Microsoft: GDPR niet alleen een IT-aangelegenheid

Op woensdag 13 december 2017 ging de uitvoeringswet over gegevensbescherming naar de Tweede Kamer. Deze wet geeft uitvoering aan de Europese Algemene Verordening Gegevensbescherming (AVG), ook bekend als de General Data Protection Regulation (GDPR) die op 25 mei 2018 in werking treedt. In opdracht van Microsoft deed onderzoeksbureau Team Vier onderzoek onder ruim 600 Nederlandse directeuren en IT-managers naar hoe zij de GDPR ervaren en waar ze tegenaanlopen op het gebied van compliance.

Uit het onderzoek van Microsoft blijkt dat IT-managers over het algemeen beter bekend zijn met de GDPR dan directeuren en er regelmatiger over praten. Alle respondenten zijn weliswaar bekend met deze nieuwe regelgeving, maar niet iedereen weet precies of deze op hun organisatie van toepassing is. De IT-managers (84 procent) zijn zich hier meer van bewust dan de directeuren (72 procent). Van de IT-managers is overigens 68 procent positief over de GDPR tegenover 57 procent van de directeuren.
Duidelijkheid rond richtlijnen, meer transparantie en verbeterde bescherming van persoonsgegevens zijn de hiervoor aangedragen redenen. Toch bleek het risico op boetes niet nadrukkelijk bekend bij medewerkers en een kleine minderheid (6 procent) gaf aan dat de organisatie nu al aan de GDPR-eisen voldoet. Volgens de IT-managers grijpt slechts 51 procent van de organisaties naleving aan om te innoveren door processen te verbeteren. Volgens directeuren gebeurt dat in hun organisatie in 43 procent van de gevallen.

Verantwoordelijkheid van gehele organisatie
Volgens Martin Vliem, National Security Officer bij Microsoft, is het opmerkelijk maar niet verrassend te noemen dat het de IT-managers zijn die het meest betrokken zijn. “Opmerkelijk omdat de kern van de GDPR, zorgvuldige verwerking en bescherming van persoonsgegevens, niet altijd voortkomt uit IT-gerelateerde overwegingen. Het verwerken van persoonsgegevens is een keuze gemaakt door het management, bijvoorbeeld vanwege marketinggedreven doelen. Daarmee is naleving een verantwoordelijkheid van de gehele organisatie.”
Het is volgens Vliem niet verrassend dat vooral IT meer betrokken lijkt te zijn bij naleving van de GDPR. “In discussies rond de nieuwe wetgeving merk ik vooral IT-verantwoordelijken op, terwijl het juist ook aan de bestuurstafel zou moeten worden besproken. De nieuwe wetgeving vraagt vooral om bewustwording en het aanpassen van hoe de organisatie nadenkt over het verzamelen, verwerken, beheren en beveiligen van persoonsgegevens. In de praktijk betekent dit een organisatiebrede cultuurverandering en nieuwe manieren van werken die ondersteund kunnen worden door modernisering van de IT-omgeving.”

Implementatie
Het adresseren van de grondbeginselen van de GDPR maakt het mogelijk om in control te worden en dat is precies de bedoeling van de nieuwe regelgeving, zegt Vliem. “Juist daarom is dit ook een uitgelezen kans om al je processen nog eens goed te bekijken en verbeteringen door te voeren, daar waar dat nuttig en nodig is. Het is zaak om de GDPR niet te onderschatten. Het zal de nodige tijd en energie vragen om alles goed voor te bereiden en uit te voeren. En als je dan toch bezig bent, is dit ook het juiste moment om te checken hoe je met het implementeren hiervan de organisatie meer kan laten bereiken”, besluit Vliem.

Lees hier de blog van Martin Vliem en download hier een infographic van het onderzoek.