PwC: Organisaties niet klaar voor aangescherpte privacyregels
Nog een klein jaar en dan moeten alle organisaties in Nederland voldoen aan de EU-verordening over privacy en databescherming. Deze is veel strenger dan de huidige wet bescherming persoonsgegevens. Toch is slechts 12 procent van de organisaties op dit moment helemaal voorbereid op de nieuwe regels. Dat is nauwelijks meer dan aan het begin van dit jaar.
AVG
De Europese Algemene Verordening Gegevensbescherming (AVG) gaat op 25 mei 2018 in en heeft grote gevolgen voor de verwerking en bescherming van persoonsgegevens binnen organisaties. Centraal staan het verkrijgen van inzicht in de verwerkingen van persoonsgegevens en datastromen en het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design & privacy by default). Ook krijgt iedereen het recht “om vergeten te worden”.
Voorbereidingstijd onderschat
‘Veel organisaties onderschatten de voorbereidingstijd die de talrijke procedurewijzigingen en technische aanpassingen van hen vragen’, zegt Bram van Tiel, securityspecialist bij PwC. Dat 69 procent geen inzage- of correctieprocedures en de 43 procent geen beleidsregels voor datalekken heeft en een derde datalekken niet bijhoudt, geeft bovendien te denken. Aan een deel van deze regels moet een organisatie op basis van de huidige Nederlandse wetgeving al sinds 1 januari 2016 voldoen.
Boetes
Dat betekent dat er veel organisaties zijn die boetes tot 820.000 euro riskeren. Die boetes kunnen vanaf mei 2018 oplopen tot twintig miljoen euro of 4% van de jaaromzet. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, heeft recent nog aangegeven dat er zeker sancties zullen worden getroffen als bedrijven niet aan de regels voldoen. Maar volgens Bram van Tiel mag die boetedreiging niet de hoofdmotivatie zijn. ‘Voor consumenten zijn er voordelen bij het delen van hun persoonsgegevens, vaak is het zelfs een verplichting. Delen van gegevens hoeft ook geen probleem te zijn, zolang er verantwoord mee wordt omgegaan. Dit creëert een wankel evenwicht tussen vertrouwen en service. Dat vertrouwen kan in één keer omslaan als een organisatie gehackt wordt, gegevens lekt en procedures ontoereikend blijken te zijn.’
Bram van Tiel wijst ook op een breder belang. ‘Nederland ontwikkelt zich in sneltreinvaart tot digitale mainport. Met een digitale productie van bijna 23% van het bruto binnenlands product zijn we één van de meest ICT-intensieve economieën ter wereld. Voor ons land is een veilig en integer dataverkeer dus cruciaal.’
Overige onderzoeksresultaten
- Verwerking persoonsgegevens: Driekwart (74 procent) heeft verwerkingen van persoonsgegevens nog niet inzichtelijk en gedocumenteerd, terwijl dit wel een verplichting is. Slechts 19% van de organisaties heeft dit inmiddels wel gedaan.
- Right to be forgotten: 69 procent heeft geen enkele procedure geïmplementeerd voor de afhandeling van inzage- en correctieverzoeken van betrokkenen.
- Meldplicht datalekken: slechts 49 procent heeft een draaiboek klaarliggen in geval van een datalek.
- Data Protection Officer: 17 procent heeft de verantwoordelijkheid voor privacy neergelegd bij een privacy officer. 21 procent heeft daarentegen niemand aangewezen die de rol van Data Protection Officer gaat vervullen.
- Bewerkersovereenkomst: 13 procent sluit geen bewerkersovereenkomst af met derde partijen waarmee persoonsgegevens worden gedeeld. Belangrijkste reden is de onbekendheid hiervan.
- Privacy Impact Assessment: De helft (50 procent) voert geen Privacy Impact Assessment uit bij organisatiewijzigingen die grote impact hebben op de verwerking van persoonsgegevens.
- Bewaartermijnen: Een derde heeft geen bewaartermijnen geïmplementeerd.
- Mankracht: het grootste struikelblok voor tijdige implementatie is gebrek aan mankracht (39 procent), gevolgd door onvoldoende kennis (34 procent).
- Deadline: Slechts 12% zegt nu klaar te zijn voor de nieuwe EU-vordering. De helft (52 procent) verwacht voor de deadline van 25 mei 2018 klaar te zijn met voorbereidingen.