Op woensdag 13 december 2017 ging de uitvoeringswet over gegevensbescherming naar de Tweede Kamer. Deze wet geeft uitvoering aan de Europese Algemene Verordening Gegevensbescherming (AVG), ook bekend als de General Data Protection Regulation (GDPR) die op 25 mei 2018 in werking treedt. In opdracht van Microsoft deed onderzoeksbureau Team Vier onderzoek onder ruim 600 Nederlandse directeuren en IT-managers. Hoe ervaren zij de AVG en waar lopen ze tegenaan op het gebied van compliancy?
IT meer betrokken
Uit het onderzoek blijkt dat IT-managers over het algemeen beter bekend zijn met de AVG dan directeuren en er regelmatiger over praten. Alle respondenten zijn weliswaar bekend met deze nieuwe regelgeving, maar niet iedereen weet precies of deze op hun organisatie van toepassing is. De IT-managers (84 procent) zijn zich hier meer van bewust dan de directeuren (72 procent). Van de IT-managers is overigens 68 procent positief over de AVG tegenover 57 procent van de directeuren. Duidelijkheid rond richtlijnen, meer transparantie en verbeterde bescherming van persoonsgegevens zijn de hiervoor aangedragen redenen. Toch bleek het risico op boetes niet nadrukkelijk bekend bij medewerkers en een kleine minderheid (6 procent) gaf aan dat de organisatie nu al aan de AVG-eisen voldoet. Volgens de IT-managers grijpt slechts 51 procent van de organisaties naleving aan om te innoveren door processen te verbeteren. Volgens directeuren gebeurt dat in hun organisatie in 43 procent van de gevallen.
Martin Vliem, National Security Officer bij Microsoft: “Het is opmerkelijk maar niet verrassend te noemen dat het de IT-managers zijn die het meest betrokken zijn. Opmerkelijk omdat de kern van de AVG, zorgvuldige verwerking en bescherming van persoonsgegevens, niet altijd voortkomt uit IT-gerelateerde overwegingen. Het verwerken van persoonsgegevens is een keuze gemaakt door het management, bijvoorbeeld vanwege marketing-gedreven doelen. Daarmee is naleving een verantwoordelijkheid van de gehele organisatie.”
Volgens Vliem is het niet verrassend dat vooral IT meer betrokken lijkt te zijn bij naleving van de AVG: “In discussies rond de nieuwe wetgeving merk ik vooral IT-verantwoordelijken op, terwijl het juist ook aan de bestuurstafel zou moeten worden besproken. De nieuwe wetgeving vraagt vooral om bewustwording en het aanpassen van hoe de organisatie nadenkt over het verzamelen, verwerken, beheren en beveiligen van persoonsgegevens. In de praktijk betekent dit een organisatiebrede cultuurverandering en nieuwe manieren van werken die ondersteund kunnen worden door modernisering van de IT-omgeving.”
In een vandaag gepubliceerde blogbijdrage licht Martin Vliem toe wat hij opmerkt in gesprekken met klanten en partners en geeft hij handvatten die organisaties kunnen helpen om aan de slag te gaan met de AVG.
“Het adresseren van de grondbeginselen van de AVG maakt het mogelijk om in control te worden en dat is precies de bedoeling van de nieuwe regelgeving. Juist daarom is dit ook een uitgelezen kans om al je processen nog eens goed te bekijken en verbeteringen door te voeren, daar waar dat nuttig en nodig is. Het is zaak om de AVG niet te onderschatten. Het zal de nodige tijd en energie vragen om alles goed voor te bereiden en uit te voeren. En als je dan toch bezig bent, is dit ook het juiste moment om te checken hoe je met het implementeren hiervan de organisatie meer kan laten bereiken”, besluit Vliem.