Kwart bedrijven tegen jaarwisseling nog altijd niet klaar voor GDPR | AVG

22 mei 2018 Consultancy.nl

Aanstaande vrijdag is het dan echt zover: dan wordt de gevreesde AVG/GDPR van kracht. Een zegen voor consumenten maar een operationele ramp voor het bedrijfsleven, is het algemene beeld. Nieuw onderzoek laat zien dat een groot deel van de organisaties zich grote zorgen moet maken om zijn reputatie en/of portemonnee. Een kwart van hen zal zelfs bij de jaarwisseling nog niet klaar zijn voor de GDPR.

De GDPR, oftewel General Data Protection Regultation – die vanaf 25 mei in de gehele EU zal gelden, is ontstaan als antwoord op de vele digitale ontwikkelingen van de laatste decennia. Grote hoeveelheden persoonlijke data staan tegenwoordig digitaal opgeslagen bij allerlei bedrijven en instellingen, wat zorgt voor de nodige (privacy)risico’s. In de GDPR – die in Nederland wordt ingevoerd onder de naam Algemene Verordening Gegevensbescherming (AVG) – worden voor burgers de rechten uitgebreid ten aanzien van de verwerking en opslag van hun persoonsgegevens. Daarnaast worden de regels omtrent datalekken verscherpt. Zo moeten deze voortaan nauwkeurig worden gedocumenteerd.

In de aanloop naar de invoering van de nieuwe wetgeving hebben experts keer op keer gewaarschuwd dat bestuurders niet genoeg aan het doen zijn om op tijd klaar te zijn voor de naderende deadline. En terwijl dergelijke deadlines in het geval van andere nieuwe wetgeving nog weleens werden uitgesteld, zal dit niet gebeuren bij de GDPR. Zo gaf de Nederlandse Autoriteit Financiële markten (AFM) eerder al duidelijk te kennen dat het zich niet coulant zou opstellen tegenover de Belastingdienst. Deze strenge mededeling volgde op het nieuws dat een groot deel van de Nederlandse overheidsinstanties zelf niet op tijd klaar zal zijn voor de AVG.

GDPR-compliance, per land

De belangrijkste reden voor deze lage mate van compliance is tweeledig. In de eerste plaats werd de impact van de nieuwe wet lange tijd onderschat, zoals naar voren kwam in onderzoek van EY. In een enquête gehouden vier maanden voor het in werking treden van de AVG, gaf 27% van de Nederlandse respondenten aan nog niet te beschikken over een plan waarmee aan de nieuwe wetgeving wordt voldaan. Wereldwijd was dit zelfs 67%*. 

En toen vervolgens de alarmbellen eindelijk volop afgingen, was het simpelweg te laat om nog met een goed antwoord te komen op de complexe materie van de GDPR. De nieuwe wetgeving is allesbehalve eenvoudig en raakt aan praktisch alle lagen en aspecten van een organisatie. In de hedendaagse wereld werkt zo ongeveer iedereen met data, van sales en marketing tot finance en supply chain. Bovendien moeten zij allen samenwerken in één gestroomlijnde bedrijfsvoering. Kortom: veel werk aan de winkel.

Dit dreigt nu zijn tol te eisen. In een rapport van Capgemini wordt gesteld dat pakweg de helft van de bedrijven in Europa en de Verenigde Staten nog niet volledig zullen voldoen aan de GDPR wanneer deze vrijdag in werking treedt. In Nederland ligt dit percentage bijvoorbeeld op 49%. Amerikaanse en Britse bedrijven zijn volgens de onderzoekers het verst gevorderd, ondanks het feit dat hier respectievelijk slechts 37% en 45% aangeeft op tijd grotendeels of volledig aan de wet te zullen voldoen. Gevraagd naar hoe lang het zal duren om wel volledig compliant te zijn, geeft 85% van de nog niet gereed zijnde bedrijven aan dat dit meer dan drie maanden na de invoering van de GDPR pas het geval zal zijn. Eén op de vier organisaties zal tegen het eind van 2018 nog altijd niet klaar zijn voor de GDPR. 

GDPR-comliance per sector

Naast dat ze zich moeten voorbereiden op de regulatieve kant van de invoering – oftewel de eisen van de toezichthouder – moeten organisaties klaar zijn voor hun klanten. En ook dit kan voor flinke problemen gaan zorgen. De GDPR stelt consumenten namelijk in staat actie te ondernemen omtrent hun eigen data – ze kunnen organisaties gebieden hen op de hoogte te stellen van wat zij van hun weten, en tevens opdracht geven deze gegevens te wijzigen of te wissen. In heel Europa zegt gemiddeld 57% van de mensen actie te zullen ondernemen tegen een organisatie, indien duidelijk is dat dit bedrijf er niet in slaagt om zijn of haar persoonlijke gegevens adequaat te beschermen. In Nederland is dit percentage zelfs nog hoger, namelijk 62%. In deze uitkomst weerklinkt een eerdere studie van KPMG, waarin wordt gesteld dat organisaties een megaklus zullen krijgen aan alle GDPR-gerelateerde klantverzoeken. 

Wanneer consumenten de indruk krijgen dat een organisatie niet voldoet aan de GDPR, kan dit ook een flinke financiële impact hebben. De maatregelen die consumenten hierbij zullen treffen, zijn bijvoorbeeld het verminderen van uitgaven bij het bewuste bedrijf (71%), volledig stoppen er zaken mee te doen (71%), of de organisatie verzoeken al hun persoonlijke data te verwijderen (75%). 

De positieve keerzijde van het hele verhaal is dat de invoering van de GDPR juist voor mogelijkheden zorgt onder de bedrijven die hun zaakjes wel goed op orde hebben. Zo blijkt uit Capgemini’s analyse dat 39% van de consumenten die geloven dat een organisatie hun persoonlijke gegevens goed beschermt, daar meer producten koopt en daardoor meer geld uitgeeft bij dat specifieke bedrijf. De hogere uitgaven zijn aanzienlijk: consumenten spenderen gemiddeld zo'n 24% meer. De voordelen gaan bovendien verder dan alleen de extra inkomsten: 49% van de consumenten zegt positieve ervaringen te hebben gedeeld met vrienden en familie. Hierdoor wordt de reputatie van een bedrijf bij potentiële klanten versterkt. “GDPR biedt juist ook kansen”, stellen de onderzoeker dan ook. 

Gerelateerd: Handleiding GDPR | Algemene verordening gegevensbescherming. 

* Terwijl de GDPR EU-wetgeving is, geldt deze straks ook voor bedrijven buiten de EU die met klantdata werken van EU-burgers.

Nieuws

×
A.T. Kearney Accenture ACE Adaptif Adlasz Adviesgroep Novius Anderson MacGyver Andersson Elffers Felix Annalise Arthur D. Little AT Osborne Atos Consulting Avantage Reply B&A Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Corporate Finance Boer & Croon Management Bostec Boston Consulting Group Bright & Company | People Strategy buro C5 Bvolve Capgemini Invent Centric Cmotions COMATCH Conclusion Considerati Count & Cooper De Kleine Consultant Deloitte Delta Capita Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting flowresulting Front Consulting Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Consulting & Interim Improven InContext innergo innogy Consulting INNOPAY Intermedius ITDS Business Consultants JBR JBR Interim Executives Kirkman Company KplusV KPMG Kruger KWINK groep Leeuwendaal M3 Consultancy Magnitude Consulting Magnus Marktlink McKinsey & Company Mercer Methis Consulting METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group OrangeX Ordina Oxyma p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quint Wellington Redwood Quintop Raad van Toekomst RevelX RGP Rijnconsult Roland Berger Scenter Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy Development Partners Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron Business Consulting TEN HAVE Change Management The Next Organization Turner TWST Twynstra Gudde UMS Group UniPartners UPD Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup Young Advisory Group Zestgroup