Tegen 25 mei 2018 moet elke onderneming die persoonsgegevens verwerkt voldoen aan de General Data Protection Regulation, kortweg GDPR. Maar het ziet er naar uit dat heel wat Belgische bedrijven die deadline niet halen, zo blijkt uit een onderzoek van Data News en IRIS.
Sinds de GDPR eind 2015 goedgekeurd werd door Europa, is er misschien wel meer inkt over gevloeid, zijn er meer whitepapers gepubliceerd en zijn er meer Powerpointpresentaties gegeven dan over de fameuze milleniumbug. Net als toen Y2K als een zwaard van Damocles boven IT-bedrijven hing, spinnen consultants nu garen uit de onwetenheid van bedrijven. En net als met de Y2K-bug werd en wordt er ook onnodig veel angst gezaaid om vervolgens dure lastenboeken te oogsten. Maar daar houdt de vergelijking dan ook meteen op, want GDPR heeft niks met een softwarefout te maken maar wel alles met nieuwe – of beter: vernieuwde – wetgeving. En helemaal niéts doen, is echt geen optie.
De General Data Protection Regulation (GDPR) – in algemeen beschaafd Nederlands eigenlijk de Algemene Verordening Gegevensbescherming (AVG) – is in essentie een bijgewerkte versie van de verouderde Europese wetgeving die al dateert van 1995. De nieuwe GDPR wil enerzijds de regels rond gegevensbescherming moderniseren en aanpassen aan een hedendaagse realiteit met cloud en sociale media, maar anderzijds ook de wetgeving in de verschillende Europese landen harmoniseren.
Vanaf 25 mei zal er over heel Europa nog één legaal kader gelden, waaraan de verschillende landen moeten voldoen. Alle overheidsinstanties en alle bedrijven die in Europa persoonsgegevens verwerken, vallen onder de GDPR.
Hoe ver staat België?
In de aanloop naar de deadline van 25 mei maken Data News en IRIS een stand van zaken op: hoe ver staan Belgische bedrijven in hun voorbereidingen? Op de vraag of ‘uw bedrijf al concrete maatregelen genomen heeft in het kader van GDPR’ antwoordt gelukkig een meerderheid bevestigend. 35,5% zegt ondertussen de eerste stappen gezet te hebben, terwijl 23,4% al beweert in een vergevorderde fase te zitten. Maar amper 5,5% van alle respondenten meent nu al klaar te zijn voor GDPR. Dat zijn dan vooral de grotere bedrijven die al een hele tijd geleden gestart zijn met de eerste voorbereidingen. Zo hebben we bijvoorbeeld weet van een Belgische grootbank die al helemaal ‘GDPR-ready’ is, maar die dan ook ruim 2,5 jaar geleden al begonnen is met het eerste voorbereidende werk.
Amper 5,5% van alle respondenten meent nu al klaar te zijn voor GDPR
Verontrustend is wel de toch bijna 19% die zegt – op minder dan 4 maand van de deadline – nog te moeten beginnen met het uitvoeren van concrete maatregelen. En misschien nog verontrustender: ‘Nee, het is voor ons bedrijf niet nodig’, antwoordt 7,5%. Nochtans is de kans bijzonder groot dat GDPR ook een invloed heeft op die bedrijven en dat er wel degelijk persoonsgegevens verwerkt worden. Met persoonsgegevens bedoelt Europa alle gegevens waarmee iemand geïdentificeerd kan worden, en dat mag u gerust ruim interpreteren. Denk dus ook aan IP-adressen, gebruikers-namen, logins, of zelfs tweets: alles wat een gebruiker kan identificeren.
4 op de 10 bedrijven hebben juridisch advies ingewonnen. Zo’n 36,5% heeft ook technisch advies ingewonnen.
Een uitsplitsing naar aantal werknemers legt een duidelijke tweespalt bloot. Van de grote bedrijven (+500 werknemers) is er bijna geen enkele respondent die aangeeft dat zijn bedrijf nog geen maatregelen genomen heeft. Bij de middelgrote bedrijven (51-500 werknemers) is dat bijna 18%, en bij de kleine bedrijven (minder dan 51 werknemers) loopt dat maar liefst op tot 34,5%. Afgerond 15% van de kmo’s zegt ‘al in een vergevorderde fase’ te zitten. Oftewel: het zijn vooral de kmo’s die talmen in de uitvoering.
Bijna niemand doet alles zelf
Het begrip GDPR is bij heel wat organisaties voor het eerst binnengekomen vanuit juridische kant of vanuit HR, van daaruit is het tot op het bord van directie én IT beland. Dat merkt u ook aan de antwoorden op de vraag of ‘uw bedrijf advies ingewonnen heeft rond GDPR’. 4 op de 10 bedrijven hebben juridisch advies ingewonnen, en 36,5% heeft ook technisch advies ingewonnen. 11 procent vroeg zich dan weer af hun bedrijf wel onder de wetgeving valt en zocht daar advies. Slechts 16% van alle respondenten zegt dat er genoeg kennis in huis is rond GDPR. Dat betekent dat consultants dus wel degelijk goede zaken doen, maar dan vooral rond het juridische en technische aspect. Security en privacy blijven toch wat achter: 14,4% heeft een security-audit besteld en 12,3% een informatie-audit. Omdat het per slot van rekening toch ook om privacygevoelige data gaat, zou u wel verwachten dat meer bedrijven hierrond een audit uitvoeren.
Slechts 16% van alle respondenten zegt dat er genoeg kennis in huis is rond GDPR. Dat betekent dat consultants dus goede zaken doen, maar dan vooral rond het juridische en technische aspect. Security en privacy blijven toch wat achter.
“In het algemeen is het voor mij duidelijk dat er daarnaast nog steeds een noodzaak aan awareness is”, zegt Rick Gruijters, Director Business Strategy EIM bij IRIS Professional Solutions, gespecialiseerd in enterprise information management: “Bij ruim 80% van de organisaties met meer dan 500 werknemers is niet iedereen binnen het bedrijf op de hoogte. En wat ik zelf nog alarmerender vind in de resultaten: bijna 1 op de 4 directies (23%) van grote organisaties met meer dan 500 werknemers neemt de risico’s van GDPR niet serieus.”
Waar zitten de persoonsgegevens?
Weet u waar de persoonsgegevens die uw bedrijf verwerkt opgeslagen worden? Voor een groot stuk is dat – uiteraard – in ERP-software, CRM-oplossingen en andere bedrijfsapplicaties: met 57,1% een logisch antwoord. Het topantwoord is met 64,5% echter ‘op het bedrijfsnetwerk’. Ook e-mail en cloud scoren hoog (43,9% en 37,6%) en dat is ook al geen verrassing. “Maar dan is het nog de vraag wat je onder cloud bedoelt”, voegt Rick Gruijters toe. “Een private cloud kan perfect veilig zijn, maar een eenvoudige Dropbox-account is al een ander paar mouwen. Persoonlijke Dropbox accounts worden vooralsnog niet voorbereid op GDPR, hiermee creëer je dus feitelijk direct een datalek. Beseffen CIO’s de risico’s van end user cloudoplossingen voldoende?”, vraagt Gruijters zich af. Mobiele apparaten (laptop, tablet, telefoon) en USB-opslagdevices lijken dan weer wat ondervertegenwoordigd in de ranking met respectievelijk 20,6 en 12,9%. “Maar zelfs al is dat een correcte weerspiegeling, dan is het meer dan voldoende om als bedrijf rekening mee te houden. En als ik deze cijfers dan correleer met die van de security policy’s op die dragers, dan schrik ik toch”, zegt Gruijters.
In zowat de helft van alle ondervraagde bedrijven bestaat er een policy rond security en compliance van persoonsgegevens voor mobiele apparaten. Voor USB- en externe opslagdevices is dat 44%. Een onaanvaardbaar risico lijkt dat, zeker als u weet wat de belangrijkste oorzaken van dataverlies zijn. Het topantwoord (44,7%) is ‘onzorgvuldige werknemers’. Combineer dat met ‘fysiek verlies van data (USB, harde schijf)’ (28,9%) en u ziet waar de angel zit. “Je kan je infrastructuur en clouddiensten nog zo dichttimmeren, als een medewerker er mee gaat lopen, ben je als bedrijf altijd de pineut. Bottom line is voor mij dat het de gebruiker eigenlijk allemaal niet boeit, waar hij of zij de persoonsgegevens opslaat. Maar dus is het zaak dat je als bedrijf weet waar alle persoonsgegevens zich bevinden, en daar dan vervolgens de nodige acties op onderneemt om de risico’s te beperken”, stelt Gruijters.
42,4% van alle respondenten zegt dat het bedrijf waar hij of zij werkt in kaart heeft gebracht welke persoonsgegevens het beheert, waar deze gegevens vandaan komen en met wie de gegevens werden of worden gedeeld. Nog eens 19,8% heeft dat enkel voor bepaalde afdelingen gedaan. Blijft over: 5,1% die dat niet gedaan heeft en ook echt niet van plan is, en afgerond 30% die zegt dat het nog in kaart gebracht moet worden.
“Zoals ik al zei: de awareness blijkt nog altijd een probleem te zijn. Maar uiteraard spelen ook de beperkte ondersteuning door het management of budgetlimieten mee. Nochtans is dat wat onterecht, want je kan ondertussen al deels automatisch die gegevens in kaart brengen. CIO’s beseffen het wél. Ik hoor toch voortdurend dat persoonsgegevens, en meer bepaald de ‘dark data’ hun grootste angst is.” Dark data is een term waarmee Gartner doelt op de ‘vergeten’ bestanden en gegevens die overal in de organisatie zijn opgeslagen, maar waarvan niemand nog weet dat ze er zijn.
“En dat gebeurt overal en continu. HR die bijvoorbeeld cv’s verzamelt, maar waarmee de business aan de slag moet. Het duurt echt niet lang voor er kopies gaan rondslingeren die iedereen achteraf vergeet”, weet Gruijters. Wat volgens hem alleen maar de noodzaak bewijst dat u maar beter een oplossing voorziet die álle persoonsgegevens in kaart brengt; want wie niet zoekt, niet vindt.
Bemoedigend is dat driekwart van de grote bedrijven (>500 werknemers) de invoering van GDPR ook een goede zaak vindt voor bedrijven zelf. Bij kmo’s is dat 56%.
Bedrijven zien de noodzaak
Met de GDPR wil Europa dus de wetgeving rond internationaal handelen transparanter maken, maar tegelijk ook de burgers meer controle geven over het gebruik van hun persoonsgegevens. Organisaties moeten volgens de GDPR ook de burgers informeren over hoe ze gegevens verzamelen en verwerken. Zowat de helft van de respondenten (48,2%) doet dat nu echter nog niét. Toch is een overweldigende meerderheid ervan overtuigd dat de invoering van GDPR een goede zaak is voor de consument (87,6%). Of GDPR ook het aantal datalekken kan terugdringen, is minder evident voor sommige respondenten: 60,6% is daar van overtuigd. Wel bemoedigend is dat driekwart van de grote bedrijven (>500 werknemers) de invoering van GDPR ook een goede zaak vindt voor bedrijven zelf. Bij kmo’s is dat 56%. Ergens leeft bij bedrijven dus wel het besef dat er iets moest gebeuren aan de manier waarop we met z’n allen met persoonsgegevens omgaan: ook al zorgt het voor flink wat extra inspanningen bij die bedrijven.
58% van de grote bedrijven heeft het over ‘grote inspanningen’. Bij middelgrote ondernemingen is dat 40,7% en bij de kleine bedrijven 32%. Hoe kleiner het bedrijf, hoe groter de kans dat het bedrijf alle maatregelen volledig intern wil uitvoeren. Bij de grote ondernemingen doet 42,3% beroep op één of meerdere externe partijen om het nodige werk uit te voeren om het bedrijf volledig ‘compliant’ te maken voor de GDPR.
Data Protection Officer
Door de invoering van GDPR zullen heel wat (grote) bedrijven en overheidsorganisaties een data protection officer (DPO) moeten aanstellen. Het gaat dan om organisaties die ‘bijzondere’ gegevens verwerken zoals strafrechtelijke data, politieke voorkeur of religieuze overtuiging. In onze enquête zeggen 4 op de 10 respondenten dat hun bedrijf dat al gedaan heeft of zal doen. Een DPO kan u ofwel intern aanstellen, ofwel extern aanwijzen.
4 op de 10 respondenten zeggen dat hun bedrijf een Data Protection Officer heeft aangesteld of dat zal doen.
Maar de lijst met maatregelen die bedrijven nemen of nog zullen nemen, is erg omvangrijk: aanpassing van het security- en privacybeleid rond data, aanpassing van interne processen, de organisatie van interne training en communicatie, technische aanpassingen aan software, alignering met leveranciers, standaardisering van processen enzovoort.
Een rem op het implementatiewerk lijken de sectorspecifieke afspraken rond GDPR. Staatssecretaris voor Privacy Philippe De Backer (Open VLD) vertelde eind november nog aan Data News dat hij vond dat de Privacycommissie daar nog een tandje mag bijsteken en de nodige duidelijkheid scheppen. De resultaten van ons onderzoek lijken dat te bevestigen: 38,2% vindt dat er nog veel GDPR-regels verduidelijkt moeten worden voor de sector waarin zijn of haar bedrijf opereert.
Of onze bedrijven klaar gaan zijn?
Blijft dus vooral de hamvraag: gaan onze bedrijven helemaal klaar zijn tegen de deadline van 25 mei? Eerst het goede nieuws: bijna een kwart (24,8%) van onze bedrijven antwoordt met ‘ja, zeker wel’. Nog eens 46,2% houdt een slag onder de arm met ‘ja, waarschijnlijk’. Blijft toch nog zowat een derde van alle respondenten die (allicht) niet (volledig) klaar zal zijn: 7,6% weet dat nu al (‘nee, zeker niet’), en 21,4% vermoedt het (‘nee, waarschijnlijk niet’).
En is dat nu een goed resultaat? “Ja, ik vind het aantal bedrijven dat klaar gaat zijn best wel hoog, dat is bemoedigend”, zegt Rick Gruijters van IRIS Professional Solutions.
De Gegevensbeschermingsautoriteit (GBA) – de nieuwe naam van de hervormde Privacycommissie – krijgt wel voldoende slagkracht om naleving van de GDPR af te dwingen, zo maakte bevoegd staatssecretaris Philippe De Backer eerder al duidelijk aan Data News: “De Gegevensbeschermingsautoriteit krijgt ook sanctie- en repressiebevoegdheden en zal bijvoorbeeld audits bij bedrijven kunnen uitvoeren. De sanctiebevoegdheid zal waarschijnlijk in handen komen van mensen die uit de magistratuur komen. Dat hoeft geen verrassing te zijn, want ook nu zitten er in de commissie al wat mensen die uit de magistratuur komen. Maar de nadruk zal vooral liggen op preventie en sensibilisering.”
“Het is nu vooral afwachten hoe actief de GBA deze naleving gaat afdwingen. Hoe strenger de sancties, hoe groter de urgentie zal zijn voor de achterblijvers”, besluit Gruijters.
Zij vulden onze enquête in
· De enquête werd online afgenomen tussen 21 december en 13 januari onder de lezers van Data News.
· 584 respondenten (180 Franstalig en 404 Nederlandstalig) vulden het onderzoek in.
· 55% van de respondenten werkt in de dienstverlening (privé), 21% in industrie/productie (privé), 10% in de non-profit (inclusief gezondheidszorg) en de resterende 14% in de openbare sector/overheid.
· 58% van de ondervraagden werkt in een bedrijf of organisatie die buiten de traditionele IT-sector valt. 14% werkt in een softwarebedrijf, 13% bij een systeemintegrator of consultant. 7% is tewerkgesteld bij een distributeur/reseller en nog eens 5 en 3% bij respectievelijk een hardwarebedrijf en outsourcer/hostingbedrijf.
· Uitgesplitst naar de grootte van het bedrijf werkt 28% bij de grote bedrijven met minstens 500 werknemers. 15% werkt in een onderneming met 51 tot 500 werknemers. 35% werkt dan weer bij kleinere ondernemingen tot maximaal 50 werknemers. De resterende 14% is zelfstandig.
Meer over GDPR leest u in Data News 01/2018
In het compleet vernieuwde Data News magazine 01/2018 vindt u alle resultaten uit onze GDPR-enquête nog eens op een rij, samen met heel wat achtergrondkennis en analyse van Belgische GDPR-experten. Daarnaast serveren we u ook een uitgebreid interview met Willem Debeuckelaere, voorzitter van de Gegevens Beschermings Authoriteit (GBA), de voormalige Privacycommissie.
Fout opgemerkt of meer nieuws? Meld het hier