Britten nu al sloppy met EU-regels rond databeveiliging

Dat valt op te maken uit cijfers die onderzoek bureau Vanson Bourne verzamelde in opdracht van IT-beveiliger Sophos. Voor het onderzoeker werden 625 IT-besluitvormers in in het Verenigd Koninkrijk, Frankrijk en de Benelux geïnterviewd.

Daarbij bleek dat 54% van de bedrijven niet goed begrijpt wat de aan GDPR gekoppelde boetes inhouden. 55% van de bedrijven is er ook niet volledig gerust op dat ze op de deadline aan de regels kunnen voldoen. Slechts 42% denkt wel op schema te liggen, wat niet wegneemt dat nog veel werk moet worden verzet:

• 55% acht zichzelf niet in staat om een eventueel gegevenslek binnen de 72 uur na ontdekking te melden.
• Slechts 42% heeft een functionaris Gegevensbescherming aangesteld; 
• Slechts de helft van de organisaties heeft maatregelen genomen om te zeker te stellen dat personen waarover gegevens worden verzameld, ook toestemming heeft gegeven voor die registraties; 
• 44% heeft procedures ingesteld voor het verwijderen van persoonsgegevens als een geregistreerde bezwaar maakt tegen het verwerken van zijn gegevens of een beroep doet op 'the right to be forgotten'.

Bedrijven die GDPR niet naleven, riskeren zware boetes tot wel 20 miljoen euro of 4% van hun wereldwijde omzet. Één op de zes geïnterviewde bedrijven geeft toe dat ze in geval van een dergelijke boete hun bedrijf zouden moeten sluiten. Dat gevaar speelt met name bij kleinere bedrijven; voor bedrijven met 50 of minder medewerkers geldt dat 54% in solvabiliteitsproblemen zou geraken door een hoge GDPR-boete. Maar ook als faillissement niet aan de orde is, zullen maximale GDPR-boeten grote gevolgen hebben; 39% van de IT-besluitvormers gaf aan dat dergelijke boetes zouden leiden tot ontslagen binnen hun bedrijf.

Verantwoordelijkheid

In 70% van de bedrijven is het IT-team of het IT-beveiligingsteam verantwoordelijk voor het naleven van GDPR. Opvallend: het onderzoek geeft aan dat slechts 4% van de juridische teams en 13% van de directeuren of het senior management verantwoordelijk is voor de implementatie. Dit legt veel druk op de IT-teams, waarbij veel IT-besluitvormers het gebrek aan bewustzijn bij belangrijke besluitvormers aangeven als reden waarom bepaalde protocollen niet zijn ingevoerd, zoals het kunnen melden van een gegevenslek binnen de 72 uur na de ontdekking – een essentieel aspect van GDPR-compliance.

Het goede nieuws is dat 65% van de organisaties een beleid voor gegevensbescherming heeft ingevoerd en dat 98% van de organisaties een formeel plan voor werknemers heeft of dit momenteel implementeert, waarin het beleid voor gegevensbescherming wordt beschreven, alsook wat er van werknemers wordt verwacht wanneer ze omgaan met persoonsgegevens. Dit laat zien dat organisaties vooruitgang boeken inzake gegevensbeveiliging op de werkplek en dat ze werknemers aanmoedigen om de zaak serieus te nemen.

Verwarring over Brexit en GDPR 

Ondanks de Brexit zal Brittannië nog steeds volledig moeten voldoen aan GDPR. Uit het onderzoek is echter gebleken dat veel bedrijven in het VK denken dat de brexit mogelijk inhoudt dat ze hieraan niet langer hoeven te voldoen. Zo'n 26% van de organisaties in het VK zei tegen de onderzoekers  sinds de Brexit minder goed te weten wat er nodig is om aan de verordening te voldoen, of te denken dat ze hieraan niet hoeven te voldoen.

66% van de bedrijven in Frankrijk en de Benelux maakt zorgen over gegevensbescherming nu het VK uit de EU stapt. Maar zolang de Brexit nog niet is uitonderhandeld moeten bedrijven aan beide zijden van het Kanaal tegen de deadline van mei 2018 nog steeds gewoon voldoen aan de GDPR. Toch geeft slechts 6% van de bedrijven in het VK prioriteit aan GDPR-compliancy, in tegenstelling tot Frankrijk (30% en de Benelux (25%). Zo mogelijk nog zorgwekkender is dat 20% van de bedrijven in het VK de GDPR zelfs als 'een lage prioriteit' opvat. Dat percentage ligt daarmee beduidend hoger dan in Frankrijk (8% ) of de Benelux (11% ).

Slechts 8% van de Britse bedrijven denkt momenteel al aan te voldoen aan GDPR. Dat is ook beduidend minder dan elders in de EU (in Frankrijk 19% en de Benelux 18% ).