Voor bedrijven is gegevensbescherming vaak een last en, in tijden van pandemie, een hindernis. Slechts een vijfde heeft de GDPR daadwerkelijk en volledig geïmplementeerd en één op de twee bedrijven ziet om redenen van gegevensbescherming af van innovaties.
In bijna geen enkel land wordt gegevensbescherming zo serieus genomen als in Duitsland en wat voor de één vreugde is, is voor de ander verdriet – in dit geval zijn het vaak de bedrijven die eronder lijden. Zo blijkt uit een Bitkom-enquête dat in het pandemiejaar 2020 de eisen inzake gegevensbescherming het voor veel bedrijven moeilijk maken om hun activiteiten voort te zetten. Er zijn bijvoorbeeld bedrijven die slechts beperkt gebruik maken van digitale toepassingen voor samenwerking in het thuiskantoor, of helemaal niet, om redenen van gegevensbescherming. Bovendien worstelt de overgrote meerderheid nog steeds met de implementatie van de Algemene Verordening Gegevensbescherming (GDPR), meer dan twee jaar nadat deze in werking is getreden.
DSGVO is praktisch niet volledig implementeerbaar
Volgens slechts 20 procent van de ondervraagde bedrijven is de GDPR volledig geïmplementeerd en zijn er ook auditprocessen ingesteld voor verdere ontwikkeling. 37 procent heeft de regels grotendeels ten uitvoer gelegd, en een vergelijkbaar aantal (35 procent) heeft ze gedeeltelijk ten uitvoer gelegd. En 6 procent is nog maar net begonnen met de implementatie.
“De nog steeds lage implementatiecijfers zijn ontnuchterend”, zegt Susanne Dehmel, lid van de raad van bestuur van Bitkom. “De algemene verordening gegevensbescherming kan niet worden doorgewerkt als een bestek. Integendeel: onduidelijke regelgeving en aanvullende eisen van de gegevensbeschermingsautoriteiten hebben van de GDPR een bodemloze put gemaakt.” De ondervraagde bedrijven bevestigen dit bijna unaniem. 89 procent denkt: De Algemene Verordening Gegevensbescherming is praktisch onmogelijk in zijn geheel te implementeren.
Tijdvreter DSGVO
Voor driekwart van de bedrijven (74%) is de grootste uitdaging een voortdurende rechtsonzekerheid als gevolg van de regels van de DSGVO. 68 procent van de respondenten klaagt over te veel veranderingen of aanpassingen in de interpretatie. 59% ziet het gebrek aan assistentie van de toezichthoudende autoriteiten bij de uitvoering als een van de grootste problemen, en bijna de helft (45%) noemt de inconsistente interpretatie van de regels binnen de EU. Voor 26% is een gebrek aan gespecialiseerd personeel een van de grootste hindernissen. Voor de overgrote meerderheid heeft dit ook gevolgen voor hun eigen middelen. Meer dan een derde van de bedrijven (36%) verklaart dat zij sinds de invoering van de GDPR meer werk hebben en dat dit in de toekomst zo zal blijven. Voor nog eens 35 procent valt te verwachten dat de inspanningen die nu al zijn toegenomen, nog verder zullen toenemen.
Falen als gevolg van gegevensbescherming
Voor veel bedrijven hebben de gegevensbeschermingsregels er bovendien toe geleid dat ze minder of helemaal geen technologische innovaties hebben kunnen doorvoeren. Voor 56 procent van de ondervraagde bedrijven zijn nieuwe, innovatieve projecten mislukt als gevolg van de GDPR – hetzij vanwege directe vereisten, hetzij vanwege onduidelijkheden in de interpretatie van de GDPR. 41 procent verklaarde in de enquête dat zij vanwege de GDPR geen datapools kunnen opbouwen, bijvoorbeeld om gegevens te delen met zakenpartners. Voor 31 procent is het gebruik van nieuwe technologieën, zoals big data of kunstmatige intelligentie, hierdoor mislukt, en een kwart (24%) bevestigt dit voor de digitalisering van bedrijfsprocessen. Een op de vijf getroffen bedrijven (20%) ziet vanwege de GDPR af van het gebruik van nieuwe data-analyses.
“Persoonsgegevens moeten worden beschermd, dat staat buiten kijf. Maar gegevensbescherming mag geen rem worden op innovatie,” zegt Dehmel. “Als we het serieus menen met Europa als digitale locatie, moeten de regels voor gegevensbescherming de op gegevens gebaseerde bedrijfsmodellen flankeren in plaats van ze te ondermijnen.”
DSGVO moet worden verbeterd
Bijna alle bedrijven (92 procent) pleiten voor verbeteringen van het DSGVO. Zo moeten volgens de respondenten de informatievereisten praktischer worden gemaakt (91%), de regels begrijpelijker worden gemaakt (85%) en het advies en de bijstand van de toezichthoudende autoriteiten voor gegevensbescherming tijdens de uitvoering worden verbeterd (83%). Slechts 3 procent vindt dat de GDPR verder moet worden aangescherpt.
Met betrekking tot hun eigen bedrijf staat de meerderheid van de respondenten kritisch tegenover de GDPR. 71 procent zegt dat het hun bedrijfsprocessen ingewikkelder maakt. En voor 12 procent vormt de GDPR zelfs een bedreiging voor hun eigen bedrijf. Slechts voor een vijfde bedrijf (20%) levert het daarentegen voordelen op. Wanneer wordt gevraagd naar hun algemene mening over de GDPR, zijn er ook positieve geluiden te horen. Zo is 69 procent ervan overtuigd dat de GDPR wereldwijde normen stelt voor de behandeling van persoonsgegevens. 66 procent denkt dat de GDPR zal leiden tot een gelijker speelveld in de EU en 62 procent van de deelnemers aan het onderzoek denkt dat de GDPR een concurrentievoordeel zal zijn voor Europese bedrijven in het algemeen.
Voorschriften inzake gegevensbescherming als extra last tijdens de crisis
Tijdens de pandemie hebben veel bedrijven ook moeite om hun activiteiten in overeenstemming te houden met de voorschriften inzake gegevensbescherming, zo blijkt uit de enquête. Veel instrumenten die het bijvoorbeeld gemakkelijker maken om vanuit een thuiskantoor te werken, werden om redenen van gegevensbescherming slechts in beperkte mate of in het geheel niet gebruikt. 23 procent deed het zonder samenwerkingstools om redenen van gegevensbescherming. Nog eens 17% gebruikte deze toepassingen slechts in beperkte mate. Clouddiensten zoals online opslag werden niet volledig gebruikt door 26 procent, en 2 procent maakte er helemaal geen gebruik van. Bij één op de tien bedrijven (10%) was het gebruik van videotelefonie beperkt, 3% kon geen gebruik maken van geschikte videoconferentiesystemen wegens voorschriften inzake gegevensbescherming. En 4 procent zegt dat ze het gebruik van messenger-diensten in het bedrijf moeten beperken om te voldoen aan de eisen voor gegevensbescherming.
“Veel bedrijven zitten met een dilemma: aan de ene kant vertrouwen ze op communicatie- en samenwerkingstools die samenwerking op afstand mogelijk maken en zakenreizen vervangen. Aan de andere kant bekritiseren Duitse toezichthoudende instanties juist deze tools omdat ze niet voldoen aan de regels voor gegevensbescherming”, aldus Dehmel.
Nee tegen tracing apps
Voor het werken vanuit de thuiswerkplek heeft 42 procent van de bedrijven richtlijnen opgesteld, waarvan 20 procent al voor de uitbraak van de pandemie. Nog eens 37 procent is dergelijke richtsnoeren van plan of bespreekt ze, en voor 6 procent is dit geen punt. En 13 procent geeft in de enquête aan dat hun bedrijf thuiskantoren uit principe niet toestaat. Bedrijfsapps voor het traceren van contacten voor Covid19-infecties worden bij geen van de respondenten gebruikt. Een op de vijf bedrijven met 500 of meer werknemers (22%) is echter van plan of bespreekt een eigen opsporingsapp, los van de officiële Corona-waarschuwingsapp van de federale overheid. In het algemeen is 62% van mening dat meer mogelijkheden voor het gebruik van gegevens zouden helpen in de strijd tegen de pandemie. Tegelijkertijd zegt een op de tien bedrijven (10%) dat zij sommige Corona-maatregelen niet konden uitvoeren vanwege de regelgeving inzake gegevensbescherming. 40 procent zegt ook dat Duitsland te ver gaat met gegevensbescherming.
Over het onderzoek
Bitkom Research voerde het onderzoek uit in opdracht van Bitkom. Daarbij werden 504 personen die verantwoordelijk zijn voor gegevensbescherming (functionarissen voor gegevensbescherming van bedrijven, directeuren, IT-managers) van bedrijven in alle sectoren met 20 of meer werknemers in Duitsland telefonisch ondervraagd
.