Eerlijkheid is misschien niet het eerste woord waaraan u denkt met betrekking tot de huidige gekte rond de Algemene Verordening Gegevensbescherming (General Data Protection Regulation - GDPR)
Voorwoord
Op een moment waarop sommige berichten omtrent de nieuwe Europese regelgeving inzake gegevensbescherming aan het hysterische grenzen, hebben CRN® en zusterpublicatie Channelnomics™ Europe een Europese studie uitgevoerd die de hype moet doorbreken en moet ontdekken hoe resellers en MSP's echt denken over GDPR. Zien zij GDPR als een goudomrande commerciële meevaller, of eerder als een gouden kans voor advocaten? Hoe ver staan zij zelf wat conformiteit betreft en denken ze dat ze over voldoende informatie ter zake beschikken om klanten te adviseren vóór de implementatie van GDPR op 25 mei 2018? Zijn ze klaar om sommige van de GDPR-kerncomponenten aan te pakken, zoals het recht om het schrappen of verwijderen van persoonlijke gegevens aan te vragen? En zijn de belangrijkste IT-leveranciers zich ervan bewust dat het nieuwe regime, dat de grootste omwenteling betekent voor de gegevensbescherming op Europees vlak sinds de jaren '90, werkelijk slagkracht zal hebben? De studie werd in augustus 2017 uitgevoerd onder meer dan 250 leidinggevenden bij resellers, MSP's, adviesbureaus en andere channel-bedrijven in het Verenigd Koninkrijk, Duitsland, Frankrijk, Nederland en Italië. Respondenten werden verzocht om de enquête aan te vullen met gedetailleerde schriftelijke feedback en velen uitten zware kritiek op GDPR. Er werd een aanvullend onderzoek uitgevoerd onder 140 IT-leiders en eindgebruikers in het Verenigd Koninkrijk, om te beoordelen in welke mate ze voorbereid zijn op GDPR en welke hulp ze, indien beschikbaar, zullen zoeken bij IT-leveranciers om de nieuwe regelgeving na te leven. Een meerderheid van de ondervraagde resellers en MSP's zien GDPR inderdaad minstens als een bescheiden commerciële meevaller. Daartegenover staat een zekere voorzichtigheid rond de uitdagingen die GDPR inhoudt voor hun eigen bedrijf, een erkenning dat het in de eerste plaats een juridische uitdaging is (vs. technisch), en het gevoel dat de hype rond de verordening zowel overdreven als verwarrend is. Dat gezegd zijnde, mag uit deze studie blijken dat degenen die de nieuwe regels begrijpen dankzij GDPR nieuwe gesprekken zullen kunnen voeren rond gegevensbescherming en hun status als adviseur versterken.
®
80%
78%
42%
85%
34%
92%
87%
83%
77%
Genetische gegevens
Een IP-adres van een computer
Berichten op sociale netwerksites
Medische geschiedenis
Bankgegevens
Biometrische gegevens
E-mailadressen
Foto's van personen
Namen
Fig 8: Kies uit de volgende lijst wat u denkt dat als persoonlijke informatie wordt beschouwd onder GDPR. (Britse eindgebruikers)
64%
97%
82%
13%
6%
25%
38%
18%
Weet niet
In de praktijk zal het niet veel veranderen
Men zal een paar grote bedrijven tot voorbeeld stellen, maar de meeste bedrijven zullen buiten schot blijven
Ze zal doeltreffend zijn, maar niet onmiddellijk. Niet-nalevers zullen waarschijnlijk nog een jaar of twee veilig zijn
Ze zal zeer doeltreffend zijn, en bedrijven moeten ervoor zorgen dat ze vanaf de eerste dag volledig voldoen
Fig 5: In hoeverre denkt u dat GDPR doeltreffend zal zijn? (alle regio's)
12%
5%
29%
43%
Het zal leiden tot de grootste toename in uitgaven aan beveiliging en opslag voor de komende jaren
In aanzienlijke mate - het is één van de belangrijkste drijvende factoren voor uitgaven aan beveiliging en opslag bij klanten
In beperkte mate - het is slechts één van vele drijvende factoren voor uitgaven aan beveiliging en opslag bij klanten
Helemaal niet
Fig 7: Kies uit de volgende lijst wat u denkt dat als persoonlijke informatie wordt beschouwd onder GDPR. (resellers)
Fig 4: In welke mate verwacht u dat GDPR de uitgaven voor beveiliging en opslag bij uw klanten zal verhogen? (alle regio's)
7%
35%
22%
24%
Wat is GDPR?
Vooral een moeilijkheid
Zowel een kans als een mogelijke moeilijkheid
Geen gigantische verkoopmogelijkheid, maar een kans om klantenrelaties te verstevigen
Een enorme meevaller op gebied van potentiële extra technologie en consultancy-verkoop
Fig 3: Welke mogelijkheden en uitdagingen zal GDPR in het algemeen voor uw bedrijf opleveren? (alle regio's)
Weet het niet
Ja, in beperkte mate
Nee
17%
15%
45%
23%
Ja, heel sterk
Fig 6: Gezien de strengere regelgeving inzake het verzamelen van toestemming voor e-mailmarketing waartoe GDPR zal leiden, verwacht u dat sociale media na mei 2018 een belangrijk platform worden voor de marketingstrategie van uw bedrijf? (alle regio's)
Volledig
In beperkte mate
In grote mate
26%
8%
36%
10%
20%
46%
Wij hebben onze voorbereidingen afgerond en onze naleving van GDPR volledig getest
We werken aan de implementatie van gedetailleerde plannen om tegen de deadline van mei 2018 aan de GDPR te kunnen voldoen
We hebben gedetailleerde plannen maar moeten die nog uitvoeren
We hebben het besproken maar tot hiertoe niets concreets ondernomen
Fig 2: In hoeverre denkt u bevoegd te zijn om technologisch advies te verstrekken aan uw klanten rond de naleving van GDPR? (alle regio's)
Fig 1: Welke plannen en voorbereidingen heeft uw bedrijf getroffen voor GDPR? (alle regio's)
“Momenteel ontvangen we veel vragen van klanten, die worden aangemaakt door hun boekhoud- of advocatenkantoren die ons in sommige gevallen als een gegevensverwerker beschouwen. Vooral voor MSP's zien onze klanten dit onderwerp meer in verhouding tot onze eigen contracten. Contracten worden in twijfel gesteld en advocaten worden aangeworven omdat wij voor die klanten in vele gevallen een gegevensverwerker zijn.” Edel Creely, Group Managing Director, Trilogy Technologies
“We zijn allemaal betrokken bij de uitvoering hiervan. Maar als iemand denkt dat het volstaat om een GDPR-probleem op te lossen voor één van hun klanten, en aan de hand daarvan een contract te tekenen waarin je vanaf dan GDPR-conform wordt verklaard, succes ermee.” Richard Lockey, UK Country Manager, Crayon
Zijn resellers en MSP's klaar voor GDPR?
Conclusie
Het beeld van een IT-verkoopindustrie die zich opmaakt om voordeel te halen uit GDPR lijkt helemaal niet te kloppen. De bevindingen van dit onderzoek tonen aan dat IT-leveranciers zich niet optimaal voorbereid voelen voor 25 mei 2018, noch volledig overtuigd zijn dat ze hun klanten met kennis van zaken op de hoogte zullen kunnen brengen. Zij verwachten ook dat GDPR problemen zal veroorzaken voor hun marketingstrategieën en klantcontracten. Uit het Britse onderzoek voor eindgebruikers dat tegelijkertijd met de IT-leveranciersstudie onder vijf landen is uitgevoerd, is echter duidelijk gebleken (zie de sectie "bevindingen van eindgebruikers") dat een aanzienlijke minderheid van eindgebruikers begeleiding inzake GDPR verwacht van hun technologieleveranciers. GDPR mag dan vooral een juridische kwestie zijn, maar technologie speelt een ondersteunende rol. Uit een vierde van de vragen van eindgebruikers blijkt dat zij op zoek zijn naar advies en extra technologie van IT-leveranciers om volledig bij te zijn. Anders gezegd, suggereren deze bevindingen dat eindgebruikers meer technologische ondersteuning nodig zullen hebben in verband met GDPR, dan wat de channel op dit moment te bieden heeft. Hoewel GDPR geen goudmijn is, zullen slimme resellers, MSP's en adviesbureaus aan dit gebrek tegemoet komen en hun status als vertrouwde adviseurs versterken.
Het wordt persoonlijk
Onder de GDPR worden persoonlijke gegevens gedefinieerd als alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke (d.w.z. levende) persoon. Deze definitie van persoonlijke gegevens is gedetailleerder dan de huidige wetgeving inzake gegevensbescherming, waardoor duidelijk wordt dat informatie zoals een online-identificator, bijvoorbeeld een IP-adres, kan worden beschouwd als persoonlijke gegevens. Er is echter nergens een definitieve lijst van wat wel en niet in aanmerking komt volgens de nieuwe regels. Technisch gezien waren er daarom geen juiste of onjuiste antwoorden wanneer we zowel de channel- (zie figuur 7) als eindgebruikers in het Verenigd Koninkrijk (zie figuur 8) naar hun mening vroegen. Dat gezegd zijnde, wijzen de antwoorden op een verregaand besef van de bredere reikwijdte van GDPR.
Zal GDPR de resellers verplichten om hun verkoop en marketing anders aan te pakken?
We vroegen eveneens of GDPR de respondenten zal dwingen om klantcontracten te herschrijven en ook hier was het antwoord overweldigend positief. In het Verenigd koninkrijk stelt 64 procent dat dit minstens tot op zekere hoogte het geval zal zijn, met vergelijkbare cijfers in Duitsland, Frankrijk, Italië en Nederland, met respectievelijk 56, 47, 59, en 71 procent.
GDPR is onder andere ontwikkeld om de opdringerige verkoop- en marketingpraktijken te beperken waar inwoners van de 28 EU-lidstaten momenteel aan onderworpen zijn. IT-leveranciers zijn niet immuun voor dit strenge beleid en de overgrote meerderheid van respondenten zei dat sociale media een belangrijker platform voor hun marketingstrategie zullen worden ten gevolge van de strengere regels die de GDPR oplegt inzake het verkrijgen van toestemming (zie figuur 6). In het Verenigd koninkrijk stelt 71 procent dat ze minstens tot op zeker hoogte op sociale media zullen overstappen, met vergelijkbare cijfers in Duitsland, Frankrijk, Italië en Nederland, met respectievelijk 61, 64, 61, en 74 procent.
Zal GDPR echt slagkracht hebben?
GDPR wordt gezien als "gegevensbescherming op steroïden", en verhoogt aanzienlijk de normen van de verzamelde gegevensbeschermingsregels die momenteel in heel Europa van kracht zijn, waaronder de Britse Data Protection Act uit 1998 - hetzelfde jaar dat Google® werd opgericht. Organisaties die de gegevens van inwoners van de EU behandelen, moeten vanaf 25 mei 2018 onder andere toestemming krijgen van klanten om hun gegevens te verwerken, in de mogelijkheid verkeren om gegevens te verwijderen als de klant daarom verzoekt, en tijdig inbreuken op gegevens melden. De maximale boetes voor niet-naleving bedragen nu meer dan vier procent van de jaarlijkse, globale omzet of €20 miljoen. Op papier klinkt GDPR alvast streng, maar of regelgevers in Europa de mankracht hebben om dit echt krachtdadig af te dwingen, is een andere vraag. De meeste IT-leveranciers twijfelen hieraan (zie figuur 5).In het Verenigd Koninkrijk denkt slechts 21 procent dat de GDPR "echte slagkracht zal hebben, en dat bedrijven ervoor moeten zorgen dat ze vanaf dag één volledig conform zijn". Dit cijfer was vergelijkbaar of zelfs lager in de meeste Europese landen (Duitsland: zeven procent, Frankrijk: 23 procent, Italië: 19 procent, Nederland: acht procent).
Zien resellers GDPR als een commerciële meevaller?
Samenvatting
Ook op de vraag in welke mate ze verwachten dat GDPR de uitgaven voor beveiliging en opslag bij hun klanten zal verhogen, hadden de respondenten overwegend vrij bescheiden verwachtingen (zie figuur 4). Slechts een kleine minderheid van de respondenten in het Verenigd Koninkrijk, Frankrijk en Italië (respectievelijk vier, twee en twee procent) antwoordden "helemaal niet". In Nederland en Duitsland - een land dat bekend staat om haar strenge beleid inzake gegevensbescherming en privacy - lag de verhouding iets hoger (respectievelijk negen en acht procent). In de meeste landen was het meest gegeven antwoord "in beperkte mate", met 46 procent van de Britse en Duitse, 44 procent van de Franse, 45 procent van de Italiaanse en 28 procent van de Nederlandse antwoorden. Toen hen werd gevraagd om uit te splitsen waar ze een stijging van de uitgaven verwachtten, waren cloudopslag, encryptie en twee-factor-authenticatie de uitschieters, naast diensten zoals risicobeoordeling en netwerkaudits.
Volgens analist International Data Corporation® (IDC®), zal de GDPR jaarlijks $3.7 miljard aan IT-beveiligingsuitgaven tot gevolg hebben. Concurrerende analist Canalys® gaat hiermee akkoord, en voorspelt dat de Europese IT-beveiligingsmarkt dankzij de GDPR een bijkomende 16 procent winst zal maken in 2017. De vorige sectie geeft evenwel weer dat de meerderheid van de resellers, MSP's en adviesbureaus gemengde gevoelens hebben over GDPR en de invloed ervan op hun orderboeken. Wij vroegen aan resellers hoe zij GDPR over het algemeen zien in verband met de mogelijkheden en uitdagingen die het voor hun bedrijf zal betekenen. Relatief weinig Europese leveranciers denken dat het voor een grote "meevaller" gaat zorgen, hoewel de percentages hoger lagen in Frankrijk, het Verenigd Koninkrijk en Nederland (respectievelijk 26, 24 en 23 procent) dan in Duitsland (11 procent) en Italië (12 procent).
Verder ingaand op een belangrijk aspect van de GDPR, vroegen we hoe eenvoudig het was voor de respondenten om de persoonlijke gegevens van hun klanten te verwijderen. Afhankelijk van het land gaf tussen een vierde en iets meer dan de helft van de respondenten aan dat het in hun huidige bedrijfssituatie "enigszins" tot "extreem" moeilijk zou zijn om aan deze vereiste te voldoen. In Duitsland lag dat aantal op 55 procent, en in het Verenigd Koninkrijk op 26 procent.
Een beduidend hoger aantal (Verenigd Koninkrijk: 30 procent, Duitsland: 10 procent, Frankrijk: 15 procent, Italië: 12 procent, Nederland: 24 procent) zeiden dat ze tot dusverre "niets concreets hadden ondernomen om de reglementering na te leven. Dat gezegd zijnde, werken de meeste IT-leveranciers wel op zijn minst aan de conformiteit. De meeste respondenten in elk land stelden dat ze werken aan de tenuitvoerlegging van GDPR-conformiteitsplannen (Verenigd Koninkrijk: 43 procent, Duitsland: 51 procent, Frankrijk: 18 procent, Italië: 20 procent, Nederland: 33 procent). Een aanzienlijk deel van de channel-bedrijven voelt zich ook slecht toegerust om technologisch advies te verstrekken inzake GDPR-conformiteit, zo bleek uit de studie (zie figuur 2).
Vanaf 25 mei 2018 zal elk bedrijf dat actief is in de EU (of dat de persoonsgegevens behandelt van mensen die in de EU wonen) onderworpen zijn aan boetes tot €20m — of vier procent van haar jaarlijkse, globale omzet—ingeval van niet-naleving van de GDPR. Maar met minder dan een jaar te gaan, zei slechts drie procent van de bevraagde Britse IT-leiders in ons eindgebruikersonderzoek dat ze hun voorbereidingen hadden voltooid en hun naleving van GDPR volledig hadden getest (zie 'bevindingen voor eindgebruikers' voor meer informatie). Verrassend genoeg ligt dit percentage nauwelijks hoger bij de ondervraagde Britse, Duitse, Franse, Italiaanse en Nederlandse IT-leveranciers (zie figuur 1), van wie velen onderworpen zullen worden aan de nieuwe regels, niet alleen inzake gegevensbeheer, maar eveneens wat betreft gegevensverwerking. In het Verenigd Koninkrijk zei slechts zeven procent van de respondenten dat ze hun voorbereidingen voor GDPR hadden afgerond. De resultaten waren vergelijkbaar voor Duitsland (zeven procent), Frankrijk (negen procent), Italië (vier procent) en Nederland (11 procent).
Klik om te vergroten
Meer Nederlandse onderzoeksresultaten
Ian Zein, Sentia
Ivo-Paul Tummers, Jibes
Eward Driehuis, SecureLink
Belangrijke vragen
“Zijn Nederlandse organisaties klaar [voor GDPR]? Mentaal gezien niet, maar ze zullen zich er doorheen slaan. Als ze er eenmaal voor gaan, dan gaan ze voor het complete en volledige pakket.” Ivo-Paul Tummers, CEO, Jibes
Nederland
De Nederlanders hebben weinig tijd verspild om alles klaar te krijgen voor GDPR en publiceerden in december 2016 een voorstel voor een Nederlandse wet op de GDPR-tenuitvoerlegging. Deze zal op 25 mei 2018 de Nederlandse Wet Bescherming Persoonsgegevens vervangen. Resellers en MSP's in het land lijken net zo goed georganiseerd te zijn. Ongeveer 11 procent van de Nederlandse respondenten zei dat ze volledig in overeenstemming zijn met GDPR, meer dan enig ander land, en nog eens 33 procent zijn op weg naar conformiteit. Dat gezegd zijnde stelt slechts acht procent dat ze zich volledig bevoegd achten om technologisch advies te verstrekken aan hun klanten op het gebied van GDPR, het kleinste aantal van alle landen. Nederlandse IT-leveranciers waren ook het meest optimistisch over de impact die GDPR zal hebben op hun orderboeken, met 41 procent die voorspellen dat het een "aanzienlijke" toename zal teweegbrengen in beveiligings- en opslagverkoopcijfers, en nog eens 23 procent die GDPR beschouwen als een "enorme meevaller".
Edel Creely Trilogy Technologies
Dan Sharp, Mirus IT Solutions
John-Paul Norman, Amicus ITS
Meer Britse onderzoeksresultaten
“We hebben dit soort gekte ook in het verleden gezien en niemand haalt er enige eer uit... De uitdagingen liggen nu in de verplichtingen om naleving aan te tonen. Ik denk dat we net zoveel tijd zullen besteden aan het herzien van waar we mee bezig zijn als aan het documenteren ervan, zodat we dit beter aan onze klanten kunnen doorgeven om hen te helpen hun nieuwe verplichtingen na te komen - vernieuwde privacyregels, vernieuwde contracten, enz.” David McLeman, Ancoris
Het Verenigd Koninkrijk
Uit het bovenstaande citaat blijkt dat er bij de Britse IT-leveranciers een gevoel bestaat dat de hype rond GDPR in de tweede grootste economie van Europa zwaar overdreven is. Dit kan voor een deel verklaren waarom GDPR in het Verenigd Koninkrijk wordt beschouwd als een grotere commerciële meevaller dan elders, waar 39 procent van de respondenten denkt dat dit de beveiligings- en opslaguitgaven onder hun klanten "aanzienlijk" zal verhogen, meer dan welk land ook, met uitzondering van Nederland. Dat gezegd zijnde vinden slechts zeer weinig Britse IT-leveranciers dat ze geschikt zijn om de status van vertrouwde GDPR-adviseur op zich te nemen. Slechts acht procent stelt dat ze volledig bevoegd zijn om technologisch advies te verstrekken aan hun klanten op het gebied van naleving, het kleinste aantal van alle landen, en slechts zeven procent heeft zijn eigen GDPR-voorbereidingen afgerond.
Meer Duitse onderzoeksresultaten
Kai Grunwitz, NTT Security
Carl Muehlner, Damovo
“Ik ben ervan overtuigd dat Duitsland zich in een andere positie bevindt dan de meeste andere Europese landen. Duitsland heeft al geruime tijd een cultuur van gegevensbescherming... In zekere zin wordt de Europese wetgeving dus opgetrokken naar het niveau van de Duitse wetgeving.” Carl Muehlner, Managing Director, Central Region, Damovo
Duitsland
Bovenstaand commentaar geeft aan dat Duitsland bekend staat om haar harde lijn inzake de privacy en bescherming van gegevens, en wanneer we de manier waarop Duitse resellers en MSP's naar GDPR kijken vergelijken met hun concurrenten in de rest van Europa, komen er enkele intrigerende patronen naar voren. Over het algemeen zijn Duitse respondenten van mening dat ze verder staan inzake GDPR-conformiteit dan hun Europese tegenhangers (51 procent zei dat ze aan hun conformiteit werken, een hoger cijfer dan elders). Het gegeven dat Duitse eindgebruikers beter voorbereid zijn op GDPR dan elders, wordt ook weerspiegeld in het feit dat de meeste Duitse IT-leveranciers GDPR slechts als een bescheiden commerciële meevaller beschouwen. Slechts 11 procent van 44 ondervraagde bedrijven omschrijven het als een "enorme meevaller", minder dan de vier andere landen in de studie. Dat gezegd zijnde vinden de meeste Duitse MSP's dat ze nog veel werk voor de boeg hebben om zich voor te bereiden op 25 mei. Slechts tien procent vindt dat ze volledig bevoegd zijn om hun klanten technologisch advies te verstrekken over GDPR. Ondertussen geven 55 procent toe dat ze het "ietwat" tot "extreem" moeilijk zullen hebben om persoonsgegevens van hun klanten te verwijderen, een belangrijk onderdeel van GDPR.
Meer Franse onderzoeksresultaten
Jérôme Etienne and Stéphane Caranobe, ITS Group
Romain Danielou, Devoteam
“[GDPR] zal onze klanten stimuleren om innovatiever te zijn en te versnellen, en verandert de manier waarop ze de gebruikerservaring aanpakken.” Romain Danielou, Devoteam
Frankrijk
Van alle MSP's en resellers die in deze studie zijn opgenomen, leken die in Frankrijk over het algemeen het minst op de hoogte te zijn van GDPR. "Je ne sais pas" was een populair antwoord op veel van de vragen, veel meer dan in de andere vier landen in de studie. Meer dan een vierde van de respondenten gaf toe niet over GDPR te hebben gehoord, terwijl 41 procent zei dat ze niet wisten hoe ver hun eigen bedrijven stonden op het vlak van GDPR. Slechts 28 procent stelde dat ze hun voorbereidingen voor GDPR hadden voltooid of er middenin zaten. Meer dan de helft van de Franse respondenten (53 procent) vinden dat ze "absoluut niet" bevoegd zijn om hun klanten technologisch advies te verstrekken over GDPR, tegenover 12 procent in het Verenigd Koninkrijk.
Meer Italiaanse enquêteresultaten
Alberto Fenini and Marco Coppolino, Consys
Marco Lucchina, Elmec
“We denken dat [GDPR] zeker een kans zal zijn om ondersteuning te bieden aan onze klanten om compliant te worden.” Alberto Fenini, Consys
Italië
Van Zuid-Europese landen wordt in sommige kringen gedacht dat ze minder strenge gegevensbeschermings- en privacyreglementen hanteren dan de meer noordelijk gelegen landen. En het lijkt erop dat in de laars van Europa minder resellers en MSP's voorbereid zijn op GDPR dan elders. Slechts vier procent van de Italiaanse respondenten zei dat ze de voorbereidingen hadden afgerond, en nog eens 20 procent werkten aan hun conformiteit, de laagste cijfers van alle onderzochte landen. Desondanks zien de Italiaanse respondenten GDPR als een grotere commerciële meevaller dan sommige andere landen. Zo'n 31 procent zei te verwachten dat de nieuwe verordening op zijn minst een "aanzienlijke" impuls zal geven aan hun beveiligings- en opslagverkoopcijfers, minder dan in het Verenigd Koninkrijk en Nederland, maar meer dan in Frankrijk en Duitsland.
Fig 8:
Fig 7:
Fig 6:
Fig 5:
Fig 4:
Fig 3:
Fig 2:
Fig 1:
Bevindingen van eindgebruikers
De bevindingen van de enquête onder eindgebruikers bevestigen de indruk dat eindgebruikers GDPR vooral zien als een juridische/bestuurlijke kwestie. Velen denken dat ze helemaal geen hulp van IT-leveranciers nodig zullen hebben. Dat gezegd zijnde, zal de meerderheid een beroep doen op resellers om hen te helpen de minst technische hiaten te dichten, terwijl een aanzienlijke minderheid - ongeveer een kwart - diepgaande begeleiding zal nodig hebben, wat duidt op een duidelijke vertrouwde adviseursrol voor de channel.
Ten slotte vroegen we onze eindgebruikers naar de voorbereidingen die ze tot nu toe voor GDPR hebben getroffen, en hoe zeker ze ervan zijn dat hun bedrijf op 25 mei 2018 conform de GDPR zal zijn (zie figuur 6 en 7) en of ze denken dat de nieuwe regels slagkracht zullen hebben.
Zoals te verwachten viel, werden beheer en naleving door het grootste aantal respondenten (49 procent) genoemd als het zwaartepunt van de GDPR-opdrachten. De IT-afdeling was met afstand tweede op 24 procent (zie figuur 5).
Bovendien werd de eindgebruikers-respondenten gevraagd welke aspecten van GDPR zij het moeilijkst vinden om aan te voldoen (zie figuur 4). Het recht om te wissen was veruit de meestgenoemde optie, met 61 procent die dit een topprioriteit vond.
De vijf belangrijkste technologiegebieden waaraan IT-leiders zeiden dat ze extra investeringen hebben besteed of zullen besteden om conformiteit te bereiken, zijn risicobeoordeling (36 procent), cloud/online backup en recovery (31 procent), encryptie (30 procent), opslag (29 procent) en mobiel apparaatbeheer (26 procent) (zie figuur 3.
In navolging van de bevindingen van de vorige vraag, antwoordde een kwart van de respondenten dat zij juridische of technische hulp van derden zouden zoeken (zie figuur 2) toen de vraag werd gesteld welke veranderingen zij al hebben gemaakt of zullen maken om te voldoen aan GDPR. Ongeveer 35 procent zei eveneens dat ze het gebruik van persoonlijke gegevens door hun partners zullen herzien.
Naast het pan-Europese channelonderzoek heeft CRN ook aan meer dan 140 Britse IT-besluitvormers gevraagd wat hun indruk is van GDPR, met name in verband met wat zij van hun IT-leveranciers verwachten. Er wordt vaak gezegd dat IT slechts een ondersteunende rol zal spelen bij de naleving van GDPR, wat wellicht weerspiegeld werd in de bescheiden rol die IT-leveranciers volgens de meeste eindgebruikers in hun GDPR-plannen zullen spelen. Meer dan een vierde stelde dat ze helemaal geen ondersteuning van IT-leveranciers nodig zullen hebben, ofwel omdat ze al volledig conform zijn, ofwel omdat ze van mening zijn dat ze dit intern behandeld hebben. Het goede nieuws is dat de meerderheid op zijn minst een beperkte rol ziet voor IT-leveranciers (zie figuur 1), waarbij ongeveer een kwart een vrij grote betrokkenheid van hen verwacht.
Dit document is uitsluitend bedoeld voor informatieve doeleinden en mag niet worden gebruikt als juridisch advies of om te bepalen hoe GDPR van toepassing kan zijn op u en uw organisatie. We raden u aan samen te werken met een juridisch gekwalificeerde professional om GDPR te bespreken, hoe dit specifiek van toepassing is op uw organisatie en hoe u het beste kunt zorgen voor conformiteit. SolarWinds MSP verleent geen enkele garantie, expliciet of impliciet, noch aanvaardt enige wettelijke aansprakelijkheid of verantwoordelijkheid voor de hierin opgenomen informatie, inclusief de nauwkeurigheid, volledigheid of bruikbaarheid van de informatie. © 2017 SolarWinds MSP UK Ltd. Alle rechten voorbehouden.
Resellers over de vraag of hun functie zal helpen om klanten conform de GDPR te maken
We hebben dit jaar een enorme toename gezien in aanvragen om informatie over GDPR en hebben uitgebreide begeleiding opgezet voor onze sector. We hebben al een stijging in de verkoop gezien en hebben zwaar geïnvesteerd in een platformoplossing om onze klanten te helpen met zaken zoals beheer van toestemmingen, RTBF-aanvragen en dergelijke. Onze interne uitdagingen liggen in de tijd die we moeten besteden aan de afwerking van onze eigen conformiteit terwijl we toch al onze verplichtingen aan onze klanten moeten nakomen, maar we zullen er wel kome. Operations director, leverancier van volledige lifecycle-oplossingen Helaas geven vele "deskundigen" niet echt een nauwkeurig/volledig beeld van de reikwijdte en implicaties van GDPR - een groot deel van onze aanvankelijke adviserende rol is het ontkrachten van onjuiste informatie die klanten voor waarheid hebben aangenomen. CEO/MD, MSP Ons bedrijf houdt zich bezig met persoonlijke gegevens voor bepaalde klanten, dus ik denk dat de grootste uitdaging er voor ons in zal bestaan om met hen samen te werken en hen te helpen hun eigen verantwoordelijkheden te begrijpen wanneer ze controllers, processors of beide zijn. Communicatie rond deze kwesties zal cruciaal zijn om goede relaties, vertrouwen en ook de reputatie van beide partijen in stand te houden. Planning en inzicht, MSP Het is een zeer belangrijke omwenteling, en wij zijn op hoog niveau op de hoogte gebracht van de impact. Sales executive, MSP Het is een kans voor ervaren adviseurs. Sommigen zullen de hype overdrijven om er profijt uit te halen, maar het zou stabiel werk moeten opleveren, zowel op het gebied van onderwijs als implementatie. EO/MD, adviesbureau
Resellers over de vraag of GDPR overhyped is
De sector overdrijft de hype rond GDPR dramatisch; het voelt weer helemaal aan als Y2K. Sales/commercieel directeur, leverancier van clouddiensten Het is de nieuwe trend; iedereen plakt een GDPR-conformiteitslabel op zijn producten, wat alles voor iedereen vreselijk onduidelijk maakt. Functie op c-niveau, reseller/VAR Ik denk inderdaad dat de hype rond GDPR overdreven is, maar er is weinig tot geen informatie beschikbaar om het proces uit te leggen. Ik heb ook de indruk dat verkopers klanten trachten te benaderen met bangmakerij. Is er een overheidssubsidie beschikbaar voor kmo's om te voldoen aan GDPR of volstaat een boete? Sales/commercieel directeur, reseller/VAR GDPR is niet voldoende aan bod gekomen in de media. Heel wat mensen zijn zich er nog steeds niet van bewust en dit zal bijna alle bedrijven op één of andere manier beïnvloeden. Hoger kaderlid, reseller/VAR
Resellers over de vraag of GDPR slagkracht zal hebben
Iedereen weet dat het potentieel een probleem is, maar de meesten zijn sceptisch vanwege de "hype"-factor. Na onlangs een aantal evenementen te hebben bezocht, gelooft de meerderheid van de markt dat er een gratieperiode zal zijn. Marketingdirecteur/CMO, adviesbureau Ik geloof dat de GDPR een grote verandering zal teweegbrengen voor de beveiliging van persoonlijke gegevens. Ik ben van mening dat klanten steeds beter ingelicht zijn en blijven omtrent persoonlijke gegevens en als een bedrijf voorbijgaat aan de vertrouwenspositie waarin het zich bevindt als bewaarder van persoonlijke gegevens, dan zal het daar ernstige gevolgen van ondervinden. Bedrijven beginnen het probleem te onderkennen, maar er is zeker een uitdaging ontstaan om bedrijven zo vroeg mogelijk op de hoogte te brengen van de enorme omvang van de situatie. Senior manager, adviesbureau Wanneer duidelijk wordt welke slagkracht de wetgever heeft, zal het ernstiger worden genomen. CFO, managed services provider
Resellers over de vraag of GDPR de verkoop zal stimuleren
Mijn functie draait rond backup- en DR-software, dus ik heb de interesse in het product de afgelopen maanden zien toenemen en ik denk dat deze trend zich zal doorzetten. GDPR is van cruciaal belang en dit gegeven zal tot vóór mei volgend jaar blijven toenemen. Sales/commercieel directeur, distributeur Het blijkt ons een goede commerciële mogelijkheid te bieden. Ik denk dat het hoogtepunt de komende drie maanden zal komen. CEO/MD, adviesbureau Het is nog erg onduidelijk of dit grote veranderingen zal teweegbrengen voor ons in de VAR-wereld, of eerder een nieuwe branche voor commerciële verzekeringen. Sales executive, reseller/VAR Als ik een IT-aankoper was, zou ik waarschijnlijk ziek worden van mensen die me over GDPR bellen. Daarom twijfel ik aan het nut ervan als een nieuwe zakelijke tactiek. Sales executive, reseller/VAR Het zal klanten aanzetten om een ernstigere houding aan te nemen in verband met beveiliging, en het zal later dit jaar een hoogtepunt bereiken, vóór Kerstmis, dunkt me. Sales executive, reseller/VAR Overdreven hype; geen toename in onze verkoopcijfers, gewoon iets dat intern moet beheerd worden. Sales executive, uitbestedingsbedrijf
De GDPR-tegenstanders
Het is de volgende Y2K. Waarschijnlijk een kolossale tijd- en geldverspilling omdat de voorschriften niet op een zinvolle manier zullen worden afgedwongen. Sales/commercieel directeur, reseller/VAR De vatbaarheid voor interpretatie ervan baart ons zorgen. Totdat sommige testgevallen een precedent schetsen, zal het moeilijk zijn om te beweren dat een bedrijf 100 procent conform is. Sales/commercieel directeur, distributeur Ik ben het zat om over GDPR te horen. Hoger kaderlid, reseller/VAR
De GDPR-fans
GDPR in je eigen woorden
De drijfveer voor een betere gegevensbeveiliging is de zichtbaarheid van publieke cyberaanvallen. Naleving van GDPR komt hier op de tweede plaats, maar de twee samen bieden marketingvoordelen. Sales/commercieel directeur, MSP Wij zien GDPR als een kans voor organisaties om onduidelijke processen te stroomlijnen met behulp van de juiste technologie. Marketingdirecteur, leverancier van clouddiensten GDPR is goed nieuws voor de digitale markt omdat dit orde schept in gegevens die tot hiertoe vrij toegankelijk waren voor iedereen. GDPR is gewoon een stap op weg naar digitale volwassenheid. Functie op c-niveau, adviesbureau IIn eerste instantie gaat het erom orde te scheppen en ervoor te zorgen dat het beleid en de procedures door alle werknemers worden toegepast door relevante training en opleiding te voorzien. Wij willen in staat zijn om onze klanten te helpen de juiste beslissingen te nemen rond het verbeteren van de gegevenstoegankelijkheid in het geval van verzoek tot toegang of verwijdering. Technicus, reseller/VAR Ik denk dat het noodzakelijk is en moet toegepast worden ter bescherming van de consument. Los van strafrechtelijk onderzoek heeft iedereen het recht om te weten hoe zijn gegevens worden opgeslagen. Uitdagingen zullen de marketingafdeling ten deel vallen, waar we informatie moeten verifiëren alvorens campagnes te lanceren. Marketing executive, IT-services
We hebben IT-leveranciers in de vijf onderzochte landen gevraagd om (anoniem) gedetailleerde schriftelijke feedback te geven over hun mening over GDPR. Hier volgen enkele hoogtepunten van respondenten uit het Verenigd Koninkrijk: