Het is wel een bizarre situatie: andere continenten zijn al verder in hun voorbereidingen op de nieuwe Europese wet de GDPR (in Nederland de AVG) dan de Europese landen zelf. Dat is althans de conclusie uit een rapport van Forrester Research.
Twee jaar geleden nam de EU een nieuwe wet aan, de General Data Protection Regulation, kortweg de GDPR. EU-landen kregen twee jaar de tijd om die in te passen in hun nationale wetgeving. In Nederland heeft dat geresulteerd in de AVG. De Amerikaanse onderzoeks- en adviesorgansiatie Forrester Research wilde weten hoe het er nu voor staat met de voorbereidingen, en wat blijkt? In de Verenigde Staten, Azië en Zuid-Amerika zijn meer organisaties die vinden dat ze klaar zijn voor de GDPR dan in Europa. In de VS bedraagt dat percentage 33%, in Azië en Zuid-Amerika 29% en in Europa 26%. 20% van de organisaties in Europa denkt zelfs nog een jaar nodig te hebben om aan alle eisen van de GDPR te kunnen voldoen.
Forrester plaatst wel de kanttekening dat er interpretatieverschillen kunnen zijn. Veel organisaties die vinden dat ze voorbereid zijn, hebben in werkelijkheid alleen de IT-zaken geregeld, terwijl de GDPR/AVG veel dieper ingrijpt in een organisatie. Denk aan personeelsdossiers (e-learning) of klantenbestanden. Het onderzoek Predictions 2018: A Year Of Reckoning werd wereldwijd uitgevoerd onder 3200 security-beslissers bij organisaties met meer dan 20 werknemers.
Voor toezichthouders als de Autoriteit Persoonsgegevens betekent dit waarschijnlijk overuren. Zij zullen waarschijnlijk de eerste tijd hun handen vol hebben aan het geven van voorlichting aan organisaties die de reikwijdte van de GDPR/AVG nog niet helemaal doorzien hebben. Organisaties die werkelijk de regels overtreden, kunnen een hoge boete krijgen (tool). Voor administratieve overtredingen is dit maximaal € 10.000.000 of 2% van de wereldwijde omzet. Organisaties die hun wettelijke verplichtingen niet nakomen, krijgen het dubbele aan hun broek: maximaal € 20.000.000 of 4% van de wereldwijde omzet.