Ruim helft bedrijven voldoet niet aan AVG

Maar liefst 52 procent van de bedrijven voldoet meer dan een jaar na de implementatie nog niet volledig aan de Algemene Verordening Gegevensbescherming. De cijfers zijn gebaseerd op recent Brits onderzoek, maar de situatie is volgens de onderzoekers vergelijkbaar met die in Nederland.

Dat blijkt onderzoek door de internationaal opererende leverancier van oplossingen voor gegevensbeveiliging Egress onder Britse verantwoordelijken voor de implementatie van de AVG-maatregelen.

Uit het onderzoek van Egress, aanbieder vna gegevensbeveiligingsoplossingen, blijkt dat 37% van de respondenten de afgelopen 12 maanden een incident heeft gemeld bij de ICO, de Britse Autoriteit Persoonsgegevens, en dat 17% er zelfs meerdere heeft gemeld. Verder blijkt dat 53% van de middelgrote bedrijven datalekken heeft gemeld, tegen 36% van de kleine bedrijven en slechts 23% van de grotere ondernemingen.* In het verlengde daarvan geeft een opmerkelijk laag percentage (39,5%) van de middelgrote bedrijven aan volledig ‘GDPR compliant’ te zijn, tegen 56% van de grote en 51% van de kleine bedrijven. Al met al duiden deze cijfers erop dat middelgrote bedrijven duidelijk achterblijven bij de rest op het gebied van de AVG.

Nederlandse situatie

"Ik realiseer me dat ik me op Britse cijfers baseer, maar er is geen reden om aan te nemen dat de situatie in Nederland heel anders is," zegt Axel van Drongelen, General Manager van Egress voor de Benelux. “De voortdurende stijging van het aantal datalekken dat gemeld wordt door de Autoriteit Persoonsgegevens (AP) is daar een goede indicator van. In 2018, het jaar waarin AVG van kracht werd, verdubbelde het aantal gemelde datalekken tot bijna 21.000. De eerste boetes zijn al uitgeschreven door het AP, bijvoorbeeld aan het Haga Ziekenhuis dat zijn patiëntendossiers intern niet goed genoeg beveiligd had.”

 

Van Drongelens uitspraak wordt kracht bijgezet door een recent nieuwsbericht waarin de Autoriteit Persoonsgegevens bekendmaakt dat ze in het eerste halfjaar van 2019 al meer dan 15.000 klachten van burgers ontvangen heeft over mogelijke privacyschendingen door bedrijven en instanties. In totaal ging het om 15.313 klachten, een toename van 59 % ten opzichte van het laatste halfjaar van 2018. De AP schrijft de toename van klachten toe aan de nieuwe mogelijkheden om privacyklachten in te dienen, maar ook aan het feit dat Nederland een 'sterk gedigitaliseerd land' is.

 

Onderzoek

Andere belangrijke bevindingen uit het onderzoek onder de Britse respondenten zijn:

 • Slechts de helft van de besluitvormers (48%) meldt dat zijn bedrijf volledig ‘AVG proof’ is
 • 42% beoordeelt zijn organisatie als ‘grotendeels compliant'
 • Meer dan een derde (35%) geeft aan dat de AVG de afgelopen 12 maanden minder prioriteit heeft gekregen
 • 28% geeft aan de afgelopen 12 maanden vooral geïnvesteerd te hebben in de implementatie van nieuwe processen voor de verwerking van gevoelige gegevens
 • Daarnaast investeerde men in: beter inzicht in welke gegevens worden verzameld en waarom (18%); de aanstelling van een Data Protection Officer (functionaris voor gegevensbescherming) of ander personeel belast met de AVG (18%); nieuwe technologie (17%)
 • 7% geeft aan dat ‘opleiding en training’ de grootste kostenpost is.

 

Tanende aandacht

Zo’n 35% van de respondenten geeft aan dat zij het merendeel van de AVG-gerelateerde activiteiten hebben uitgevoerd in de aanloop naar de deadline in mei 2018. Sindsdien is de aandacht voor de AVG afgenomen. Slechts 6% geeft aan dat het voornemen van de ICO om British Airways en Marriott een boete op te leggen de bewustwording rond het onderwerp heeft vergroot. Terwijl 70% van de ondervraagden aangeeft dat hun organisatie zeer positief was over de AVG, zegt slechts 62% dat het bedrijf de AVG het afgelopen jaar met topprioriteit heeft opgepakt.

De CEO van Egress, Tony Pepper, zegt: “Waar we eerst nog enorme haast hadden om de deadline van mei 2018 te halen, lijken bedrijven nu een houding te hebben aangenomen van ‘bijna compliant is goed genoeg’. Die houding zien we niet alleen in het VK, ik hoor deze tendens ook terug van bijvoorbeeld ons Benelux-team. Een flink percentage besluitvormers geeft aan dat de focus op de AVG in de afgelopen 12 maanden is afgenomen. De wachttijd van meer dan een jaar tussen de implementatie van de AVG en de eerste actie van overheidswege is daar debet aan; het spreekwoord ‘blaffende honden bijten niet’ lijkt door veel bedrijven buiten de security-sector geciteerd te worden als ze het over de AVG hebben. Hoewel de aangekondigde torenhoge boetes voor British Airways en Marriott wel een schokgolf teweeg brachten, blijkt slechts 6% actie ondernomen te hebben om elk risico te vermijden. Deze aankondigingen hadden toch echt een heel duidelijke waarschuwing moeten zijn dat geen enkel bedrijf het zich kan permitteren niet compliant te zijn.”

 

Van Drongelen voegt daar aan toe: “In Nederland zien we heel duidelijk de behoefte ontstaan aan een organisatie die verantwoordelijk is voor de uitgifte van AVG-certificaten. Zonder een toezichthoudend orgaan is een AVG-certificaat een papiertje zonder waarde. Op dit moment is het als bedrijf nog moeilijk te bewijzen dat je compliant bent, hoe goed je ook je best hebt gedaan.”

Menselijke fouten voorkomen

Gevraagd naar hun grootste compliance-investering, gaven de respondenten de volgende antwoorden:

 • Implementeren van nieuwe processen voor de verwerking van gevoelige gegevens (28%)
 • Betere controle over welke gegevens we verzamelen en om welke redenen (18%)
 • In dienst nemen van een functionaris voor gegevensbescherming of ander relevant personeel (18%)
 • Nieuwe technologie (17%)
 • Implementeren van nieuwe procedures voor het melden van incidenten (8%)
 • Opleiding en training van eindgebruikers (7%)

Ondanks deze investeringen heeft 37% van de Britse respondenten in de afgelopen 12 maanden minstens één incident gemeld bij de ICO. Uit analyse van de ICO-data** blijkt dat 60% van de beveiligingsincidenten waarbij sprake is van inbreuk op persoonsgegevens in de eerste zes maanden van 2019 veroorzaakt is door menselijke fouten.

Pepper: “De overgrote meerderheid van de respondenten (96%) geeft aan dat hun organisatie de afgelopen 12 maanden heeft geïnvesteerd in de naleving van de AVG, met de implementatie van nieuwe processen als topprioriteit. Terwijl we weten dat de primaire oorzaak van datalekken menselijke fouten betreft. Het is dus duidelijk dat we een andere strategie moeten kiezen om het tij te keren. Er is behoefte aan oplossingen die het risico op menselijk falen wegnemen, zoals beveiligings- en DLP-technologie die aan de hand van het gedrag van de gebruiker de juiste strategie kiest. Daarmee wordt de gebruiker behoed voor bijvoorbeeld phishing-aanvallen die malware of gestolen inloggegevens tot gevolg hebben, en voor verkeerd geadresseerde e-mails of ten onrechte gedeelde documenten. Als we als bedrijfsleven boetes willen voorkomen, moeten we zorgen dat de techniek de mens ondersteunt, en niet andersom.”

Onderzoeksopzet

Het onderzoek is in juli 2019 namens Egress uitgevoerd door het onafhankelijke onderzoeksbueau OnePoll. De groep respondenten bestond uit 250 Britse AVG-eindbeslissers bij bedrijven van kleine, middelgrote en grote bedrijven, in de sectoren IT, engineering en productie, accountancy en financiën, detailhandel, consultancy en management, onderwijs en gezondheidszorg. 33% van de respondenten werkt voor bedrijven met meer dan 1000 werknemers, 32% voor bedrijven met tussen de 250-999 werknemers en 35% voor bedrijven met minder dan 249 werknemers.

*

Kleine bedrijven = 1-249 werknemers

Middelgrote bedrijven = 250-999 werknemers

Grote bedrijven = 1000+ werknemers

 

**

ICO-cijfers zijn gebaseerd op data van van 1 januari 2019 - 20 juni 2019, afkomstig uit de ICE360-systemen van de ICO, die zijn verkregen via een Freedom of Information-aanvraag naar gegevensinbreuk of -verlies die in de categorie Principle 7 vallen of in de categorie ‘security’ onder de Data Protection Act of onder ‘principle (f)’ onder de General Data Protection Regulation.

 

Over Egress

Egress gaat uit van een mensgerichte benadering van gegevensbeveiliging en helpt zijn gebruikers gevoelige gegevens veilig te ontvangen, te beheren en te delen en zo te voldoen aan compliancevereisten en de bedrijfsproductiviteit te verhogen. Met behulp van machine learning zorgt Egress dat informatie zo wordt beschermd dat het risico op een datalek wordt geminimaliseerd, en dat de gebruiker de oplossing snel en probleemloos kan inzetten.

Het bekroonde platform van Egress wordt gebruikt door bedrijven en overheden over de hele wereld en biedt e-mailencryptie, veilige bestandsoverdracht en online samenwerkingsservices, evenals risicobeheer, het voorkomen van onbedoelde verzending en controle en rapportage op het gebied van compliance.

Egress heeft zijn hoofdkantoor in Londen en regionale kantoren in het VK, de VS, Canada en Nederland.

 

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

 • Geen evenementen
 • Magazine

  BTG in Business - Najaar 2022
  Lees de laatste editie

  Meld je aan voor onze nieuwsbrief!

  Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.