‘Veel ondernemingen voldoen niet eens aan oude privacywet’

Uit periodiek onderzoek van PwC onder bijna 400 middel(grote) organisaties blijkt dat slechts 42 procent verwacht klaar te zijn voor de strengere privacyregels. Dit percentage ligt zelfs nog lager dan een jaar geleden (52 procent), toen veel organisaties nog geen helder beeld hadden van de volle impact van de EU-vordering.

De AVG, de nieuwe Europese privacywet die ook bekend is onder de naam GDPR, is strenger dan de huidige wet bescherming persoonsgegevens. Opvallend genoeg voldoen veel organisaties ook niet aan de oude wet. Zo houdt slechts de helft van de respondenten een overzicht bij van datalekken, ook al is dit sinds 2016 verplicht. “Dit geeft zwaar te denken”, zegt Bram van Tiel, privacyspecialist bij PwC.

De Europese privacywet gaat 25 mei in en heeft grote gevolgen voor de verwerking en bescherming van persoonsgegevens. Centraal staan het verkrijgen van inzicht in de verwerkingen van persoonsgegevens en datastromen en het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design & privacy by default). Ook krijgt iedereen het recht ´om vergeten te worden´.

Onderschatting
Volgens Bram van Tiel hebben veel organisaties de voorbereidingstijd die de talrijke procedurewijzigingen en technische aanpassingen van hen vragen zwaar onderschat. “Ze hadden een jaar geleden nog geen flauw benul wat er precies moest gebeuren. Bij veel organisaties bleek het in kaart brengen van alle persoonsgegevens, waar ze precies opgeslagen waren en wie er toegang tot had al een flinkere kluif dan vooraf ingeschat.“

Technologie weinig ingezet
Opvallend is dat organisaties nog maar zeer beperkt technologie oplossingen gebruiken om compliance aan de GDPR aantoonbaar te maken. Slechts 29 procent van de organisaties geeft aan technologie in te zetten voor de genoemde nieuwe eisen. “Onbegrijpelijk”, zegt Bram van Tiel. “Want hoe onderhoud je dan het nu gecreëerde overzicht, hoe voldoe je binnen de termijnen aan de verzoeken van klanten op inzage, ed. ” 

Volgens PwC dreigt de inhaalslag die gemaakt is op gebied van privacy compliance eenmalig te zijn, in plaats van dat deze ontwikkeling gebruikt is om voor langere tijd, aantoonbaar te voldoen aan privacywetgeving. Verder biedt de inzet van technologie ook een unieke kans om meer waarde te halen uit de investeringen gedaan op het vlak van privacy.

Rustiger slapen
Bij compliancevraagstukken is het altijd ingewikkeld om te bepalen wanneer je als organisatie genoeg doet, zegt Bram van Tiel. “De glazenbolvraag is hoeveel verzoeken tot inzage, correctie en vergetelheid bedrijven zullen krijgen. Daar moet je binnen een redelijke termijn aan kunnen voldoen, wat in de praktijk dertig dagen is. Met een slimme datastrategie en de juiste ondersteunende technologie kun je ná 25 mei het verschil maken bij je klanten, medewerkers en andere stakeholders. Oftewel, benader de AVG niet alleen vanuit compliance maar ook vanuit data governance en klantperspectief. Organisaties die daar goed over nadenken hebben straks een concurrentievoordeel. En hun privacy officer zal een stuk geruster slapen.”

Overige onderzoeksresultaten:

• Rechten van betrokkenen: circa een derde (31%) heeft geen procedures om verzoeken van betrokkenen af te handelen, zoals verzoeken tot inzage, overdracht of het wissen van persoonsgegevens. Dit percentage is iets verbeterd ten opzichte van vorig jaar (38%).

• Grootste struikelblok: als grootste struikelblok voor de borging van de AVG worden gebrek aan voldoende ‘mankracht’ (19%), ‘kennis’ (16%) en budget (10%) genoemd.

• Data Protection Officer: slechts 16 procent heeft de verantwoordelijkheid voor privacy neergelegd bij een privacy officer. Bijna een kwart (23%) heeft daarentegen niemand aangewezen voor het privacybeleid. Deze percentages liggen ongeveer gelijk aan vorig jaar.

• Privacybudget: De toename van privacybudgetten stagneert. Bij 22 procent is er sprake van een toename ten opzichte van een jaar eerder. In 2017 lag dit percentage nog op 50 procent.

• Verwerking persoonsgegevens: Slechts 19% heeft een (volledig) register voor verwerkingsactiviteiten. Ruim een kwart (27%) zegt er nog mee bezig te zijn. Dit is geen significante verbetering ten opzichte van vorig jaar.

• Assessments: De helft (49%) voert nog altijd geen risicoanalyses (Data Protectie Impact Assessments) uit in het kader van omgaan met persoonsgegevens.