Nog een klein jaar en dan moeten alle organisaties in Nederland voldoen aan de EU-verordening over privacy en databescherming. Deze is veel strenger dan de huidige wet bescherming persoonsgegevens. Toch is slechts 12 procent van de organisaties op dit moment helemaal voorbereid op de nieuwe regels. Dat is nauwelijks meer dan aan het begin van dit jaar. Meer dan de helft is zelfs nog niet begonnen met voorbereidingen.
Dat blijkt uit het periodieke Privacy Governance onderzoek van PwC onder 351 Nederlandse organisaties. De enquête is eind mei gehouden. De Europese Algemene Verordening Gegevensbescherming (AVG) gaat op 25 mei 2018 in en heeft grote gevolgen voor de verwerking en bescherming van persoonsgegevens binnen organisaties. Centraal staan het verkrijgen van inzicht in de verwerkingen van persoonsgegevens en datastromen en het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design & privacy by default). Ook krijgt iedereen het recht “om vergeten te worden”.
“Veel organisaties onderschatten de voorbereidingstijd die de talrijke procedurewijzigingen en technische aanpassingen van hen vragen”, zegt Bram van Tiel, securityspecialist bij PwC. Dat 69 procent geen inzage- of correctieprocedures en de 43 procent geen beleidsregels voor datalekken heeft en een derde datalekken niet bijhoudt, geeft bovendien te denken. Aan een deel van deze regels moet een organisatie op basis van de huidige Nederlandse wetgeving al sinds 1 januari 2016 voldoen.
Dat betekent dat er veel organisaties zijn die boetes tot 820.000 euro riskeren. Die boetes kunnen vanaf mei 2018 oplopen tot twintig miljoen euro of 4% van de jaaromzet. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, heeft recent nog aangegeven dat er zeker sancties zullen worden getroffen als bedrijven niet aan de regels voldoen.
Maar volgens Bram van Tiel mag die boetedreiging niet de hoofdmotivatie zijn. “Voor consumenten zijn er voordelen bij het delen van hun persoonsgegevens, vaak is het zelfs een verplichting. Delen van gegevens hoeft ook geen probleem te zijn, zolang er verantwoord mee wordt omgegaan. Dit creëert een wankel evenwicht tussen vertrouwen en service. Dat vertrouwen kan in één keer omslaan als een organisatie gehackt wordt, gegevens lekt en procedures ontoereikend blijken te zijn.”
Bram van Tiel wijst ook op een breder belang. “Nederland ontwikkelt zich in sneltreinvaart tot digitale mainport. Met een digitale productie van bijna 23% van het bruto binnenlands product zijn we één van de meest ICT-intensieve economieën ter wereld. Voor ons land is een veilig en integer dataverkeer dus cruciaal.”