Slechts één op vier Benelux-bedrijven begrijpt impact GDPR

Frankrijk en de Benelux lopen voor op het Verenigd Koninkrijk wat het conformeren van hun bedrijfsvoering naar GDPR betreft. Er moeten evenwel nog steeds veel gebeuren. Dat blijkt uit recent onderzoek dat Vanson Bourne voor rekening van IT-security specialist Sophos uitvoerde.

De meest zorgwekkende cijfers geven aan dat 54% van de bedrijven niet goed begrijpt wat de aan GDPR gekoppelde boetes inhouden. Bedrijven die de GDPR niet naleven, krijgen te maken met zware boetes van tot wel 20 miljoen euro of 4% van de totale wereldwijde omzet. Bijna één op de vijf (17%) van alle geïnterviewde bedrijven gaf toe dat ze in geval van boete hun bedrijf zouden moeten sluiten. Dat cijfer stijgt naar 54% voor kleine bedrijven met minder dan vijftig medewerkers. Het sluiten van bedrijven zou niet het enige effect zijn: 39% van de IT-besluitvormers gaf aan dat boetes ook tot ontslagen binnen hun bedrijf zouden leiden.

Ondanks die bezorgdheid beschouwt slechts 6% van de bedrijven in het Verenigd Koninkrijk GDPR als een topprioriteit, in tegenstelling tot Frankrijk (30%) en de Benelux (25%). Nog zorgwekkender is dat 20% van de bedrijven in het VK de GDPR als een lage prioriteit beschouwt, een veel hoger cijfer in vergelijking met Frankrijk (8%) en de Benelux (11%).

Bijna één op de vijf bedrijven claimde al aan de regelgeving te voldoen in Frankrijk (19%) en de Benelux (18%), maar wederom staat het VK op de laatste plaats: slechts 8% geeft er momenteel aan te voldoen aan GDPR.

Bedrijven in heel Europa brengen hun bedrijfsvoering langzaam in overeenstemming met GDPR, waarbij 42% denkt dat ze dit geregeld hebben, maar er is nog heel wat te doen:

  • Slechts 42% heeft een functionaris Gegevensbescherming aangesteld, een veel kleiner aantal dan verwacht.
  • Momenteel heeft slechts de helft van de organisaties maatregelen ingevoerd om te garanderen dat de persoon van wie gegevens worden verzameld, toestemming geeft voor gegevensverzameling.
  • 44% heeft procedures in het leven geroepen voor het verwijderen van persoonsgegevens in geval van een verzoek om “the right to be forgotten” of als een persoon bezwaar maakt tegen het verwerken van zijn/haar gegevens.
  • Minder dan de helft (45%) is in staat om binnen de 72 uur na ontdekking een gegevenslek te melden.

Goed nieuws is dat 65% van de organisaties een beleid voor gegevensbescherming heeft ingevoerd en dat 98% van de organisaties een formeel plan voor werknemers heeft of dit momenteel implementeert, waarin het beleid voor gegevensbescherming wordt beschreven, alsook wat er van werknemers wordt verwacht als ze met persoonsgegevens omgaan. Dat toont dat organisaties vooruitgang boeken inzake gegevensbeveiliging op de werkplek en dat ze werknemers aanmoedigen om de zaak ernstig te nemen.