Sinds 25 mei 2018 is in de Europese Unie de General Data Protection Regulation, ook bekend als de Algemene verordening gegevensbescherming, van kracht. Een meerderheid van de ondernemingen voldoet echter nog niet aan de eisen van de privacy-verordening. 70 procent van de bedrijven wereldwijd is namelijk nog niet in staat om verzoeken om inzage in of overdracht van persoonsgegevens in te willigen binnen de door de GDPR voorgeschreven termijn van één maand.

Dit blijkt uit een onderzoek van Talend. De IT-dienstverlener heeft dataverzoeken ingediend bij 103 bedrijven die in de Europese Unie gevestigd of actief zijn. In de periode van 1 juni tot en met 3 september 2018 zijn de reacties geëvalueerd op verzoeken op basis van artikel 15 recht van inzage van de betrokkene en artikel 20 recht op overdraagbaarheid van gegevens van de verordening. Ook is gekeken naar GDPR-verwijzingen in het privacy-beleid van organisaties en de snelheid en volledigheid van hun reacties.

Het onderzoek heeft zich gericht op organisaties in uiteenlopende sectoren, zoals retail, media, ICT, de publieke sector, financiële dienstverlening en de reisbranche. Het onderzoek omvat analyses van:

de mate waarin het privacy-beleid van de organisaties rekening houdt met de GDPR;
de opties die bedrijven aan klanten aanbieden om hun persoonsgegevens op te vragen;
de snelheid en grondigheid waarmee bedrijven op dataverzoeken reageren;
de mogelijkheid van ingezetenen van de EU om direct toegang te krijgen tot hun persoonsgegevens en die te hergebruiken - overdraagbaarheid van data.


Bedrijven buiten de EU doen het beter


Slechts 35 procent van alle bedrijven binnen de EU heeft gereageerd op de dataverzoeken. Ondernemingen buiten de EU hebben het beter gedaan. Daar heeft 50 procent van de organisaties op de verzoeken gereageerd. Dit doet vermoeden dat de niet-Europese bedrijven een pro-actievere aanpak van GDPR-compliance hanteren.


Retailbedrijven presteren het slechtst


Kijkend naar de verschillen tussen sectoren valt op dat 76 procent van alle retailbedrijven niet heeft gereageerd op dataverzoeken. De financiële dienstverlening is de best presterende sector. De helft van de bedrijven in die sector heeft een reactie gegeven. Een nadere analyse van de onderzoeksresultaten wijst erop dat bedrijven die begonnen zijn voor het internettijdperk het lastiger hebben om compliant te zijn aan de nieuwe wetgeving.


Gemiddelde responstijd is 21 dagen


65 procent van alle organisaties die GDPR-compliant zijn, heeft meer dan 10 dagen nodig om op een dataverzoek te reageren. De gemiddelde responstijd bedraagt 21 dagen. Sommige bedrijven hebben echter sneller gereageerd. Van de bedrijven die binnen de gestelde tijdslimiet handelen, reageert 22 procent binnen 24 uur. Dit zijn met name streaming-diensten, aanbieders van oplossingen voor mobiel internetbankieren en ICT-bedrijven. Het lijkt erop dat digitale dienstverleners over meer flexibiliteit beschikken om naleving van de GDPR te waarborgen.


Snelle reactie wekt vertrouwen bij klanten


“De GDPR biedt de mogelijkheid om met klanten in contact te komen en loyaliteit op te bouwen”, stelt Jean-Michel Franco, senior director data governance products bij Talend. ‘Het is van vitaal belang voor ondernemingen in het digitale tijdperk om een 360-graden-beeld te hebben van klanten. Organisaties moeten ervoor zorgen dat gegevens worden geconsolideerd en op een transparante en deelbare manier worden opgeslagen. Bovendien moet de tijdslimiet van één maand van de GDPR worden gezien als een absolute deadline en niet als een doelstelling. Uit ons onderzoek blijkt dat het voor sommige merken mogelijk is om binnen een dag te reageren, hetgeen suggereert dat deze merken een snelle reactietijd begrijpen. Dit versterkt het vertrouwen van de klant.”


Inzicht in bedrijfsgegevens is vereist


“De GDPR vereist inzicht in bedrijfsgegevens en de governance ervan”, aldus Penny Jones, research director bij onderzoeksbureau 451 Research. “Recent onderzoek wijst uit dat veel organisaties het belang van de GDPR begrijpen, maar dat veel organisaties hun gegevens nog steeds niet serieus nemen in termen van de technologieën en processen die ze hebben ingevoerd. Als gevolg daarvan voldoen veel bedrijven niet aan hun GDPR-verplichtingen. Ze beschikken niet over de juiste methoden om gegevens op te slaan, te organiseren of op te vragen in overeenstemming met de eisen van de verordening.”
  • 19 September 2018
  • www.customertalk.nl