De AVG is geen gelopen race

Eind december is door een publicatie van twee organisaties aangetoond dat de helft van de bedrijven nog steeds niet aan de AVG regels voldoet. Voor de auteurs is dat reden om aan de bel te trekken. Voor de Nederlandse lezer is enige duiding en relativering op zijn plaats.

Het onderzoek is een gezamenlijk project van de IAPP en EY. IAPP staat voor International Association of Privacy Professionals. Het is een in Amerika gevestigde club die sinds 2000 probeert aandacht voor privacy te vergroten. Dat is een goede zaak, maar voor alle zekerheid wordt vermeld dat het ook een belangenorganisatie is. De leden zijn advocatenkantoren, consultancy bedrijven en zelfstandigen. EY is een combinatie van accountancy, consultancy en wat cyberactiviteiten.

Het onderzoek is gebaseerd op 550 ingevulde enquêtes, waarvan 47% door bedrijven met het HQ in de VS en 31% door bedrijven met de hoofdzetel in de EU. De rest van de enquêtes komt uit de rest van de wereld, waarbij Canada met 10% een derde plek inneemt. Dat is een belangrijk gegeven om een deel van de conclusies te kunnen begrijpen. De auteurs stellen bijvoorbeeld dat de kosten om GDPR compliant te worden per bedrijf gemiddeld $3 miljoen zijn. Dat is een bedrag waar menig Nederlander alleen maar het hoofd om kan schudden. Ook voor grotere organisaties in Nederland zijn dat soort kostenposten weinig realistisch. Het helpt daarbij te weten dat 36% van de antwoorden betrekking heeft op bedrijven met meer dan 25.000 medewerkers, daarvan zijn er in Nederland beduidend minder dan in de VS.

Tot de belangrijkste bevindingen horen dat 50% van de respondenten aangeeft nog niet AVG compliant te zijn, 19% geeft aan dat zelfs nooit te kunnen. In die laatste groep zitten vooral de hele grote bedrijven (+75.000 medewerkers). Het streven vorderingen te maken is er overigens wel. Een derde van de groep die op het moment van het onderzoek de zaakjes nog niet voor elkaar had hoopt voor eind 2019 wel aan de goede kant van de scheidslijn te staan.

Het rapport focust vooral op de kosten en de noodzaak professionals in te schakelen. De WC eend factor is nadrukkelijk aanwezig. Daardoor is het voor een IT dienstverlener weinig interessant. Er zijn los van die focus twee punten de moeite van het onthouden waard. Punt een is dat grote bedrijven vaker dan kleinere aangeven te worstelen met de wettelijke voorwaarden. Punt twee is een open deur intrappen, maar dat na 25 mei of zelfs maar 31 december 2018 alles rond de AVG klaar was is een illusie. Het is op tal van plekken, en statistisch gezien daarmee ook bij een deel van je klanten, nog lang geen gelopen race.

About the author

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.