Slechts één op de tien Nederlandse organisaties zegt klaar te zijn voor nieuwe Europese privacywetgeving. Dat blijkt uit het periodieke Privacy Governance-onderzoek van PwC onder ruim 200 organisaties, die is uitgebracht op de Internationale Dag van de Privacy (28 januari jl.). Twee derde bereidt zich actief voor op de EU-verordening en een kwart is nog niet met de voorbereiding gestart. De verwachting van PwC is dat veel organisaties in tijdnood komen.
Per 25 mei 2018 moeten organisaties overschakelen op de Europese Algemene verordening gegevensbescherming (AVG). Hiermee komen verschillen tussen wetgeving in de verschillende lidstaten te vervallen. Tot die tijd moeten organisaties in Nederlands zich houden aan de nu geldende privacyrichtlijnen die volgen uit de Wet bescherming persoonsgegevens. ‘Hoewel mei 2018 nog ver weg lijkt, zullen veel organisaties de resterende tijd hard nodig hebben om de talrijke procedurewijzigingen en technische aanpassingen door te voeren’, zegt Bram van Tiel, security- en privacyspecialist bij PwC. Zo moeten organisaties straks meer inzicht geven in dataverwerking, verantwoordelijken op privacygebied benoemen en zogenoemde privacy by design- en privacy by default– principes doorvoeren. Ook krijgt iedereen het recht ‘om vergeten te worden’. Slechts één van de negen organisaties (11%) geeft aan klaar te zijn voor de AVG; 64% is zich naar eigen zeggen er actief op aan het voorbereiden en 25% is hiermee nog niet gestart.
Melden van datalekken
De AVG bevat ook strengere regels rondom het melden van datalekken. Organisaties in Nederland moeten al vanaf januari 2016 datalekken melden in een register en een procedure hebben hoe ze met datalekken omgaan, inclusief communicatieplan. Opvallend is dat slechts 58% de nu geldende regels voor het melden van datalekken heeft ingevoerd. Dat percentage ligt weliswaar significant hoger dan vorig jaar (16%), maar dat betekent dat er nog steeds veel bedrijven zijn die boetes tot 820.000 euro riskeren. Die boetes kunnen vanaf mei 2018 oplopen tot 20 miljoen euro of 4% van de jaaromzet. Een minderheid (44%) van de ondervraagde organisaties heeft nog nooit een datalek gemeld. Bram van Tiel: “We weten dat het percentage dat slachtoffer is geweest van cybercrime hoger ligt. Veel organisaties weten niet precies wat een datalek is en wanneer ze de Autoriteit Persoonsgegevens en betrokkenen, zoals klanten, moeten informeren.”
Uit het onderzoek komt wel naar voren dat bij 87% van de organisaties de meldplicht datalekken heeft gezorgd voor een grotere bewustwording op het gebied van omgang met persoonsgegevens. Ruim driekwart (76%) van de organisaties voldoet aan de wettelijke verplichting om een centraal overzicht van datalekken bij te houden en 72% heeft een communicatieplan voor het geval er zich een datalek voordoet. “De uitdaging lijkt nu vooral te zorgen dat wat op papier staat wordt omgezet naar de praktijk”, aldus de onderzoekers.
Andere uitkomsten
Uit het onderzoek blijkt verder dat 90% van de ondervraagde organisaties inzichtelijk heeft welke persoonsgegevens de organisatie verwerkt, maar slechts 35% documenteert de verwerkingen. Slechts een kleine minderheid van 9% geeft aan te voldoen aan de verplichting dat alle verwerkingen inzichtelijk en gedocumenteerd zijn. Het gebruik van bewerkersovereenkomsten is licht gestegen naar 70% (2015: 60%), maar nog niet de helft hiervan (31%) controleert de naleving van deze overeenkomsten. Daarnaast vindt 29% de eigen organisatie (zeer) volwassen op het gebied van privacy, al heeft nog niet de helft (41%) van de organisaties een Privacy Assessment uitgevoerd. Driekwart (74%; in 2015 50%) heeft het afgelopen jaar extra geïnvesteerd in privacy compliance met als belangrijkste reden dat organisaties zich verantwoordelijk voelen voor de bescherming van persoonsgegevens (75%).
Bij twee derde (67%) van de organisaties is privacy een samenspel tussen Business, Legal en IT (security), Daarbij is sprake van een verdere versterking ten opzichte van 2015. De samenwerking vindt bij 70% van de respondenten periodiek plaats, bij 19% ad hoc en bij 11% bij incidenten. Ook wordt het nut van een Europese Data Protection Seals voor ondernemingen steeds duidelijker: 52% van de respondenten onderkent dit, bijna een verdubbeling ten opzichte van een jaar eerder (27%). Verder is ‘Privacy by Design’ inmiddels goed ingebed binnen organisaties, van wie 69% rekening zegt te houden met het gebruik van persoonsgegevens bij de introductie van nieuwe systemen. Meer dan een kwart (28%) van de organisaties heeft de verantwoordelijkheid voor privacy neergelegd bij een speciale privacy officer en 17% heeft die verantwoordelijkheid nergens belegd of heeft überhaupt geen privacybeleid. PwC verwacht dat investeringen in aanloop naar de EU-verordening fors zullen toenemen
Het Privacy Governance-onderzoek is hier te downloaden: https://www.pwc.nl/nl/assets/documents/pwc-privacy-governance-onderzoek-2017.pdf.
