Bedrijven van elke omvang hebben onvoldoende kennis van de nieuwe General Data Protection Regulation (GDPR) van de Europese Unie. Dit blijkt uit een wereldwijde enquête in opdracht van Dell. Vooral bedrijven in de Benelux zijn slecht of niet voorbereid.
De nieuwe richtlijn heeft als doel om de bescherming van persoonsgegevens van alle burgers in de EU te verbeteren en gaat in mei 2018 van kracht. De wet is van toepassing op bedrijven van elke omvang in alle regio’s en in alle sectoren. Als zij niet volledig voldoen aan de eisen van de wet, lopen zij kans op forse boetes.
Niet voorbereid
De enquêteresultaten geven aan dat 82 procent van alle zakelijke en ict-professionals die verantwoordelijk zijn voor gegevensbescherming, zich zorgen maakt over de naleving van de GDPR. Toch zijn ze onvoldoende bekend met de wet en er niet op voorbereid. Ook verwachten zij er niet voldoende op voorbereid te zijn als de verordening van kracht gaat. Uit de enquête blijkt meer dan 80 procent van de respondenten weinig of geen kennis te hebben van de datawet. Daarbij zegt bijna 70 procent van alle professionals dat hun bedrijf niet is voorbereid, of weten ze zelfs niet of hun organisatie überhaupt voorbereidingen heeft getroffen. Slechts 3 procent van de respondenten stelt dat hun bedrijf over een plan van aanpak beschikt.
Verschillen binnen en buiten Europa
Binnen Europa geven Duitse deelnemers aan dat ze zich het meest voorbereid voelen op de wet (44 procent), terwijl van de respondenten uit de Benelux slechts 26 procent zich voorbereid voelt. Buiten Europa stelt meer dan 75 procent dat ze niet zijn voorbereid of niet te weten of ze op de wet zijn voorbereid. De meeste bedrijven (97 procent) beschikken niet over een plan voor de invoering van de dataverordering in 2018.
Uit de enquêteresultaten blijkt verder dat bedrijven zich realiseren dat niet-naleving van de Europese wet van invloed zal zijn op de gegevensbescherming en hun bedrijfsresultaat. Ze hebben echter geen inzicht in hoeveel verandering er vereist is, de ernst van de boetes voor niet-naleving en de manier waarop de veranderingen hun bedrijfsvoering gaan beïnvloeden. 79 procent zegt niet te weten of hun organisatie kans zou lopen op een boete als de wet dit jaar van kracht zou zijn gegaan. Van de 21 procent van de respondenten die zegt een sanctie te riskeren als de datawet momenteel van kracht zou zijn, denkt 36 procent dat de sanctie slechts een milde herstelmaatregel zou omvatten. Bijna 50 procent is van mening dat zij een gematigde financiële boete zouden krijgen of overzienbare herstelmaatregelen zouden moeten nemen. Bijna 25 procent verwacht dat er ingrijpende wijzigingen in hun huidige procedures en technologieën voor gegevensbescherming nodig zijn.
Beveiligingsprocedures
De meeste organisaties zijn daarnaast van mening dat zij onvoldoende zijn voorbereid op de beveiligingsprocedures die vereist zijn door de Europese datawet. Minder dan de helft van de respondenten voelt zich voldoende voorbereid op de beveiligingsprocedures die door Europa worden voorgeschreven. Slechts 21 procent is van mening dat hun organisatie effectief is voorbereid op access governance, een belangrijk beveiligingsaspect binnen de wet. Meer dan 90 procent van de respondenten zegt dat hun bestaande beveiligingspraktijken niet zullen voldoen aan de nieuwe eisen. Ruim 80 procent zegt goed, dan wel enigszins te zijn voorbereid wat betreft de technologie voor e-mailbeveiliging die binnen hun organisatie wordt gebruikt. Op het gebied van andere beveiligingsprocedures, stelt bijna 60 procent redelijk tot goed te zijn voorbereid wat betreft hun huidige technologie voor access governance, ruim 80 procent zegt voorbereid te zijn op het gebied van de huidige technologie voor toegangsbeheer en 65 procent zegt goed dan wel enigszins te zijn voorbereid wat betreft hun next generation firewalls.
Over de enquête
De enquête werd door Dimensional Research uitgevoerd onder 821 zakelijke en ict-professionals die verantwoordelijk zijn voor de gegevensbescherming bij bedrijven met Europese klanten. Zij gaven antwoord op vragen over hun kennis en perceptie van de Europese datawet, hun gereedheid voor deze richtlijn en de verwachte gevolgen van niet-naleving wanneer de wet van kracht gaat. De enquête werd uitgevoerd in de Verenigde Staten, Canada, Asia Pacific (Australië, Hongkong, Singapore en India), het Verenigd Koninkrijk, Duitsland, Zweden, België, Nederland, Frankrijk, Italië, Spanje en Polen.
Een herkenbaar verhaal. De duitse overheid is wel verder met het voorschrijven van privacy regels voor bedrijven dan de Nederlandse. Dat zal ongetwijfeld nog komen. Hoewel dat iets verklaard, is dat nog geen reden om niet goed op de hoogte te zijn van de impact.
Bent u nog onvoldoende op de hoogte over GDPR – registreer dan voor het gratis Webinar over hoe u compliant blijft op 26 Oct: http://go.sas.com/2ub5dh