Onderzoek PwC: Organisaties nemen privacy nog onvoldoende mee in hun transformaties

Ruim een jaar na de invoering van de Algemene verordening gegevensbescherming (AVG) worstelen nog veel organisaties met hun privacybeleid. Dat blijkt uit het jaarlijkse onderzoek naar privacygovernance van PwC. Bijna negentig procent van de gevraagde organisaties heeft privacy-by-design nog onvoldoende geïmplementeerd.Meer dan een derde geeft aan dat beperkte menskracht en kennis de grootste uitdaging vormt voor borging van de AVG. Wel is het aantal organisaties dat investeert in privacy en compliance verdubbeld ten opzichte van vorig jaar.

Bram van Tiel, PwC-expert op het gebied van cybersecurity en dataprivacy: “Juist nu veel organisaties midden in een digitale transformatie zitten, is het belangrijk om privacy-by-design mee te nemen. Als je hier bij voorbaat onvoldoende rekening mee houdt, neem je onnodige risico’s en riskeer je hogere kosten.”Privacy-by-design houdt in dat er vanaf het begin bij de ontwikkeling van producten en diensten aandacht moet zijn voor privacy. “Het is een voorwaarde om privacy te implementeren bij alles wat je nu bouwt en verandert. Doe je dat niet, dan is de kans groot dat organisaties over enkele jaren hun AVG-implementatie opnieuw moeten doen”, aldus Van Tiel.

Investeringen in nieuwe technologie en datatools

Er zijn ook zaken die wel goed gaan sinds de invoering van de AVG. In 2018 gaf 22 procent van de gevraagde organisaties aan extra te investeringen in privacycompliance en -governance. Dat percentage is dit jaar verdubbeld. Dit geld ging vooral naar investeringen in nieuwe technologie en datatools die het beheer vereenvoudigen.

Andere uitkomsten uit het onderzoek zijn:

  • Weinig organisaties vrezen een bezoek van de Autoriteit Persoonsgegevens, 89 procent geeft aan voldoende compliant te zijn. 
  • De komst van de AVG (ook bekend als GDPR) in mei vorig jaar was voor 88 procent van de organisaties aanleiding om meer grip te krijgen op de verwerking van persoonsgegevens.
  • 97 procent van de organisaties geeft aan dat de verantwoordelijkheid van het privacybeleid sindsdien is belegd bij – meestal – een data protection officer (DPO), ook wel functionaris voor gegevensbescherming (FG) genoemd.
  • Alle organisaties geven aan inmiddels met regelmaat risicoanalyses – zoals data protection impact assessments – uit te voeren. Vorig jaar deed slechts 33 procent van de ondervraagden dit.

Nog genoeg uitdagingen op privacygebied

Desalniettemin zijn er nog voldoende uitdagingen op privacygebied. Het ontbreken van menskracht en specialistische kennis vormen een groot struikelblok voor borging van AVG-compliance.Yvette van Gemerden, partner privacy- en arbeidsrecht bij PwC: “Naast een tekort aan kennis en financiën vormt de organisatiecultuur en handelwijze van medewerkers het grootste obstakel wanneer het over privacy gaat. De recente boete van de Autoriteit Persoonsgegevens opgelegd aan een Haags ziekenhuis is daar een goed voorbeeld van.”