Ondanks dat werknemers in veel organisaties centraal staan in het AVG-beleid, blijkt uit het onderzoek van de aanbieder van people-centric data security-oplossingen dat dit beleid onder lang niet alle werknemers bekend is. Het lijkt erop dat de verantwoordelijken voor informatiebeveiliging binnen organisaties wel op de hoogte zijn, maar dat deze kennis onvoldoende gedeeld wordt met de groep daarbuiten.

Zo ligt het percentage eind- en medeverantwoordelijken dat aangeeft dat er een e-mail encryptie-oplossing beschikbaar is beduidend hoger dan bij niet-verantwoordelijken: 75,3 versus 33,1 procent. En waar bijna de helft van de niet-verantwoordelijken niet weet of de AVG-wetgeving heeft gezorgd voor veranderingen in de manier waarop de organisatie informatie deelt, ligt dat percentage onder verantwoordelijke werknemers op 10 procent.

Bijna 16 procent van alle respondenten geeft aan dat er binnen hun organisatie wel eens per ongeluk bedrijfsgegevens of bedrijfsgevoelige informatie openbaar is gemaakt. Ook hier is een duidelijk verschil te zien tussen werknemers die verantwoordelijk zijn voor informatiebeveiliging en niet-verantwoordelijken: 32 tegenover 6,9 procent. Het is een indicatie dat lang niet alle datalekken door bedrijven gemeld worden aan hun personeel. Ook het recordaantal datalekken dat dit jaar al gemeld is bij de Autoriteit Persoonsgegevens onderbouwt deze conclusie.

Het onderzoek komt overigens bovenop het zeer actuele nieuws over de Duitse internetprovider 1&1 Telecom die door de BfDI (het equivalent van de AVG) is veroordeeld tot een boete van maar liefst 9,5 miljoen euro wegens het overtreden van de AVG en het niet voldoende beschermen van klantgegevens. Het invoeren van een naam en geboortedatum bleek voldoende om klantgegevens op te kunnen vragen.

Positief is dat de resultaten laten zien dat de helft van de werknemers op de hoogte is van de beleidsveranderingen die doorgevoerd zijn naar aanleiding van de AVG-wetgeving. In het merendeel van de gevallen (52,3 procent) gaat het daarbij om het trainen van werknemers. Ook geeft bijna 55 procent van de respondenten aan dat informatiebeveiliging voor meer werknemers binnen het bedrijf onderdeel is geworden van het takenpakket.

Axel van Drongelen, General Manager Benelux bij Egress: “Het onderzoek toont duidelijk aan dat er een discrepantie bestaat tussen het beleid dat door de organisatietop wordt uitgestippeld en de invulling van het personeel dat geacht wordt dit beleid uit te voeren. Werknemers die niet verantwoordelijk zijn voor informatiebeveiliging zijn zich bijvoorbeeld veel minder bewust van het gevaar dat onverantwoorde omgang met bedrijfsgevoelige data met zich meebrengt. Dat blijkt bijvoorbeeld uit het gegeven dat respondenten die wel verantwoordelijk zijn voor informatiebeveiliging vaker aangeven dat onbewuste datalekken ontstaan via externe tools zoals WeTransfer of FTP-diensten. Dat duidt erop dat werknemers op zoek gaan naar manieren om veiligheidsmaatregelen te omzeilen, ook omdat er vaker gebruik wordt gemaakt van een e-mail encryptie-oplossing. Ze staan dus niet stil bij de risico’s van hun gedrag.”

Van Drongelen pleit er dan ook voor om nog meer bewustzijn te creëren onder werknemers: “Als je niet weet dat je iets verkeerd doet, kun je je gedrag ook niet verbeteren. Het is positief om te zien dat veel bedrijven investeren in het trainen van hun werknemers als het gaat om het delen van informatie. Tegelijkertijd blijkt dat er nog veel meer bewustwording nodig is om het gevaar van onbewuste interne datalekken in te dammen.”