Onderzoek PwC: Organisaties nog niet klaar voor aangescherpte privacyregels

Eind mei 2018 moeten alle organisaties in Nederland voldoen aan de EU-verordening over databescherming. Deze is veel strenger dan de huidige Wet bescherming persoonsgegevens. Een jaar voor de invoering van de verordening is nog slechts 12% van de organisaties helemaal voorbereid op de nieuwe regels. Dat blijkt uit het periodieke ‘Privacy Governance-onderzoek’ van PwC onder 327 organisaties. De enquête is eind mei 2017 gehouden. Meer dan de helft van de organisaties is nog niet begonnen met voorbereidingen, is een andere uitkomst uit het onderzoek.

De Europese Algemene Verordening Gegevensbescherming (AVG) gaat op 25 mei 2018 in en heeft grote gevolgen voor de verwerking en bescherming van persoonsgegevens binnen organisaties. Centraal staan het verkrijgen van inzicht in de verwerkingen van persoonsgegevens en datastromen en het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design & privacy by default). Ook krijgt iedereen het recht ‘om vergeten te worden’.

 Veel organisaties onderschatten de voorbereidingstijd die de talrijke procedurewijzigingen en technische aanpassingen van hen vragen, zo blijkt uit het PwC-onderzoek. Het geeft volgens de onderzoekers bovendien te denken dat driekwart (74%) geen inzage- of correctieprocedures, de helft (51%) geen beleidsregels voor datalekken en ruim een derde datalekken niet bijhoudt. Aan deze regels moet een organisatie op basis van de huidige Nederlandse wetgeving al voldoen.

De belangrijkste conclusies

  • Verwerking persoonsgegevens: Driekwart (74%) heeft verwerkingen van persoonsgegevens nog niet inzichtelijk en gedocumenteerd, terwijl dit wel een verplichting is. Slechts 19% van de organisaties heeft dit inmiddels wel gedaan;
  • Right to be forgotten: 69% heeft geen enkele procedure geïmplementeerd voor de afhandeling van inzage- en correctieverzoeken van betrokkenen;
  • Meldplicht datalekken: slechts 49% heeft een draaiboek klaarliggen in geval van een datalek;
  • Data Protection Officer: 17% heeft de verantwoordelijkheid voor privacy neergelegd bij een privacy officer. 21% heeft daarentegen niemand aangewezen die de rol van Data Protection Officer gaat vervullen;
  • Bewerkersovereenkomst: 13% sluit geen bewerkersovereenkomst af met derde partijen waarmee persoonsgegevens worden gedeeld. Belangrijkste reden is de onbekendheid hiervan;
  • Privacy Impact Assessment: De helft (50%) voert geen Privacy Impact Assessment uit bij organisatiewijzigingen die grote impact hebben op de verwerking van persoonsgegevens;
  • Bewaartermijnen: Een derde heeft geen bewaartermijnen geïmplementeerd;
  • Mankracht: het grootste struikelblok voor tijdige implementatie is gebrek aan mankracht (39 procent), gevolgd door onvoldoende kennis (34%);
  • Deadline: Slechts 12% zegt nu klaar te zijn voor de nieuwe EU-vordering. De helft (52%) verwacht voor de deadline van 25 mei 2018 klaar te zijn met voorbereidingen.