Sophos heeft vandaag de onderzoeksgegevens bekendgemaakt van de impact die GDPR zal hebben op bedrijven in het VK, Frankrijk en de Benelux. In het onderzoek van Vanson Bourne werden 625 IT-besluitvormers in vier landen geïnterviewd en is gebleken dat Frankrijk en de Benelux vooroplopen wat betreft het conformeren van hun bedrijfsvoering met GDPR maar dat er nog steeds veel moet gebeuren.
De meest zorgwekkende cijfers geven aan dat 54 procent van de bedrijven niet goed begrijpt wat de aan GDPR gekoppelde boetes inhouden. Bedrijven die GDPR niet naleven, krijgen te maken met zware boetes van tot wel € 20 miljoen of 4 procent van de totale wereldwijde omzet. Bijna één op de vijf (17 procent) van alle geïnterviewde bedrijven gaf toe dat ze in geval van een boete hun bedrijf zouden moeten sluiten. Dit cijfer stijgt naar 54 procent voor kleine bedrijven met minder dan 50 medewerkers. Het sluiten van bedrijven zou niet het enige effect zijn: 39 procent van de IT-besluitvormers gaf aan dat boetes ook zouden leiden tot ontslagen binnen hun bedrijf.
Is Europa klaar voor GDPR?
Bijna één op de vijf bedrijven claimde al aan de regelgeving te voldoen in Frankrijk (19 procent) en de Benelux (18 procent). In de VK is dat slechts 8 procent.
“Het conformeren aan GDPR is een langdurig proces en als de regelgevende instanties vanaf mei 2018 laten zien dat ze bereid zijn om de maximale boete op te leggen, zullen bedrijven het betreuren dat ze niet voorbereid zijn,” aldus John Shaw, VP Product Management, Sophos. “55 procent van de bedrijven is er niet volledig gerust op dat ze op de deadline aan de regelgeving kunnen voldoen, waardoor ze een risico lopen op grote boetes. Met nog slechts een jaar te gaan, moeten de topprioriteiten qua IT-beveiliging voor bedrijven liggen bij het verminderen van de grootste oorzaken van gegevenslekken – het hacken van endpoint-computers en het verlies van apparaten (mobiele telefoons en laptops) – en het implementeren van GDPR-compliance.”
Bedrijven in heel Europa brengen hun bedrijfsvoering langzaam in overeenstemming met GDPR, waarbij 42 procent denkt dat ze dit in mei zeker geregeld hebben, maar er is nog veel te doen:
- slechts 42 procent heeft een functionaris Gegevensbescherming aangesteld, een veel kleiner aantal dan verwacht;
- momenteel heeft slechts de helft van de organisaties maatregelen ingevoerd om te garanderen dat de persoon van wie gegevens worden verzameld, toestemming geeft voor gegevensverzameling;
- 44 procent heeft procedures in het leven geroepen voor het verwijderen van persoonsgegevens in geval van een verzoek om “the right to be forgotten” of als een persoon bezwaar maakt tegen het verwerken van zijn/haar gegevens;
- Minder dan de helft (45 procent) is in staat om binnen de 72 uur na ontdekking een gegevenslek te melden.
- Wie is verantwoordelijk?
In 70 procent van de bedrijven is het IT-team of het IT-beveiligingsteam verantwoordelijk voor het naleven van GDPR. Opvallend: het onderzoek geeft aan dat slechts 4 procent van de juridische teams en 13 procent van de directeuren of het senior management verantwoordelijk is voor de implementatie. Dat legt veel druk op de IT-teams, waarbij veel IT-besluitvormers het gebrek aan bewustzijn bij belangrijke besluitvormers aangeven als reden waarom bepaalde protocollen niet zijn ingevoerd, zoals het kunnen melden van een gegevenslek binnen de 72 uur na de ontdekking – een essentieel aspect van GDPR-compliance.
Het goede nieuws is dat 65 procent van de organisaties een beleid voor gegevensbescherming heeft ingevoerd en dat 98% van de organisaties een formeel plan voor werknemers heeft of dat momenteel implementeert, waarin het beleid voor gegevensbescherming wordt beschreven, alsook wat er van werknemers wordt verwacht wanneer ze omgaan met persoonsgegevens. Dat laat zien dat organisaties vooruitgang boeken inzake gegevensbeveiliging op de werkplek en dat ze werknemers aanmoedigen om de zaak serieus te nemen.
Verwarring over Brexit en GDPR
Ondanks de Brexit zal Brittannië nog altijd volledig moeten voldoen aan GDPR. Uit het onderzoek is echter gebleken dat veel bedrijven in het VK denken dat de brexit mogelijk inhoudt dat ze hieraan niet langer hoeven te voldoen, waarbij 26 procent van de organisaties in het VK toegeeft sinds de Brexit minder goed te weten wat er nodig is om aan de verordening te voldoen, of te denken dat ze hieraan niet hoeven te voldoen. Deze totaal onjuiste theorie zal er mogelijk voor zorgen dat veel bedrijven de deadline missen en te maken krijgen met zware boetes.
Het Brexit-effect stopt niet in het VK. 66 procent van de bedrijven in Frankrijk en de Benelux geeft toe dat ze zich in meer of mindere mate zorgen maken over gegevensbescherming nu het VK uit Europa is gestapt. Het is duidelijk dat de Brexit zorgt voor onzekerheid en verwarring aan beide kanten van het Kanaal, maar ondanks de Brexit moeten bedrijven aan beide zijden van het Kanaal nog steeds voldoen aan de GDPR tegen de deadline van mei 2018.