Phone
Genomineerd voor Marktonderzoeksbureau van het Jaar 2020

Nieuws

Nog veel onduidelijkheid over het AVG-beleid in organisaties

19 december 2019

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) – de Europese privacy-verordening – van kracht. Ondanks dat deze wetgeving al ruim anderhalf jaar geleden is ingevoerd, weet een derde van de medewerkers van Nederlandse organisaties niet of er binnen zijn bedrijf of instelling maatregelen zijn genomen om te voldoen aan de AVG-voorwaarden. Een deel van de organisaties investeert wel in het trainen van de werknemers, maar als geheel schieten bedrijven en instellingen in Nederland tekort in deze educatie. Zo weet 32 procent van de medewerkers niet of er bijvoorbeeld een zakelijke encryptie-oplossing voor e-mail beschikbaar is.

Dat blijkt uit een onderzoek onder ruim 250 medewerkers bij Nederlandse organisaties, dat is uitgevoerd door marktonderzoeksbureau Markteffect in opdracht van datasecuritybedrijf Egress.

Reguliere werknemer minder goed op de hoogte

Ondanks dat werknemers in veel organisaties centraal staan in het AVG-beleid, blijkt uit het onderzoek dat dit beleid lang niet bij alle medewerkers bekend is. Het lijkt erop dat de verantwoordelijken voor informatiebeveiliging binnen organisaties wel op de hoogte zijn, maar dat deze kennis onvoldoende gedeeld wordt met de groep daarbuiten. Zo ligt het percentage eindverantwoordelijken en medeverantwoordelijken dat aangeeft dat er een encryptie-oplossing voor e-mail beschikbaar is beduidend hoger dan bij niet-verantwoordelijken: 75 procent versus 33 procent. En waar bijna de helft van de niet-verantwoordelijken niet weet of de AVG-wetgeving heeft gezorgd voor veranderingen in de manier waarop de organisatie informatie deelt, ligt dat percentage onder verantwoordelijke werknemers op 10 procent.

Bijna 16 procent van alle respondenten geeft aan dat er binnen zijn organisatie wel eens per ongeluk bedrijfsgegevens of bedrijfsgevoelige informatie openbaar is gemaakt. Ook hier is een duidelijk verschil te zien tussen medewerkers die verantwoordelijk zijn voor informatiebeveiliging en niet-verantwoordelijken: 32 procent tegenover 7 procent. Het is een indicatie dat lang niet alle datalekken door bedrijven en instellingen gemeld worden aan hun personeel. Ook het recordaantal datalekken dat in 2019 al gemeld is bij de Autoriteit Persoonsgegevens onderbouwt deze conclusie.

Positief is dat de resultaten laten zien dat de helft van de werknemers op de hoogte is van de beleidsveranderingen die doorgevoerd zijn naar aanleiding van de AVG-wetgeving. In het merendeel van de gevallen (52%) gaat het daarbij om het trainen van medewerkers. Ook geeft bijna 55 procent van de respondenten aan dat informatiebeveiliging voor meer werknemers binnen het bedrijf onderdeel is geworden van het takenpakket.

Discrepantie tussen het beleid en de invulling
“Het onderzoek toont duidelijk aan dat er een discrepantie bestaat tussen het beleid dat door de organisatietop wordt uitgestippeld en de invulling door het personeel dat geacht wordt dit beleid uit te voeren”, duidt Axel van Drongelen, general manager Benelux bij Egress. “Werknemers die niet verantwoordelijk zijn voor de informatiebeveiliging, zijn zich bijvoorbeeld veel minder bewust van het gevaar dat onverantwoorde omgang met bedrijfsgevoelige data met zich meebrengt. Dat blijkt bijvoorbeeld uit het gegeven dat respondenten die wel verantwoordelijk zijn voor informatiebeveiliging vaker aangeven dat onbewuste datalekken ontstaan via externe tools zoals WeTransfer of een file transfer protocol (FTP). Dat duidt erop dat werknemers op zoek gaan naar manieren om veiligheidsmaatregelen te omzeilen, ook omdat er vaker gebruik wordt gemaakt van een encryptie-oplossing voor e-mail. Ze staan dus niet stil bij de risico’s van hun gedrag.”

Alex van Drongelen pleit er dan ook voor om nog meer bewustzijn te creëren onder werknemers: “Als je niet weet dat je iets verkeerd doet, kun je je gedrag ook niet verbeteren. Het is positief om te zien dat veel bedrijven en instellingen investeren in het trainen van hun medewerkers als het gaat om het delen van informatie. Tegelijkertijd blijkt dat er nog veel meer bewustwording nodig is om het gevaar van onbewuste interne datalekken in te dammen.”

Grootste angst voor datalekken binnen de zorg

In het onderzoek zijn ook de verschillen tussen sectoren bekeken, zoals de zorg, de financiële sector, de overheid en de dienstensector. Medewerkers in de zorg blijken de grootste angst voor onbewuste interne datalekken te hebben: 32 procent noemt dit de grootste bedreiging voor de IT-beveiliging. Dit is flink hoger dan het gemiddelde van 23 procent. Aangezien de zorgsector ook koploper is in het aantal meldingen van datalekken bij de Autoriteit Persoonsgegevens, lijkt deze angst niet ongegrond. Medewerkers in de commerciële dienstverlening scoren iets boven het gemiddelde met 23 procent.

Werknemers bij financiële instellingen zijn het meest AVG-bewust, want 81 procent van de respondenten werkzaam in die sector geeft aan dat er veranderingen zijn doorgevoerd naar aanleiding van de wetgeving. Bij de overheid en in de zorg ligt dat percentage op 50 procent. Het per ongeluk lekken van persoonlijke of bedrijfsgevoelige informatie speelt de zorg met 20 procent bovengemiddeld parten. Het feit dat er binnen de zorg vaker persoonlijke informatie extern gedeeld wordt via e-mail – 60 procent versus 49 procent gemiddeld – kan hier debet aan zijn.

“De zorg is bij uitstek een sector waar veel persoonlijke informatie uitgewisseld wordt”, stelt Alex van Drongelen. “Maar ook hier zien we dat ruim een kwart van de werknemers niet weet of het beleid voor het delen van informatie gewijzigd is als gevolg van de AVG. Ook opvallend is dat bijna 15 procent van de medewerkers in de zorg van mening is dat zijn organisatie helemaal geen risico loopt als het gaat om de IT-beveiliging. Ook dit duidt op een gebrek aan bewustzijn.”

Dit nieuwsbericht is op 19 december gepubliceerd op de website van CustomerTalk en is hier te lezen.


Meer weten?


Wilt u meer weten over dit nieuwsbericht? Neem dan contact op met één van onze consultants.


Thomas Huigen
Client Consultant