Perusahaan masih belum siap untuk perubahan aturan GDPR dan potensi pelanggaran data UE

Sebuah survei baru menemukan banyak perusahaan masih dalam kegelapan tentang kepatuhan GDPR.

Perusahaan di seluruh dunia masih berjuang untuk mematuhi aturan baru yang diabadikan dalam GDPR yang mulai berlaku lebih dari setahun yang lalu. Peraturannya sudah implikasi global, memaksa perusahaan di AS, Cina dan Jepang untuk mematuhi aturan baru, terkadang misterius, yang sebelumnya tidak terlihat pada skala ini.

Sebuah studi baru ditugaskan oleh firma hukum internasional McDermott Will & Emery dan dilakukan oleh Ponemon Institute menemukan bahwa hampir 50% responden mengalami setidaknya satu pelanggaran data pribadi yang harus dilaporkan di bawah GDPR pada tahun lalu.

Perusahaan-perusahaan di Cina dan Jepang memiliki jumlah responden yang sangat tinggi yang mengatakan bahwa mereka masih "tidak terbiasa" dengan sebagian besar peraturan tersebut.

"Seperti diungkapkan dalam penelitian pertama kami satu tahun yang lalu, perlombaan menuju GDPR, kepatuhan GDPR adalah sebuah tantangan, terutama dengan informasi dan perusahaan-perusahaan yang memilikinya sehingga sering melintasi batas-batas negara dan uptick dalam berbagai peraturan lokal — apakah itu Hukum Keamanan Siber China atau California Privacy Act yang baru, "kata Larry Ponemon Ph.D., ketua dan pendiri Ponemon Institute.

LIHAT: Panduan pro IT untuk kepatuhan GDPR (PDF gratis) (TechRepublic Premium)

Undang-undang yang sesuai, dan sering bersaing, di seluruh dunia ini mempersulit perusahaan untuk mengelola, memaksa mereka untuk mempekerjakan orang secara khusus untuk menangani kepatuhan.

Studi tersebut mengatakan responden Jepang semakin menggunakan perusahaan cybersecurity eksternal untuk menangani setiap pelanggaran data. Hanya 29% responden Tionghoa dan 32% responden Jepang yang melaporkan sepenuhnya mematuhi GDPR, menurut survei.

"Apa yang kami pelajari tahun ini adalah bahwa negara-negara dan kawasan sekarang sangat berbeda pada titik kesadaran kepatuhan dan perjalanan eksekusi mereka," kata Ponemon.

"Dengan kegiatan penegakan yang baru saja dimulai, lebih penting dari sebelumnya bagi perusahaan untuk bekerja erat dengan layanan keamanan siber eksternal dan penasihat hukum dan memahami bahwa masalah ini akan terus berlanjut hingga masa mendatang," katanya.

Bagi banyak organisasi, masalah terbesar adalah proses pelaporan pelanggaran data. Di setiap negara yang disurvei, rata-rata 25% responden mengatakan mereka memiliki tingkat kesiapan dan kepercayaan diri yang sangat rendah untuk berurusan dengan aturan GDPR tentang pelanggaran data.

Kurang dari 20% perusahaan "percaya diri" dalam kemampuan mereka untuk menangani tugas melaporkan pelanggaran kepada regulator dalam waktu 72 jam. Perusahaan sekarang banyak berinvestasi dalam langkah-langkah kepatuhan untuk mengejar ketinggalan, tetapi banyak yang masih berjuang untuk menghadapi kenyataan baru dari manajemen data.

Regulator UE dapat merasa ngeri ketika mereka melihat bahwa sebagian besar perusahaan tidak melaporkan pelanggaran mereka sama sekali. Setengah dari mereka yang disurvei telah mengalami pelanggaran data yang secara hukum perlu dilaporkan di bawah aturan baru namun jauh lebih sedikit daripada yang benar-benar berakhir dengan melaporkannya.

Hanya 39% perusahaan di AS dan 45% perusahaan UE yang benar-benar berupaya melaporkan pelanggaran yang ditemukan kepada regulator GDPR.

"Jumlah pelanggaran data yang terjadi di bawah GDPR harus memberikan jeda," kata Mark Schreiber, mitra dan co-leader praktik privasi dan keamanan siber global McDermott.

"Perusahaan akan mendapat manfaat dari melakukan penilaian risiko dan melibatkan para profesional forensik yang dapat mengidentifikasi kerentanan dan merekomendasikan perbaikan proses dan perbaikan. Jika dilakukan di bawah litigasi atau hak istimewa pengacara, organisasi dapat lebih jauh melindungi diri mereka sendiri," kata Schreiber.

Perusahaan semakin beralih ke asuransi risiko dunia maya untuk menebus kurangnya kepatuhan mereka. Tetapi bahkan dengan asuransi, banyak perusahaan yang berbicara dengan Poneman mengatakan mereka tidak tahu apakah kebijakan mereka mencakup denda dan penalti GDPR. Kurang dari setengah responden mengatakan polis asuransi mereka memang menutupi biaya terkait GDPR.

"Persyaratan pelaporan adalah salah satu aspek paling sulit bagi perusahaan untuk mendapatkan yang benar," kata Ketua Forum Perlindungan Data Inggris Ashley Winton.

"Pelaporan yang berlebihan dan pelaporan yang kurang kepada regulator sama-sama tidak menguntungkan, dan pelaporan wajib untuk subyek data dapat meningkatkan kemungkinan litigasi tindakan kelas," kata Winton.

Selain asuransi, 86% perusahaan dalam survei mengatakan mereka menunjuk petugas perlindungan data GDPR sementara lebih dari setengah perusahaan di negara-negara non-Uni Eropa mempekerjakan perwakilan UE atau petugas perlindungan data.

Dalam sedikit berita baik untuk orang Amerika, survei menemukan bahwa aturan GDPR semakin membuat jalan mereka di seberang kolam. Lebih dari 50% perusahaan AS mengatakan mereka telah menerapkan aturan GDPR untuk karyawan AS dan UE sementara hanya 43% perusahaan Uni Eropa yang melakukan hal yang sama.

Lihat juga

Gambar: Olivier Le Moal, Getty Images / iStockphoto

Perusahaan masih belum siap untuk perubahan aturan GDPR dan potensi pelanggaran data UE 2

Pos terkait

Back to top button