11 jul
Rond 25 mei jongstleden vlogen de nieuwe privacy-statements, disclaimers, verwerkersovereenkomsten en cookie-statements (veelal zelfs onnodig) om de oren. Daarmee lijken veel organisaties vooral geïnvesteerd te hebben in juridisch en contractueel werk. Wij vragen ons af of organisaties technisch en organisatorisch ook al op het juiste (volgens de wet ‘passende’) niveau zitten. In onze optiek is het tijd voor de volgende stap!
De invoering van de GDPR ging op zijn zachts gezegd chaotisch. Hoewel al lang duidelijk was wat er allemaal moest gebeuren om bedrijven aan de nieuwe regelgeving te laten voldoen, zagen we dat ondernemers - groot en klein - pas op het laatste moment in actie kwamen.
In de laatste dagen voor 25 mei werden in allerijl de privacy statements aangepast en kregen klanten honderden e-mails van bedrijven om zich al dan niet opnieuw in te schrijven voor een mailinglist. Maar nu ruim een maand verder, lijkt het erop dat vooral die kant van de regelgeving de aandacht kreeg en dat er nog betrekkelijk weinig is gedaan in het doorvoeren van passende technische en organisatorische maatregelen, waarmee informatiebeveiliging een vast onderdeel binnen ‘de genen’ van de organisatie gaan vormen.
Nu de technische kant van het verhaal
Technische aanpassingen werden niet of nauwelijks doorgevoerd. Er was geen enorme groei in de aanschaf van nieuwe beveiligingssoftware of checks om te zien hoe systemen er nu echt voor staan. Dat geldt overigens niet alleen voor ondernemers; ook verschillende IT-partijen waren vooral toch bezig om juridisch alles op orde te krijgen.
Maar alleen daarmee komen we er niet. We mogen voor de wetgever dan wel kunnen aantonen dat we op papier alles in orde hebben, de huidige staat van onze cybersecurity is nog altijd aan de lage kant. Vier op de vijf websites lopen nog steeds grote risico’s en ook achterliggende systemen zijn niet optimaal beveiligd. En dan hebben we het alleen maar over de technische kwetsbaarheden en nog niet over hoe e.e.a. organisatorisch is geregeld.
Volwassenheid
Om echt te voldoen aan de GDPR, heb je inzicht nodig in de status van je beveiliging. Op technisch vlak én op organisatorisch vlak. Wat zijn nu die ‘passende technische en organisatorische’ maatregelen die u vanuit de AVG/GDPR moet nemen? Hoe ‘volwassen’ is het niveau van de beveiliging?
ThreadStone helpt met ThreadMature, een toegankelijk self-assessment, waarbij u aan de hand van gerichte vragen over organisatie, techniek en mens, een compleet beeld krijgt van uw informatiebeveiliging. Bij elke vraag wordt extra uitleg gegeven en kunt u uw huidige volwassenheidsniveau bepalen. Vervolgens ontvangt u een rapport met adviezen om tot verbetering te komen.
De eerste stappen zijn gezet, maar Ondernemend Nederland moet nu echt doorgroeien en de beveiliging ook technisch en organisatorisch op orde gaan krijgen. Alleen zo worden we echt volwassen als het om cybersecurity gaat!