IT-sikkerhetsselskapet NTT Security har gjennomført en undersøkelse blant 1350 ledere i virksomheter i 11 ulike land, deriblant Norge, for å studere holdninger knyttet til risiko og informasjonssikkerhet blant ledere. Ingen av de spurte er IT-ledere i sin virksomhet.
Det kanskje aller mest oppsiktsvekkende i undersøkelsen er den høye andelen av lederne som mener at den kommende personvernforordningen GDPR som trer i kraft den 25. mai 2018 – ikke angår deres virksomhet.
Halvparten
I blant de hundre norske lederne som har blitt intervjuet, er det under halvparten som mener GDPR angår deres virksomhet. Dette til tross for at alle er ledere i virksomheter med 250 eller flere ansatte.
– Det er overraskende at så mange som 53 prosent av de norske respondentene ikke svarer bekreftende på at GDPR angår dem, når vi vet at omtrent alle virksomheter må forholde seg til reglene. Selv om de som har svart på undersøkelsen ikke jobber med IT, burde det være en selvfølge at de er bevisste nye regelverk som påvirker sikkerhet og data i virksomheten. Særlig siden det kan ha store konsekvenser dersom man ikke følger regelverket, sier Henrik Davidsson, nordisk salgsdirektør i NTT Security, i en pressemelding.
Andelen er likevel høyere i Norge enn i flere andre land. I Sverige er det bare 42 prosent som tror at deres virksomhet vil være berørt.
Dette til tross for at det etter nordiske mål dreier seg om ganske store virksomheter.
– Min erfaring forteller at det definitivt er samme situasjonen i mindre selskaper, om ikke verre, forteller Davidsson til digi.no.
Les også: Tror norske virksomheter kan få seg en overraskelse i arbeidet med GDPR (Digi Ekstra)
Det begynner å haste
NTT Security viser til NHO, som mener man ligger godt an til å oppfylle de nye reglene dersom man allerede følger de gamle. Men mye tyder på at mange ikke kjenner hverken de gamle eller de nye reglene godt nok.
– Desto viktigere er det da å begynne å kartlegge hvilke regler som gjelder og hvordan man kan oppfylle dem. Virksomheter med ledere som ikke er klar over at GDPR angår dem, har sannsynligvis heller ikke begynt å se på hvilke endringer de må gjøre. Det begynner å haste, sier Davidsson.
– IT er på vei til å bli en del av forretningen. Alle er på en digitaliseringsreise. Man behøver at også andre i selskapet, som ikke jobber spesifikt med IT til daglig, får mer utdannelse innen IT og sikkerhet, forteller han.
Spesielt trekker han fram at det er viktig å skaffe seg kunnskap om regelverk, og at dette gjelder helt opp til styrenivå.
Manglende oversikt
Ifølge undersøkelsen svarte 34 prosent av de norske lederne at de ikke vet hvor virksomheten lagrer sine data, og kun 40 prosent sa at deres kritiske data, som kundedata, er helt trygge.
– Det er viktigere enn noen gang å ha kontroll på dataene sine. Å vite hvor dataene er og sikre virksomhetskritiske verdier er riktig sted å begynne, mener Davidsson.
Som eksempler på kritiske data nevner han blant annet kredittkortinformasjon, hjemadresser, IP-adresser og personnumre.
– Det viktigste er at man har en god prosess om hvordan håndterer data, fortsetter Davidsson. Med GDPR følger også retten til å bli glemt, noe som innebærer at en virksomhet må slette all informasjon om en person, dersom denne personen krever dette og er innbygger i et EU- eller EØS-land.
For virksomheter med komplekse IT-systemer kan dette være en krevende oppgave, da mange ikke har full oversikt over alle steder hvor data om en gitt person er lagret.
GDPR gjelder for alle virksomheter i verden, så sant de lagrer data om europeiske borgere. Men bare 25 prosent av de intervjuede lederne i USA tror at GDPR gjelder deres virksomhet. 26 prosent svarte at de ikke vet. I Australia er de tilsvarende andelene henholdsvis 26 og 19 prosent.
Det er altså godt under et år igjen til at GDPR trer i kraft. Dersom reglementet ikke følges, kan det virksomheten bli bøtelagt med opptil opptil 20 millioner euro eller fire prosent av årsomsetningen, avhengig av hva som er høyest.
Rapporten fra NTT Security er tilgjengelig via denne siden.
Leste du denne? Er sikkerhetsfolkene IT-bransjens homeopater? (Digi Ekstra)