En ny undersökning visade att många företag fortfarande är i mörkret om GDPR-efterlevnad.
Företag runt om i världen kämpar fortfarande för att följa de nya reglerna i GDPR som trädde i kraft för mer än ett år sedan. Reglerna är redan globala implikationer, tvingar företag i USA, Kina och Japan att följa nya, ibland mystiska, regler som inte tidigare sågs i denna skala.
En ny studie på uppdrag av det internationella advokatbyrån McDermott Will & Emery och genomfört av Ponemon Institute fann att nästan 50% av de svarande upplevde minst en kränkning av personuppgifter som måste rapporteras under GDPR förra året.
Företag i Kina och Japan har ett mycket stort antal svarande som säger att de fortfarande är “inte bekanta” med de flesta av dessa regler.
“Som avslöjades i vår första studie för ett år sedan, är loppet mot GDPR, GDPR-efterlevnad en utmaning, särskilt för information och företag som har det så att det ofta korsar nationella gränser och är uppåtriktat i olika lokala bestämmelser – oavsett om det är Cyber Security Law Den nya sekretesslagen i Kina eller Kalifornien, säger Larry Ponemon Ph.D., ordförande och grundare av Ponemon Institute.
VISA: Pro IT-guide till GDPR-överensstämmelse (gratis PDF) (TechRepublic Premium)
Lämpliga, och ofta konkurrenskraftiga, lagar över hela världen gör det svårt för företag att hantera och tvingar dem att anställa människor specifikt för att hantera efterlevnad.
Studien sa att japanska respondenter i allt högre grad använder externa cybersecurity-företag för att hantera eventuella dataöverträdelser. Endast 29% av de kinesiska respondenterna och 32% av de japanska respondenterna rapporterade full efterlevnad av GDPR, enligt undersökningen.
“Det vi lärde oss i år är att länder och regioner nu är väldigt olika när de är medvetna om deras efterlevnad och genomförande,” sa Ponemon.
“När verkställande aktiviteter just börjat är det viktigare än någonsin för företag att arbeta nära med externa cybersäkerhetstjänster och juridiska rådgivare och förstå att detta problem kommer att fortsätta in i framtiden,” sade han.
För många organisationer är det största problemet processen att rapportera dataintrång. I varje undersökt land sade i genomsnitt 25% av de svarande att de hade en mycket låg beredskap och förtroende för att hantera GDPR-reglerna för dataintrång.
Mindre än 20% av företagen är “säkra” på sin förmåga att hantera uppgiften att rapportera brott till tillsynsmyndigheter inom 72 timmar. Företag investerar nu kraftigt i efterlevnadsåtgärder för att komma ikapp, men många kämpar fortfarande för att möta den nya verkligheten inom datahantering.
EU-tillsynsmyndigheter kan bli förskräckta när de ser att de flesta företag inte rapporterar sina kränkningar alls. Hälften av de tillfrågade har upplevt dataöverträdelser som lagligen måste rapporteras enligt nya regler men mycket mindre än de som faktiskt slutar rapportera det.
Endast 39% av företagen i USA och 45% av EU-företagen har faktiskt försökt rapportera överträdelser som konstaterats till GDPR-regulatorn.
“Antalet dataöverträdelser som inträffar under GDPR måste ge en paus,” säger Mark Schreiber, partner och medledare för McDermotts globala integritets- och säkerhetspraxis för cyber.
“Företag kommer att gynnas av att göra riskbedömningar och engagera kriminaltekniker som kan identifiera sårbarheter och rekommendera processförbättringar och förbättringar. Om det görs under rättstvister eller advokats privilegium, kan organisationer ytterligare skydda sig,” sade Schreiber.
Företagen vänder sig mer och mer till cyberspace-riskförsäkring för att kompensera för sin bristande efterlevnad. Men även med försäkring sa många företag som pratade med Poneman att de inte visste om deras policy inkluderade GDPR-böter och påföljder. Mindre än hälften av de svarande sade att deras försäkringar täckte kostnaderna i samband med GDPR.
“Rapporteringskrav är en av de svåraste aspekterna för företag att få det rätt”, säger ordförande för Storbritanniens dataskyddsforum Ashley Winton.
“Överrapportering och underrapportering till tillsynsmyndigheter är lika olönsamma, och obligatorisk rapportering för registrerade kan öka sannolikheten för tvister om grupphandlingar,” sade Winton.
Förutom försäkring sa 86% av företagen i undersökningen att de utsåg GDPR-dataskyddsombud medan mer än hälften av företagen i länder utanför EU har EU-representanter eller dataskyddsombud.
I lite goda nyheter för amerikanerna fann undersökningen att GDPR-regler i allt högre grad tog sig över dammen. Mer än 50% av de amerikanska företagen säger att de har tillämpat GDPR-reglerna för anställda i USA och EU medan endast 43% av EU-företagen gör samma sak.
Se även
Bild: Olivier Le Moal, Getty Images / iStockPhoto
