Beheer

Datamanagement
Cartoon May

Britten nu al sloppy met EU-regels rond databeveiliging

GDPR-bewustzijn elders in Europa ook niet al te hoog

© Wikimedia Commons
15 juni 2017

GDPR-bewustzijn elders in Europa ook niet al te hoog

Veel bedrijven in Europa hebben hun IT-beveiligingsbeleid nog niet afgestemd op de Europese General Data Protection Regulation (GDPR), die per 25 mei 2018 van kracht wordt. Ze lijken niet in de gaten te hebben dat daarmee boetes riskeren die de financiële draagkracht van de onderneming te boven kunnen gaan. Vooral Britse bedrijven lijken met de Brexit in het vooruitzicht aan te nemen dat het allemaal wel niet zo'n vaart zal lopen. 

Dat valt op te maken uit cijfers die onderzoek bureau Vanson Bourne verzamelde in opdracht van IT-beveiliger Sophos. Voor het onderzoeker werden 625 IT-besluitvormers in in het Verenigd Koninkrijk, Frankrijk en de Benelux geïnterviewd.

Daarbij bleek dat 54% van de bedrijven niet goed begrijpt wat de aan GDPR gekoppelde boetes inhouden. 55% van de bedrijven is er ook niet volledig gerust op dat ze op de deadline aan de regels kunnen voldoen. Slechts 42% denkt wel op schema te liggen, wat niet wegneemt dat nog veel werk moet worden verzet:

  • 55acht zichzelf niet in staat om een eventueel gegevenslek binnen de 72 uur na ontdekking te melden.
  • Slechts 42heeft een functionaris Gegevensbescherming aangesteld; 
  • Slechts de helft van de organisaties heeft maatregelen genomen om te zeker te stellen dat personen waarover gegevens worden verzameld, ook toestemming heeft gegeven voor die registraties; 
  • 44heeft procedures ingesteld voor het verwijderen van persoonsgegevens als een geregistreerde bezwaar maakt tegen het verwerken van zijn gegevens of een beroep doet op 'the right to be forgotten'.

Bedrijven die GDPR niet naleven, riskeren zware boetes tot wel 20 miljoen euro of 4% van hun wereldwijde omzet. Één op de zes geïnterviewde bedrijven geeft toe dat ze in geval van een dergelijke boete hun bedrijf zouden moeten sluiten. Dat gevaar speelt met name bij kleinere bedrijven; voor bedrijven met 50 of minder medewerkers geldt dat 54% in solvabiliteitsproblemen zou geraken door een hoge GDPR-boete. Maar ook als faillissement niet aan de orde is, zullen maximale GDPR-boeten grote gevolgen hebben; 39% van de IT-besluitvormers gaf aan dat dergelijke boetes zouden leiden tot ontslagen binnen hun bedrijf.

Verantwoordelijkheid

In 70% van de bedrijven is het IT-team of het IT-beveiligingsteam verantwoordelijk voor het naleven van GDPR. Opvallend: het onderzoek geeft aan dat slechts 4% van de juridische teams en 13% van de directeuren of het senior management verantwoordelijk is voor de implementatie. Dit legt veel druk op de IT-teams, waarbij veel IT-besluitvormers het gebrek aan bewustzijn bij belangrijke besluitvormers aangeven als reden waarom bepaalde protocollen niet zijn ingevoerd, zoals het kunnen melden van een gegevenslek binnen de 72 uur na de ontdekking – een essentieel aspect van GDPR-compliance.

Het goede nieuws is dat 65% van de organisaties een beleid voor gegevensbescherming heeft ingevoerd en dat 98% van de organisaties een formeel plan voor werknemers heeft of dit momenteel implementeert, waarin het beleid voor gegevensbescherming wordt beschreven, alsook wat er van werknemers wordt verwacht wanneer ze omgaan met persoonsgegevens. Dit laat zien dat organisaties vooruitgang boeken inzake gegevensbeveiliging op de werkplek en dat ze werknemers aanmoedigen om de zaak serieus te nemen.

Verwarring over Brexit en GDPR 

Ondanks de Brexit zal Brittannië nog steeds volledig moeten voldoen aan GDPR. Uit het onderzoek is echter gebleken dat veel bedrijven in het VK denken dat de brexit mogelijk inhoudt dat ze hieraan niet langer hoeven te voldoen. Zo'n 26% van de organisaties in het VK zei tegen de onderzoekers  sinds de Brexit minder goed te weten wat er nodig is om aan de verordening te voldoen, of te denken dat ze hieraan niet hoeven te voldoen.

66% van de bedrijven in Frankrijk en de Benelux maakt zorgen over gegevensbescherming nu het VK uit de EU stapt. Maar zolang de Brexit nog niet is uitonderhandeld moeten bedrijven aan beide zijden van het Kanaal tegen de deadline van mei 2018 nog steeds gewoon voldoen aan de GDPR. Toch geeft slechts 6% van de bedrijven in het VK prioriteit aan GDPR-compliancy, in tegenstelling tot Frankrijk (30% en de Benelux (25%). Zo mogelijk nog zorgwekkender is dat 20% van de bedrijven in het VK de GDPR zelfs als 'een lage prioriteit' opvat. Dat percentage ligt daarmee beduidend hoger dan in Frankrijk (8% ) of de Benelux (11% ).

Slechts 8% van de Britse bedrijven denkt momenteel al aan te voldoen aan GDPR. Dat is ook beduidend minder dan elders in de EU (in Frankrijk 19% en de Benelux 18% ). 

 

 

Lees meer over Beheer OP AG Intelligence
3
Reacties
Rob Koch (Sebyde BV) 15 juni 2017 13:50

De drijfveer voor GDPR-compliance moet niet liggen bij de eventuele boetes. Helaas vliegen de miljoenenboetes ook in dit stuk om de oren. GDPR-compliance is van belang voor iedere organisatie omdat de klanten er straks van uitgaan dat hun gegevens goed worden beschermd. Bedrijven die negatief in het nieuws komen door confrontaties met de Autoriteit Persoonsgegevens verliezen klanten en krijgen te maken met reputatieschade. Zorg er daarom voor dat je bent voorbereid. Doe een privacy-inventarisatie en een risicoanalyse. Zet de verplichte privacy administratie op: je moet aantoonbaar inzicht hebben. Neem de juiste technische- en organisatorische maatregelen. Straal uit (zowel intern als naar buiten toe) dat jullie privacy belangrijk vinden: "Uw privacy is onze zorg". We blijven het zeggen: Privacy wordt de nieuwe marketing-P !!! Weet je niet waar te beginnen? Vraag het ons.

Bop 15 juni 2017 13:25

'Sloppy' is een soort slordig/onzorgvuldig/ongeïnteresseerd in onze rijke Nederlandse taal, maar staat veel vetter koeler.

PJ Westerhof 15 juni 2017 12:19

Wat we al wisten, IAPP/Truste kwamen al eerder met dergelijke constateringen.

Maar de ICO zit er al langer en veel dichter bovenop dan onze AP.
Dat geeft te denken over onze Nederlandse compliance.
Gelet op onze 'managementcultuur' zullen onze cijfers hoogstwaarschijnlijk donkerrood zijn.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.