Impact van GDPR niet duidelijk voor 3 op de 4 bedrijven
54 procent van de bedrijven begrijpt niet goed wat de aan de GDPR gekoppelde boetes inhouden. Bedrijven die de GDPR niet naleven, krijgen te maken met zware boetes van tot wel € 20 miljoen of 4 procent van de totale wereldwijde omzet. Bijna één op de vijf (17 procent) van de bedrijven geeft toe dat ze in geval van een boete hun bedrijf zouden moeten sluiten. Dit cijfer stijgt naar 54 procent voor kleine bedrijven met minder dan 50 medewerkers. Het sluiten van bedrijven zou niet het enige effect zijn: 39 procent van de IT-besluitvormers gaf aan dat boetes ook zouden leiden tot ontslagen binnen hun bedrijf.
Dit blijkt uit onderzoek van Sophos naar de impact die de GDPR zal hebben op bedrijven in het Verenigd Koninkrijk, Frankrijk en de Benelux. In het onderzoek van Vanson Bourne werden 625 IT-besluitvormers in vier landen geïnterviewd. Uit het onderzoek blijkt dat bedrijven in Frankrijk en de Benelux vooroplopen wat betreft het conformeren van hun bedrijfsvoering met de GDPR, maar dat er nog steeds veel moet gebeuren.
Voor slechts 6% een topprioriteit
Ondanks die bezorgdheid beschouwt slechts 6 procent van de bedrijven in het Verenigd Koninkrijk (VK) de GDPR als een topprioriteit, in tegenstelling tot Frankrijk (30 procent) en de Benelux (25 procent). Nog zorgwekkender is dat 20 procent van de bedrijven in het VK de GDPR als een lage prioriteit beschouwt, een veel hoger cijfer in vergelijking met Frankrijk (8 procent) en de Benelux (11 procent).
Bijna één op de vijf bedrijven claimde al aan de regelgeving te voldoen in Frankrijk (19 procent) en de Benelux (18 procent). Ook hierbij staat het VK wederom op de laatste plaats: slechts 8 procent van de Britse bedrijven geeft aan dat zij momenteel voldoen aan de GDPR.
Langdurig proces
“Het conformeren aan de GDPR is een langdurig proces en als de regelgevende instanties vanaf mei 2018 laten zien dat ze bereid zijn om de maximale boete op te leggen, zullen bedrijven het betreuren dat ze niet voorbereid zijn,” aldus John Shaw, VP Product Management, Sophos. “55 procent van de bedrijven is er niet volledig gerust op dat ze op de deadline aan de regelgeving kunnen voldoen, waardoor ze een risico lopen op grote boetes. Met nog slechts een jaar te gaan, moeten de topprioriteiten qua IT-beveiliging voor bedrijven liggen bij het verminderen van de grootste oorzaken van gegevenslekken – het hacken van endpoint-computers en het verlies van apparaten (mobiele telefoons en laptops) – en het implementeren van GDPR-compliance.”
Bedrijven in heel Europa brengen hun bedrijfsvoering langzaam in overeenstemming met de GDPR, waarbij 42 procent denkt dat ze dit in mei zeker geregeld hebben, maar er is nog veel te doen:
Slechts 42 procent heeft een functionaris Gegevensbescherming aangesteld, een veel kleiner aantal dan verwacht;
Momenteel heeft slechts de helft van de organisaties maatregelen ingevoerd om te garanderen dat de persoon van wie gegevens worden verzameld, toestemming geeft voor gegevensverzameling;
44 procent heeft procedures in het leven geroepen voor het verwijderen van persoonsgegevens in geval van een verzoek om “the right to be forgotten” of als een persoon bezwaar maakt tegen het verwerken van zijn/haar gegevens;
Minder dan de helft (45 procent) is in staat om binnen de 72 uur na ontdekking een gegevenslek te melden.
Wie is verantwoordelijk?
In 70 procent van de bedrijven is het IT-team of het IT-beveiligingsteam verantwoordelijk voor het naleven van de GDPR. Opvallend: het onderzoek geeft aan dat slechts 4 procent van de juridische teams en 13 procent van de directeuren of het senior management verantwoordelijk is voor de implementatie. Dit legt veel druk op de IT-teams, waarbij veel IT-besluitvormers het gebrek aan bewustzijn bij belangrijke besluitvormers aangeven als reden waarom bepaalde protocollen niet zijn ingevoerd, zoals het kunnen melden van een gegevenslek binnen de 72 uur na de ontdekking – een essentieel aspect van GDPR-compliance.
Het goede nieuws is dat 65 procent van de organisaties een beleid voor gegevensbescherming heeft ingevoerd en dat 98% van de organisaties een formeel plan voor werknemers heeft of dit momenteel implementeert. In dit plan wordt het beleid voor gegevensbescherming beschreven, alsook wat er van werknemers wordt verwacht wanneer ze omgaan met persoonsgegevens. Dit laat zien dat organisaties vooruitgang boeken op het gebied van gegevensbeveiliging op de werkplek en dat ze werknemers aanmoedigen om de zaak serieus te nemen.
Verwarring over Brexit en GDPR
Ondanks de Brexit zal Brittannië nog steeds volledig moeten voldoen aan GDPR. Uit het onderzoek is echter gebleken dat veel bedrijven in het VK denken dat de brexit mogelijk inhoudt dat ze hieraan niet langer hoeven te voldoen, waarbij 26 procent van de organisaties in het VK toegeeft sinds de Brexit minder goed te weten wat er nodig is om aan de verordening te voldoen, of te denken dat ze hieraan niet hoeven te voldoen. Deze totaal onjuiste theorie zal er mogelijk voor zorgen dat veel bedrijven de deadline missen en te maken krijgen met zware boetes.
Het Brexit-effect stopt niet in het VK. 66 procent van de bedrijven in Frankrijk en de Benelux geeft toe dat ze zich in meer of mindere mate zorgen maken over gegevensbescherming nu het VK uit Europa is gestapt. Het is duidelijk dat de Brexit zorgt voor onzekerheid en verwarring aan beide kanten van het Kanaal, maar ondanks de Brexit moeten bedrijven aan beide zijden van het Kanaal nog steeds voldoen aan de GDPR tegen de deadline van mei 2018.