Wat heeft de AVG tot nu toe gebracht?

Al eerder heeft ISP Today gewezen op het verschil tussen verwachtingen en realiteit als het om de AVG gaat. Naarmate de tijd verstrijkt horen we steeds meer dat de hooggespannen verwachtingen en de investeringen gedaan voor 25 mei nog niet de gewenste doelen hebben gehaald.

Onder doelen verwachten vendoren van security appliances meer verkochte machines. Leveranciers van kennis denken aan trainingen of consultancy uren. En dan is er ook nog de toezichthouder. Wat die tot nu toe bekend heeft gemaakt lijkt te vertalen zijn met hopen op meer awareness.

Awareness

Awareness is een mooie term en een waar niet direct een prijskaartje aan te hangen is. Het is zeker in de context van de AVG ook iets dat mede verantwoordelijk is voor de realiteit waarbij minder extra business is gecreëerd. Awareness als het gaat om security is namelijk een proces dat op gang moet komen en een lange doorlooptijd kent. Het gevolg daarvan is – en dat hebben we de afgelopen periode van partijen als Westcon-Comstor, Cisco, A10 Networks en Forcepoint gehoord – dat er nog veel business boven de markt hangt.

Topje van de ijsberg

Het idee dat na 25 mei alle kennis was opgedaan en ondernemers met shoppinglijsten naar de leveranciers zouden stappen was te optimistisch. We horen en lezen nog steeds van bedrijven die nog bezig zijn de noodzakelijke inventarisaties te maken of er nu pas mee starten. Dan hebben we het niet alleen over de fietsenmaker op de hoek. Er zijn ook grotere dienstenleveranciers die iets met IT doen die erg langzaam uit de startblokken komen. Daarom is het ook zo lastig om antwoord te geven op de vraag: wat heeft de AVG tot nu toe gebracht? Meer en nieuwe business, ja. Maar de verwachting is dat het niet meer is dat het (een?) topje van de ijsberg. Hoeveel onder water zit weet daarbij niemand. Dat is in zoverre weer lastig omdat je dan als fabrikant, maar ook als IT dienstaanbieder, wat elke hoster en provider is, niet weet waarmee je volgend jaar rekening moet houden.

Encryptie?

Die zelfde situatie dat de IT niet weet welke vragen en zelfs eisen de klanten in het kader van de AVG nog kunnen gaan stellen is overigens geen typisch Nederlands verschijnsel. Ook in Duitsland, privacy gevoelig als ze daar kunnen zijn, zoekt men naar meer houvast. Eindgebruikers en IT dienstaanbieders. Er is al wat onderzoek door partijen gedaan, om maar te kunnen inschatten waar meer of minder focus gevraagd is.

De onzekerheid over de eisen van de AVG is er nog steeds groot. Er is echter een uitzondering. uit een onderzoek blijkt namelijk dat meer dan ooit ondernemers uit het MKB (+30%) het idee hebben dat encryptie van data en e-mail iets is dat helpt om aan de AVG eisen te voldoen. In Duitsland kunnen ze nu dus zeggen dat de AVG goed is voor meer encryptie interesse. De kans dat de IT sector met die score echt blij is lijkt gering. Tussen interesse en implementatie zit heel veel ruimte en encryptie, speciaal voor e-mail, heeft tot op heden een imago dat bijdraagt aan de lage acceptatiegraad. Er is dus geen reden voor jaloezie. Wellicht moet de vraag over een jaar nog eens worden gesteld en zijn er dan wel antwoorden waar iedereen blij van wordt.