Organisaties positief over AVG/GDPR maar gemiste kans dreigt
20 december 2017 -
Op 25 mei 2018 treedt de Europese Algemene Verordening Gegevensbescherming (AVG) volledig in werking, ook bekend onder zijn Engelse benaming General Data Protection Regulation (GDPR). Dit heeft impact op nagenoeg iedere Europese organisatie, van basisscholen tot multinationals.
Onderzoeksbureau Team Vier deed in opdracht van Microsoft Nederland onderzoek onder meer dan 600 Nederlandse directeuren en IT-managers. Hoe denken zij over de AVG, hoe gaan ze te werk en waar lopen ze tegenaan bij implementatie?
Bekend maakt bemind, tot op zeker hoogte
De AVG is bekend bij alle respondenten. Een meerderheid van de ondervraagden is daarnaast ook positief gestemd over de nieuwe wetgeving. Dit heeft vooral te maken met het gevoel dat de wetgeving zal leiden tot betere bescherming van gegevens en meer duidelijkheid. Toch denkt niet iedereen dat deze van toepassing is op zijn organisatie, 84 procent van de IT-managers en 72 procent van de directeuren weet dit wel. Alarmerend is dat binnen de organisaties nog niet volledig bekend is dat er een risico bestaat op boetes bij overtreding, die kunnen oplopen tot vie procent van de jaaromzet met een maximum van twintig miljoen euro.
Gemiste kansen
Op dit moment grijpt nog niet de helft van de organisaties AVG-naleving aan om processen intern te verbeteren met het doel om, naast naleving van de wetgeving, ook hun organisatie succesvoller te maken. Dat is volgens Hans Bos, National Technology Officer bij Microsoft Nederland, een gemiste kans: "De AVG biedt een uitgelezen mogelijkheid om te innoveren en technologie in te zetten om veiliger en productiever te werken om zo meer te bereiken, wat het doel van de organisatie ook is."
Het onderzoek wijst verder uit dat het vooral IT-managers zijn die erover praten en actie ondernemen, terwijl de AVG gevolgen heeft voor de gehele organisatie, online én offline. "Minstens zo belangrijk als een veilige IT-omgeving, is de bewustwording van werknemers. In de praktijk blijkt een ruime meerderheid van de datalekken te ontstaan door toedoen van eigen personeel," aldus Bos.
De stand van zaken in Nederland
De teneur onder Nederlandse directeuren en IT-managers is dat regels onontkoombaar zijn in deze tijd van moderne technologie en fraudegevoeligheid. Daartegenover staan ook kritische geluiden, met name over de hoge boetes en het werk dat intern moet gebeuren om te voldoen aan de nieuwe wetgeving. Bijna de helft van de organisaties (47 procent) zoekt hulp als het gaat om het beveiligen van data.
Wat verder opvalt, is dat de AVG bij een ruime meerderheid van de respondenten op de agenda staat, maar dat niet altijd duidelijk is in welke mate de eigen organisatie moet voldoen aan de verordening. Slechts een kleine minderheid geeft aan dat haar organisatie er nu al volledig klaar voor is. Van de organisaties die nu nog niet klaar zijn voor de AVG – zo’n 95 procent – geeft ongeveer een op de vijf aan zeker te weten dat ze op 25 mei 2018 compliant zullen zijn.
Doe-het-zelf met online tools
Een meerderheid van de organisaties doet de voorbereiding op naleving van de AVG zelf, zo blijkt. Ongeveer een kwart schakelt hiervoor een externe partij in, dat gaat het vaakst om een gespecialiseerde dienstverlener of consultant. Organisaties die zelf de voorbereiding doen en willen weten waar ze staan, vinden op het internet veel achtergrond en informatie en ook nuttige tools.
Nieuwe technologie voor u laten werken
Hans Bos concludeert: "Het maakt in principe niet uit of u multinational of zzp’er bent, iedereen wordt verwacht te voldoen aan de regels. Het heeft daarom weinig zin om yu blind te staren op de hobbels op de weg naar naleving. Want wie positief denkt, ziet vooral kansen om juist nu werk te maken van modernisering van de technologie, en de organisatie in het algemeen. Maak bijvoorbeeld de overstap op een nieuw relatiemanagementsysteem in de cloud, dat is ontwikkeld met de principes van de AVG in het achterhoofd. Maar denk ook aan nieuwe manieren van samenwerken en laat technologie voor u werken. Creëer bewustzijn bij medewerkers: oude gewoontes kunnen tegen het licht gehouden worden en plaatsmaken voor nieuwe processen die een beter resultaat voor de organisatie tot gevolg hebben. Dan bent u niet alleen klaar voor de AVG, maar ook voor de toekomst."
Achtergrond: AVG, hoe zit dat ook alweer?
De AVG neemt de plaats in van de nationale privacywetgevingen van alle EU-landen en zorgt zo voor een gelijk speelveld op het gebied van databescherming en vrij verkeer van data. Die data kunnen persoonsgegevens zijn, zoals e-mailadressen en telefoonnummers. De AVG heeft niet alleen impact op bedrijven, maar nagenoeg iedere organisatie. Want ook zorginstellingen, zzp’ers en sportverenigingen hebben ermee te maken.
De AVG heeft zes basiselementen die iedere organisatie moet naleven:
· transparantie over verwerking en gebruik van persoonsgegevens;
· beperken van verwerking van persoonsgegevens tot specifieke, legitieme doeleinden;
· beperken van verzameling en opslag van persoonsgegevens tot beoogd gebruik;
· individuen in staat stellen om persoonsgegevens te corrigeren of om verwijdering te vragen;
· de opslagduur van persoonsgegevens beperken tot zo lang als nodig is voor het beoogd gebruik;
· persoonsgegevens beveiligen met geschikte beveiligingsmethoden.