνάρτηση με το χρόνο και το κόστος.
- Μόνο το 28% των υπευθύνων μηχανογράφησης, ή άλλων τμημάτων, αντιλαμβάνονται ότι το δικαίωμα αγνόησης είναι μέρος του νέου GDPR.
- Το 90% των επιχειρήσεων ισχυρίζεται ότι, η απαίτηση των πελατών να διαγραφούν τα προσωπικά τους δεδομένα, αποτελεί μια πρόκληση για την επιχείρησή τους.
- Μόνο το 9% των ερωτηθέντων έχουν ήδη δεχθεί αιτήσεις για αγνόηση.
- Το 81% των ερωτηθέντων πιστεύει ότι οι πελάτες τους θα ασκήσουν το δικαίωμά τους στο να διαγραφούν τα προσωπικά τους δεδομένα.
- Ωστόσο, το 60% των επιχειρήσεων δε διαθέτουν το κατάλληλο σύστημα ώστε να είναι σε θέση να ανταποκριθούν στις απαιτήσεις αυτές.
«Οι επιχειρήσεις πρέπει να αναγνωρίσουν ότι η ιδιωτικότητα, η ασφάλεια και η συμμόρφωση με τον GDPR, αποτελούν υψίστης σημασίας παράγοντες που θα διαφοροποιήσουν τις επιχειρήσεις μεταξύ τους» τόνισε ο Kevin Isaac, αντιπρόεδρος της Symantec. «H ανταπόκριση των επιχειρήσεων στον GDPR θα πρέπει να καταστεί βασικό σημείο του οργανωτικού σχεδιασμού, αλλά και της κουλτούρας τους. Η υιοθέτηση μιας αποσπασματικής προσέγγισης θα δημιουργήσει περισσότερα προβλήματα από αυτά που θα λύσει».
Ο Peter Gooch, συνεργάτης κινδύνων κυβερνοχώρου, της Deloitte, σχολιάζει:
«Οι εταιρείες θα πρέπει να οδηγήσουν με τη θέλησή τους, επιτυχώς τα βασικά σημεία στήριξης του κανονισμού GDPR και να αγκαλιάσουν την προστασία της ιδιωτικής ζωής, ήδη από το σχεδιασμό της. Πρέπει επίσης να κατανοήσουν ότι η σωστή ασφάλεια και ιδιωτικότητα των διαδικασιών μπορεί να προσφέρει σημαντικά ανταγωνιστικά πλεονεκτήματα που θα οδηγήσουν στο να κερδίσουν την εμπιστοσύνη των καταναλωτών, ενώ θα οδηγούνται και από τις ρυθμιστικές απαιτήσεις».
Ο Prof. Dr. Udo Helmbrecht, Εκτελεστικός Διευθυντής, του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (European Union Agency for Network and Information Security ENISA) σχολιάζει:
«Δεδομένης της θεμελιώδους σημασίας του Γενικού Κανονισμού Προστασίας Δεδομένων στη διαμόρφωση του αυριανού ψηφιακού περιβάλλοντος της ΕΕ, ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) χαιρετίζει πρωτοβουλίες όπως αυτή, οι οποίες αυξάνουν την κατανόησή μας για τις προκλήσεις εφαρμογής του κανονισμού, προκειμένου να επιτευχθούν οι στόχοι που έχουμε θέσει».
Ο Ευρωπαϊκός Κανονισμός για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, πρόκειται να τεθεί σε ισχύ την Άνοιξη του 2018. Η συλλογή και ανταλλαγή δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά τα τελευταία χρόνια αφού η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Οι εξελίξεις αυτές οδήγησαν την Ευρωπαϊκή Ένωση να θεσπίσει ένα ισχυρό πλαίσιο προστασίας των δεδομένων με τον κανονισμό αυτό.