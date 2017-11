Vooralsnog heerst er grote verwarring bij het Europese bedrijfsleven over de te nemen maatregelen op het gebied van privacybescherming en de gevolgen ervan. Dat levert in de benchmark van Deloitte opvallende en grillige cijfers op. Behalve dat slechts 15 procent van alle bedrijven denkt volledig klaar te zijn per 25 mei, is het ook nog eens opvallend hoe veel, of hoe weinig, geld de verschillende bedrijven eraan uitgeven, zo blijkt.

Zo geeft 39 procent van de onderzochte organisaties naar eigen zeggen minder dan 100.000 euro uit aan GDPR-voorbereidingen, terwijl 15 procent meer dan 5 miljoen euro eraan uitgeeft. "Er is geen enkel verband te vinden tussen de grootte van de organisatie en de uitgaven, en ook geen duidelijke trend in de verschillende marktsegmenten", noteert Deloitte ietwat verbaasd. "We zien organisaties met minder dan 10.000 mensen die meer dan 2,5 miljoen euro uitgeven, maar ook organisaties met meer dan 50.000 werknemers die minder dan 250.000 euro eraan besteden."

Waar de meeste bedrijven mee worstelen is het verkrijgen van toestemming van mensen om hun gegevens op te slaan en te verwerken. Individuen, of dat nu werknemers of klanten zijn, moeten daarin goed geïnformeerd worden, zodat over het gebruik van de data geen enkele twijfel bestaat. Die 'consent' moet ook nog eens goed beschreven worden en gekoppeld aan de data waarover het gaat. Volgens Deloitte geeft slechts 10 procent aan dat zij denken dat hun al vergaarde consent van hun klanten voldoet aan GDPR. In dat geval zou voor 90 procent van alle organisaties de keuze moeten zijn hun data weg te gooien (en dat te beschrijven) of opnieuw consent te vragen aan de personen van wie die informatie is. Een weinig aantrekkelijk scenario, oordeelt ook Deloitte. Slechts 19 procent van de bedrijven kiest daarvoor. De rest weet nog niet precies wat te doen.

Een ander heikel punt is het recht om vergeten te worden. Vooral het inschatten van het aantal mensen dat hiervan gebruik gaat maken is lastig, zo blijkt uit de benchmark. "Worden het een handvol verzoeken per jaar of het nachtmerriescenario van enkele tienduizenden aanvragen vanaf dag 1", vraagt Deloitte zich retorisch af. Het meest lastige is het voor bedrijven die data delen met partners, of die commercieel te gelde maken, om door de hele keten aan het vergeetrecht te voldoen. De nieuwe privacyregels vereisen tevens dat bedrijven vastleggen wat ze met de data doen, dus elke handeling moet worden opgeslagen. Ondanks dat bedrijven zeggen daarmee te worstelen, stelt Deloitte dat dit aspect juist alle andere uitdagingen van GDPR kan helpen te overwinnen.