Hoe zijn bedrijven voorbereid op de nieuwe privacyregels? – Ons onderzoek voor Microsoft

Publicatiedatum: 14-12-2017

Op 25 mei 2018 treedt de Europese Algemene Verordening Gegevensbescherming (AVG) in werking, ook bekend onder zijn Engelse benaming General Data Protection Regulation (GDPR). De AVG heeft impact op nagenoeg iedere organisatie, van basisscholen tot multinationals. Onderzoeksbureau Team Vier deed in opdracht van Microsoft Nederland onderzoek onder ruim 600 Nederlandse directeuren en IT-managers. 

De AVG is bekend bij alle respondenten. Echter denkt niet iedereen dat deze van toepassing is op zijn organisatie: 84 procent van de IT-managers en 72 procent van de directeuren weet dit wel. Daarnaast is het binnen de organisaties nog niet bij iedereen volledig bekend dat er een risico bestaat op boetes bij overtreding, die kunnen oplopen tot twintig miljoen euro of 4% van de jaaromzet, als dat bedrag hoger is. Dit heeft vooral te maken met het gevoel dat de wetgeving zal leiden tot betere bescherming van gegevens en meer duidelijkheid.

Download infographic

Op dit moment grijpt echter nog niet de helft van de organisaties AVG-naleving aan om processen intern te verbeteren met het doel om naast naleving van de wetgeving ook de organisatie succesvoller te maken. Dat is een gemiste kans, want de AVG biedt een uitgelezen mogelijkheid om te innoveren en technologie in te zetten om veiliger en productiever te werken om zo meer te bereiken, wat het doel van de organisatie ook is. Het onderzoek wijst daarnaast uit dat het vooral IT-managers zijn die de kans aangrijpen, terwijl de nieuwe wetgeving gevolgen heeft voor de gehele organisatie, online én offline. Het handelen van werknemers is minstens zo belangrijk als een veilige verwerking van data.

AVG, hoe zit dat ook alweer?
Al in mei 2016 trad de Europese Algemene Verordening Gegevensbescherming (AVG) officieel in werking. De nieuwe verordening neemt de plaats in van de nationale privacywetgevingen van EU-landen en zorgt zo voor een gelijk speelveld op het gebied van databescherming en vrij verkeer van data. Die data kunnen persoonsgegevens zijn, zoals e-mailadressen en telefoonnummers. Organisaties kregen twee jaar de tijd om hun processen zo in te richten, dat ze voldoen aan de nieuwe regels. Dat betekent dat op 25 mei 2018 iedere organisatie waarop de verordening van toepassing is, deze moet naleven. De AVG heeft impact op nagenoeg iedere organisatie. Niet alleen bedrijven, maar ook zorginstellingen, zzp’ers en scholen hebben ermee te maken. Tegelijkertijd is het voor alle organisaties een ideale springplank om te innoveren en te profiteren van de voordelen die nieuwe technologie biedt om productiever, efficiënter en daarmee slimmer te werken.

De AVG heeft zes basiselementen die iedere organisatie in Europa moet naleven:
1. Transparantie over verwerking en gebruik van persoonsgegevens;
2. Beperken van verwerking van persoonsgegevens tot specifieke, legitieme doeleinden;
3. Beperken van verzameling en opslag van persoonsgegevens tot beoogd gebruik;
4. Individuen in staat stellen om persoonsgegevens te corrigeren of om verwijdering te vragen;
5. De opslagduur van persoonsgegevens beperken tot zo lang als nodig is voor beoogd gebruik;
6. Persoonsgegevens beveiligen met geschikte beveiligingsmethoden.

Bescherming van klantgegevens heeft prioriteit
Bescherming van klantgegevens begint met de principes van de regelgeving, waaronder transparantie, juistheid van gegevens, veiligheid, maximale bewaartermijnen en integriteit en vertrouwelijkheid van klantdata. Al deze uitgangspunten sluiten nauw aan op hoe een moderne organisatie de klant zou moeten ondersteunen. Het begint erbij dat je een goed beeld van klanten kan vormen door hun historie te kennen en te weten wat de klantbehoefte is om te kunnen anticiperen op toekomstige eisen en wensen. Neem een klant van een bakker die via de website een verjaardagstaart bestelt voor een van zijn kinderen. Onder andere een foto, geboortedatum en adres moeten dan worden aangeleverd. Gebeurt dat veilig en worden de gegevens bewaard? Hoelang en waarom? Daarnaast is het van belang om te beschikken over veilige soft- en hardware om medewerkers, klanten en relaties te ondersteunen en veiligheid te waarborgen. Denk daarbij aan bijvoorbeeld een actueel, veilig en up-to-date relatiemanagementsysteem in de cloud, waardoor beschikbaarheid en veiligheid gewaarborgd zijn en naleving van de AVG eenvoudiger te ondersteunen is.

De stand van zaken in Nederland
Een meerderheid van de Nederlandse organisaties is positief, omdat er nu meer duidelijkheid is over de regels en richtlijnen omtrent privacy. De teneur is dat regels onontkoombaar zijn in deze tijd van moderne technologie en fraudegevoeligheid. Daartegenover staan ook kritische geluiden, met name over de hoge boetes en het werk dat intern moet gebeuren om te voldoen aan de nieuwe wetgeving. Bijna de helft van de organisaties (47 procent) zoekt hulp als het gaat om het beveiligen van data. Lees op de Microsoft website meer hierover.

AVG staat op de agenda
Wat verder opvalt, is dat de AVG bij een ruime meerderheid van de respondenten op de agenda staat, maar dat niet altijd duidelijk is in welke mate hun eigen organisatie moet voldoen aan de verordening. Verder is het risico op boetes niet nadrukkelijk bekend bij medewerkers en wordt het beschermen en beveiligen van persoonsgegevens het meest genoemd als reden om externe hulp in te schakelen. Slechts een kleine minderheid geeft aan dat haar organisatie nu al aan de wetgeving voldoet. Van de organisaties die nu nog niet klaar zijn voor de AVG – zo’n 95 procent – geeft ongeveer een op de vijf aan zeker te weten dat ze op 25 mei 2018 zover zullen zijn. Een ruime meerderheid van de respondenten die nu nog niet klaar is, verwacht zeker of waarschijnlijk wel op 25 mei 2018 klaar te zijn.

Nuttige tools
Een meerderheid van de organisaties doet de voorbereiding op naleving van de AVG zelf, zo blijkt. Ongeveer een kwart schakelt hiervoor een externe partij in. Dat gaat het vaakst om een gespecialiseerde dienstverlener of consultant. Organisaties die zelf de voorbereiding doen en willen weten waar ze staan, vinden op het internet veel achtergrond, informatie en nuttige tools, zoals de AVG-scan en een handige whitepaper met stappenplan van Microsoft. Daarnaast zijn er tal van Microsoft-partners die veel kennis en expertise hebben opgebouwd op het gebied van de AVG en die kunnen helpen, waar en wanneer dat nodig mocht zijn. Kijk voor meer informatie op de website van Microsoft.

Nieuwe technologie voor je laten werken
De AVG heeft voor elke organisatie die omgaat met persoonsgegevens consequenties. Het maakt in principe niet uit of je multinational of zzp’er bent, iedereen wordt verwacht te voldoen aan de regels. Het heeft daarom weinig zin om je blind te staren op de hobbels op de weg naar naleving. Want wie positief denkt, ziet vooral kansen om juist nu werk te maken van modernisering van de technologie die gebruikt wordt in organisaties. Zo kan bijvoorbeeld de overstap gemaakt worden op een nieuw relatiemanagementsysteem in de cloud, dat is ontwikkeld met de principes van de AVG in het achterhoofd. Maar denk ook aan nieuwe manieren van samenwerken binnen teams en organisaties en laat technologie voor je werken. Creëer bewustzijn bij medewerkers: oude gewoontes kunnen tegen het licht gehouden worden en plaatsmaken voor nieuwe processen die een beter resultaat voor de organisatie tot gevolg hebben. Dan ben je niet alleen klaar voor de AVG, maar ook voor de toekomst. En daar gaat het uiteindelijk om.

Overige berichten

Team Vier voldoet opnieuw aan de kwaliteitseisen voor marktonderzoek en Access Panels
Team Vier gecertificeerd voor ISO 27001-norm voor Informatiebeveiliging
Automobilist is bang om te rijden tijdens jaarwisseling
Onderzoek: 1 op 4 slaat slag op Black Friday en Cyber Monday
Bijna de helft van het mkb worstelt met vinden juiste kandidaat
Nederlander gehecht aan auto: 2 op de 10 kan geen dag zonder
Twee op vijf Nederlandse jongeren seksueel actief
Helft automobilisten ergert zich aan smartphonegebruik medeweggebruikers
Nederlandse jongere dagelijks drie uur op social media