Bewustzijn GDPR-regelgeving groeit bij Brits bedrijfsleven, maar slechts 6% is er ‘helemaal klaar’ voor

Britse bedrijven zijn zich in toenemende mate bewust van de implicaties van de aankomende nieuwe privacywetgeving GDPR (General Data Protection Regulation),  zo blijkt uit recent Brits onderzoek: FTSE 350 Cyber Governance Health Check Report 2017.  Ruim een derde (37%) geeft aan  goed op de hoogte te zijn van de nieuwe regelgeving en de consequenties voor het eigen bedrijf, 45% geeft aan zich enigszins bewust te zijn van de impact van de GDPR, 15% een beetje en 2% helemaal niet. Ondanks de groeiende bewustwording geeft slechts 6% van de Britse ondernemingen zelf aan ‘helemaal klaar’ te zijn voor de nieuwe privacywetgeving ; 73% acht zichzelf hierop enigszins voorbereid, 15% licht en 2% helemaal niet.

In het onderzoek  is expliciet gevraagd naar betrokkenheid van de directie bij de nieuwe privacywetgeving. Opmerkelijke uitkomst is dat slechts een op de zeven a acht  respondenten aangeeft (13%) dat dit onderwerp regelmatig wordt besproken binnen de directie en de directie de beslissingen hieromtrent neemt. Daarnaast geeft 28% aan af dit onderwerp geregeld te bespreken en een update te krijgen, terwijl bijna de helft (47%) antwoordt dat dit onderwerp slechts af en toe ter tafel komt maar dat dit niet wordt gezien als bestuursaangelegenheid. Bij 8% wordt de privacywetgeving als technisch vraagstuk gezien en niet op directieniveau hoeft te worden beslist.

Cyberrisico’s

Bij de bedrijfsdirecties is de afgelopen vier jaar ook het risicobewustzijn met betrekking tot cyber toegenomen. Voor de eerste keer wordt het cyberrisico binnen Britse directies bestempelt als toprisico: 54% tegen 49% vorig jaar en 26% in 2013. Ongeveer een derde spreekt van een medium risico, evenveel als vier jaar geleden en  volgens 14 %38%) van een laag risico.

Eveneens voor het eerst geeft een meerderheid van de respondenten aan dat hun directie zich terdege bewust is van de potentiële impact van het verlies van data of verstoring van hun automatiseringssysteem (58% tegen 45% in 2013). Bij ruim twee van de vijf  directies (43%) spreekt men van een duidelijk besef van cyberrisico’s tegen 32% in 2013; bij 52% (was 61%) is sprake van een redelijk, acceptabel risicobesef en bij 4% (7%) van een slecht risicobesef. Ook de informatieverstrekking aan de medewerkers over het cyberrisico is verbeterd. Een op de twaalf spreekt zelfs van een ‘robuuste’ managementinformatie, meer dan een verdubbeling sinds 2013, en bijna een derde zegt geregeld algemene managementinformatie van de directie te ontvangen over dit onderwerp, eveneens een ruime verdubbeling.