Slechts 28% van de bedrijven voldoet aan de AVG

Meer dan een jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG/GDPR) heeft het Capgemini Research Institute vastgesteld dat bedrijven te optimistisch zijn geweest over de invoering van de Verordening binnen hun organisatie. Slechts 28 procent van de ondervraagde bedrijven in 11 verschillende landen zegt te voldoen aan de AVG. In Nederland ligt dit percentage met 31 procent licht hoger dan het internationale gemiddelde. Uit een enquête van een jaar geleden dacht nog 78 procent van de bedrijven gereed te zijn bij de invoering van de AVG in mei 2018 (Nederland:69 procent). Van de organisaties die wel voldoen aan de AVG, zegt meer dan driekwart de voordelen van naleving te ervaren, zoals de positieve impact op reputatie en merkimago.

Dit blijkt uit het rapport Championing Data Protection and Privacy - a Source of Competitive Advantage in the Digital Century. Capgemini Research Institute stelt in het rapport vast dat bedrijven trager dan verwacht hebben gereageerd op de Verordening, waarbij ze de complexiteit van de regelgeving, de kosten van de implementatie en de uitdagingen van de bestaande infrastructuur als vertragende factoren noemen. Een aanzienlijk aantal organisaties investeert ondertussen zwaar in gegevensbescherming en privacy om ervoor te zorgen dat de bestaande regelgeving alsnog wordt nageleefd.

Achterstand

Hoewel meer dan een jaar verstreken is sinds de inwerkingtreding van de AVG, blijft er onzekerheid bestaan over de naleving. 28 procent van de organisaties zegt compliant te zijn en slechts 30 procent van de organisaties is "dicht bij" volledige naleving, maar nog steeds actief bezig met het oplossen van lopende kwesties. De naleving was het hoogst in bedrijven uit de Verenigde Staten (35 procent), het Verenigd Koninkrijk en Duitsland (beide 33 procent), en het laagst in bedrijven uit Spanje en Italië (beide 21 procent) en Zweden (18 procent). Organisaties hebben niet alleen moeite om aan de bestaande regelgeving te voldoen, maar ook om zich voor te bereiden op de komende regelgeving.

Het aantal AVG-verzoeken van betrokkenen (data subjects) was ook zeer hoog: 50 procent van de Amerikaanse bedrijven die onder de AVG valt, heeft in het afgelopen jaar meer dan 1.000 vragen ontvangen van betrokkenen, net als 46 procent van de Franse bedrijven, 45 procent van de bedrijven in Nederland en 40 procent in Italië. Organisaties die moeite hebben om aan de eisen te voldoen, doen aanzienlijke investeringen om de kosten te dekken die nodig zijn om aanpassing in het kader van de AVG te ondersteunen. 40 procent van de ondervraagde bedrijven verwacht in 2020 meer dan 1 miljoen dollar uit te geven aan juridische kosten. 44 procent van de bedrijven denkt dit bedrag kwijt te zijn aan technologische upgrades.

Voordelen AVG-compliance groter dan verwacht

Bedrijven die er niet in slagen om te voldoen aan de AVG, lopen kansen mis. Van de organisaties die compliance hebben bereikt, gaf 92 procent aan een concurrentievoordeel te hebben behaald, iets wat vorig jaar slechts 28 procent verwachtte. De overgrote meerderheid van de leidinggevenden van bedrijven die inmiddels voldoen aan de AVG, zegt dat dit een positieve invloed heeft op het klantenvertrouwen (84 procent), het merkimago (81 procent) en het moreel onder de medewerkers (79 procent).

Leidinggevenden van bedrijven die zich aan de regels houden, stelden ook positieve secundaire effecten vast van de implementatie van de AVG, waaronder verbeteringen in IT-systemen (87 procent versus 62 procent die dit in 2018 verwachtten), een betere cyberbeveiliging (91 procent versus 57 procent) en organisatorische verandering en transformatie (89 procent versus 56 procent).

Snellere adoptie van technologie

Verder blijkt dat er een duidelijke kloof bestaat in de adoptie van technologie tussen organisaties die compliant zijn en organisaties die achterblijven. Organisaties die zich aan de AVG houden, maken in vergelijking met niet-conforme organisaties vaker gebruik van cloud-platforms (84 procent tegenover 73 procent), data-encryptie (70 procent tegenover 55 procent), procesautomatisering (35 procent tegenover 27 procent) en geïndustrialiseerde gegevensopslag (20 procent tegenover 15 procent).

"Dit onderzoek onderstreept zowel de uitdagingen voor bedrijven bij het bereiken van GDPR-compliance als de zakelijke mogelijkheden voor bedrijven die dat wel doen", zegt Zhiwei Jiang, CEO van Insights & Data bij Capgemini. "Het is duidelijk dat veel leidinggevenden vorig jaar te ambitieus waren in hun verwachtingen en zich nu hebben gerealiseerd hoe groot de investeringen en organisatorische veranderingen zijn die nodig zijn om naleving te bereiken: van het implementeren van geavanceerde technologieën die gegevensbescherming ondersteunen tot het verankeren van een privacy- en gegevensbeschermingsdenken onder medewerkers. Organisaties moeten zich echter bewust zijn van de hoger dan verwachte voordelen van compliance, zoals een groter klantenvertrouwen, een hogere klanttevredenheid, een betere reputatie en een positieve impact op de omzet. Deze voordelen zouden elke organisatie moeten aanmoedigen om volledige compliance te bereiken".

Het volledige rapport is hier te vinden.