80% van de Europese organisaties voldoet nog lang niet aan de naderende GDPR-privacywetgeving

Amersfoort, 21 December 2017 – Vanaf mei 2018 treedt de nieuwe Europese privacywet Algemene Verordening Gegevensbescherming (in het Engels GDPR) in werking voor alle bedrijven die met gegevens van Europese burgers werken. De wet heeft als doel de privacy van burgers te beschermen en zorgt ervoor dat de controle over persoonlijke gegevens bij consumenten wordt neergelegd. Identiteitsexpert iWelcome is een uitgebreid onderzoek gestart, om inzicht te krijgen in de mate waarin Europese organisaties de nieuwe wetgeving al hebben geïmplementeerd. Het onderzoek focust zich op online consumentendiensten in 7 Europese landen verspreid over 6 verschillende branches, waarbij in totaal 89 organisaties zijn geanalyseerd. De eerste resultaten laten zien dat 80 procent nog lang niet aan de wetgeving voldoet.

Volgens de eerste observaties moet er in alle landen nog veel gebeuren voordat organisaties voldoen aan de wetgeving. Nederland doet het iets beter en is enigszins op weg naar naleving. “Nederlanders zijn pragmatisch als het gaat om het implementeren van regelgeving en zien privacybeschermende maatregelen dan ook als een kans”, zegt Maarten Stultjens, vicepresident bij iWelcome. “iWelcome is opgericht in die privacy-bewuste Nederlandse cultuur, en krijgt inmiddels wereldwijd erkenning voor de technologie van het platform, met een centrale rol voor het registreren van toestemming van gebruikers.” Het land met de laagste score is Zwitserland, waar zelden toestemming wordt gevraagd voor gebruik van gegevens en zeer basale privacyverklaringen worden gebruikt.

Verschillen per branche

Uit het onderzoek wijst uit dat er significante verschillen bestaan op branche-niveau. ‘Non-Profit’ scoort erg laag op alle elementen uit het onderzoek, terwijl ‘Retail/E-tail & Consumer Products’ en ‘Media & Publishing’ beter scoren. Als er specifiek gekeken wordt naar het vragen van toestemming voor het gebruik van persoonlijke gegevens, scoort ‘Non-profit’ opnieuw het laagst en scoort ‘Retail/E-tail & Consumer Products’ beter.

Toestemming voor het gebruik van persoonsgegevens 

Onder de GDPR moeten organisaties die persoonsgegevens verwerken om toestemming van de klant vragen. Het gaat dan om het gebruik van aanvullende gegevens voor bijvoorbeeld marketingdoeleinden, die niet strikt noodzakelijk zijn om een contract uit te voeren. Het doel waarvoor de gegevens gebruikt worden moet specifiek worden aangegeven en glashelder zijn. In verhouding scoorde het Verenigd Koninkrijk het hoogst op dit onderdeel. “We zien dat bedrijven over het algemeen niet op een duidelijke manier toestemming van de klant vragen. Het gebruiksdoel wordt nauwelijks genoemd en al helemaal niet op gedetailleerd niveau (specifiek per invulveld), zoals zou moeten volgens de GDPR. Een van de weinige organisaties uit ons onderzoek die wel per veld een doel aangeeft, is de BBC. Bedrijven staan voor een grote uitdaging om de regels te implementeren, vooral als het gaat om het vragen naar en registreren van toestemming,” zegt Maarten Stultjens.

Recht van inzage

Een ander opmerkelijk resultaat is dat organisaties in het Verenigd Koninkrijk administratieve kosten in rekening brengen voor de inzage van persoonlijke gegevens: 54 procent van de onderzochte bedrijven in het Verenigd Koninkrijk berekent hier kosten voor. Dit is niet conform de GDPR, maar is nog wel in overeenstemming met de huidige Britse regelgeving. Voordat de GDPR in werking treedt, moeten deze organisaties ervoor zorgen dat het recht van inzage kosteloos wordt voor de consument.
Een ander aspect dat slechts door 11,2 procent van alle bedrijven wordt genoemd, is de bewaartermijn van persoonsgegevens. Veel bedrijven melden dat ze gegevens opslaan ‘zolang dit nodig is om het doel te vervullen’, maar vermelden niet voor welke periode gegevens worden opgeslagen en specificeren dit ook niet per categorie.

Conclusies

“Op basis van ons onderzoek concluderen we dat Europese bedrijven nog lang niet klaar zijn voor de GDPR. Bedrijven moeten transparanter zijn over hoe ze de persoonsgegevens willen gebruiken. Slechts 20 procent van alle bedrijven heeft een deel van de GDPR-vereisten geïmplementeerd. Vanaf 25 mei 2018 moeten al deze bedrijven aan de regelgeving voldoen om enorme boetes te voorkomen. En, misschien nog wel belangrijker, om vertrouwensrelaties op te bouwen met hun klanten. “Het is mogelijk om te voldoen aan de wetgeving en de privacy van klanten te respecteren, maar toch stap voor stap meer over de klant te weten te komen en de gebruikerservaring te verbeteren. Zolang het voor beide partijen maar een voordeel oplevert, en je dat ook kunt laten zien. Het platform van iWelcome kan hierbij helpen,” besluit Maarten Stultjens.

Over het onderzoek

Het onderzoek van iWelcome wordt uitgevoerd in de periode tot 25 mei, door vanuit het perspectief van de consument online te registreren bij organisaties. Naast het registratieproces worden ook de privacyverklaringen van de organisatie gecontroleerd. Het onderzoek meet elke twee maanden de mate waarin Europese organisaties aan de wetgeving voldoen.

Omdat iWelcome de GDPR vanuit het consumentenperspectief benadert, zijn alleen de variabelen getest die relevant zijn voor de interactie met de klant. Onderliggende verplichtingen voor organisaties, zoals het aanwijzen van een functionaris voor gegevensbescherming, zijn niet in het onderzoek opgenomen. 

Over iWelcome

iWelcome faciliteert een cloudplatform voor het beheer va identiteiten van consumenten en werknemers, waarbij privacybescherming en informatiebeveiliging centraal staan. iWelcome is het enige identiteitsplatform met Europese wortels, wordt gesteund door Europese investeerders en bedient specifiek klanten die zakendoen in Europa. Miljoenen consumenten en honderdduizenden werknemers in diverse branches – zoals banken, verzekeraars, nutsbedrijven, media & uitgeverijen, reisorganisaties & diensten, retail/e-tail en overheid & non-profit – maken dagelijks gebruik van de functionaliteit van iWelcome. Analisten als KuppingerCole en Gartner zien iWelcome als wereldwijde Product- en Innovatieleider.

Door een samenwerking met iWelcome profiteren organisaties van lagere exploitatiekosten en een snelle start. De vooruitstrevende Private Cloud technologie stelt klanten in staat een SaaS-service te gebruiken zonder hun gevoelige infrastructuur te hoeven delen.