Svårt att svara på GDPR-förfrågningar 13 december 2019

Stora svårigheter att svara på GDPR-förfrågningar i tid

Trots potentiella böter är efterlevnaden av centrala delar av GDPR fortfarande väldigt låg. Det visar en ny stor undersökning som Talend gjort bland företag över hela världen.

58 procent av de tillfrågade företagen uppger att de misslyckats med att hantera förfrågningar från individer kring utlämning av persondata, inom den månad som är ett fastställt krav i GDPR-förordningen. Bland de 42 procent som lyckades lämna ut korrekt data inom en månad var den genomsnittliga tiden 16 dagar. 

”Det här resultatet visar tydligt att rättigheten till datautlämning fortfarande är Akilleshälen för de flesta organisationer. För att fullständigt följa GDPR är det nödvändigt att fullt ut veta var uppgifterna finns, hur de behandlas och av vem, samt se till att uppgifterna är betrodda”, sa Jean-Michel Franco, Senior Director för Data Governance-tjänster på Talend, i samband med att undersökningen offentliggjordes. 

Offentlig sektor släpar efter mest

Undersökningen visade också att endast 29 procent av de undersökta organisationerna inom den offentliga sektorn kunde lämna ut begärda uppgifter inom en månad. Med tanke på den ökande användningen av data och ny teknik – inte minst av ansiktsigenkänning och artificiell intelligens – även inom den offentliga sektorn för att förbättra medborgarnas upplevelse, är behovet av mer integrerad datastyrning och juridisk efterlevnad ett absolut måste i framtiden.

Nästan lika illa ställt är det bland företag inom medie- och telekombranschen, där blott 32 procent rapporterade att de kunde lämna ut rätt data i rätt tid. Jämfört med när Talend gjorde samma granskning förra året så rapporterar däremot företag inom detaljhandeln nu en betydligt högre grad av efterlevnad – 46 procent av dessa företag uppger att de klarar att lämna ut korrekta uppgifter inom en månad. Detta kan förklaras med att en allt större andel företag i denna bransch har antagit en mer kundcentrisk inställning för att både förbättra kundupplevelsen och sina interna processer.

Efterlevnaden har också förbättrats inom finans- rese-, transport- och hotellbranschen. Företag i den sistnnämnda branschen skiner dessutom lite extra då de representerar 38 procent av alla organisationer som levererade korrekta data på mindre än 16 dagar.

Bristen på automatisering är fortfarande ett hinder

En anledning till den bristande efterlevnaden är avsaknaden av automatisering vid behandling av GDPR-förfrågningar. En av de främsta orsakerna till att företag inte uppfyllde var bristen på en konsoliderad syn på data och tydligt internt ägarskap över uppgifter. Inom många sektorer kan kunder ofta ha flera kontakter och avtal med ett företag som kanske inte finns på ett enda ställe, vilket gör det svårt att snabbt inhämta all nödvändig information.

Behandlingen av förfrågningarna sker därför i hög utsträckning manuellt och involverar ofta ”fel” personer hos det tillfrågade företaget. Dessutom kan behandlingen av förfrågningar från enskilda individer utifrån deras GDPR-rättigheter (så kallade Subject Right Requests) vara mycket kostsamma – enligt en nyligen genomförd undersökning av Gartner spenderar företag i genomsnitt drygt 1 400 dollar för att svara på en enda Subject Right Request.

Brister även i ID-kontrollen

Talends undersökning belyser också avsaknaden av en ID-kontroll av de individer som begär ut data – endast 20 procent av de undersökta organisationerna efterfrågade bevis på identitet. Dessutom är det ytterst få av de som faktiskt efterfrågar ID-handlingar som använder ett onlinebaserat och säkert sätt att dela och verifiera frågeställarens ID-handlingar. Istället sköts processen allt som oftast via e-post. I värsta fall kan detta öppna för missbruk av GDPR-rättigheter, och göra det potentiellt möjligt att begära ut uppgifter om andra personer. 

Processen för att begära ut uppgifter beskrivs också som besvärlig, de tillfrågade organisationerna rapporterade svårigheter att till exempel hitta rätt e-postadress för att skicka begäran och att följa upp e-postmeddelanden om uppgifterna är ofullständiga eller om filerna inte kan öppnas.

 

Läs vidare
Visa alla artiklar