De Algemene verordening gegevensbescherming (AVG) is nu een dik half jaar van kracht. Hoewel lang niet alle bedrijven volledig aan de verordening voldoen, is er voldoende ervaring opgedaan om iets te kunnen zeggen over de impact van de AVG. Wat leveren de investeringen in AVG op? Hoe wordt de verordening ervaren? Het antwoord hangt helemaal af van aan wie je het vraagt, zo blijkt.

We hebben onderzoek (Cisco 2019 Data Privacy Benchmark Study) verricht onder meer dan 3.200 security- en privacy-professionals uit achttien landen in de belangrijkste bedrijfstakken. Deze professionals hebben we gevraagd in hoeverre hun organisatie voldoet aan de AVG. En welke voor- en nadelen hun organisatie van de AVG ondervindt.

Om te beginnen zegt 59% van de organisaties te voldoen aan de meeste of aan alle vereisten. 30% zegt dat stadium binnen een jaar te bereiken. Dat had natuurlijk beter gekund. Dezer antwoorden maken de gesignaleerde AVG-ervaringen in elk geval betrouwbaar.

Halvering

Hun klanten maken zich in toenemende mate zorgen over de privacybescherming. Die zorgen veroorzaken een (flink) langere verkoopcyclus. Maar de organisaties die hebben geïnvesteerd om aan de AVG te voldoen, merken dat de duur van die vertragingen sterk is afgenomen. Zij zien een gemiddelde vertraging van 3,9 weken. Dit is een halvering ten opzichte van de vertraging die een jaar geleden werd gerapporteerd.

Businessvoordelen

Organisaties die voldoen aan de AVG zeggen ook minder datalekken te hebben. En, áls ze die onverhoopt toch hebben, dat er minder records zijn getroffen en dat de uitval van systemen korter is. Ook blijkt de kans op significant financieel verlies na een datalek flink lager. En melden zij businessvoordelen zoals een grotere slagkracht en meer innovatief vermogen doordat zij over passende data controls beschikken. Ook realiseren zij meer concurrentievoordeel en operationele efficiency doordat zij hun data georganiseerd en gecategoriseerd hebben. Peter Lefkowitz, Chief Digital Risk Officer van Citrix (een partner van ons) vat het onderzoek samen: “Het levert bewijs voor iets dat privacy professionals al lang hebben begrepen: dat organisaties veel meer voordelen van hun privacy-investeringen ondervinden dan alleen compliancy.”

Beperkend en schadelijk

Intussen heeft Citrix zelf ook onderzoek laten uitvoeren onder 500 Nederlandse medewerkers in diverse sectoren. Die medewerkers zijn niet erg positief. Voor een flink percentage levert de AVG extra werk op. Dat sentiment is nog wel begrijpelijk. Erger is dat bijna een derde aangeeft de AVG ‘beperkend voor de organisatie en schadelijk voor de zakelijke activiteiten’ te vinden. Onder de werknemers van 18-24 jaar loopt dat percentage op tot 70%. We zien hier een hele andere onderzoekspopulatie dan in het Cisco-onderzoek en de uitkomsten verschillen dan ook behoorlijk.

Uitdaging

Wat mij betreft leveren beide onderzoeken interessante inzichten op. Ja, de security- en privacy-professionals zien belangrijke en zelfs financieel tastbare voordelen van hun investeringen in de AVG. Tegelijk brengt de AVG voor werknemers veel extra werk met zich mee, wat ten koste gaat van hun oorspronkelijke taak. Vanuit hun perspectief is dat beperkend en schadelijk. We zijn er dus nog niet. Organisaties én securityleveranciers zullen dus nog extra inspanningen moet leveren om de omgang met de AVG zo efficiënt mogelijk te maken, zodat iedereen de voordelen ervan ziet.

Michel Schaalje, Directeur Security Cisco Nederland