Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 21 mei 2018

'Veel Nederlandse organisaties hebben AVG zwaar onderschat'

Privacy Data protection Onderzoek
'Veel Nederlandse organisaties hebben AVG zwaar onderschat' image

Veel Nederlandse organisaties zijn niet op tijd klaar voor de nieuwe Europese privacywetgeving en lopen hierdoor vanaf volgende week kans op hoge boetes. Slechts 42% van de middel(grote) organisaties verwacht klaar te zijn voor de strengere privacyregels. Dit percentage ligt zelfs nog lager dan een jaar geleden (52 procent), toen veel organisaties nog geen helder beeld hadden van de volle impact van de EU-vordering.

Dit blijkt uit een periodiek onderzoek van PwC onder bijna 400 middel(grote) organisaties. De Algemene Verordening Gegegevensbescherming (AVG), de nieuwe Europese privacywet die ook bekend is onder de naam General Data Protection Regulation (GDPR), is strenger dan de huidige wet bescherming persoonsgegevens. Opvallend genoeg voldoen veel organisaties ook niet aan de oude wet. Zo houdt slechts de helft van de respondenten een overzicht bij van datalekken, ook al is dit sinds 2016 verplicht. "Dit geeft zwaar te denken", zegt Bram van Tiel, privacyspecialist bij PwC.

Inzicht in verwerkingen en datastromen

De Europese privacywet gaat 25 mei in en heeft grote gevolgen voor de verwerking en bescherming van persoonsgegevens. Centraal staan het verkrijgen van inzicht in de verwerkingen van persoonsgegevens en datastromen en het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design & privacy by default). Ook krijgt iedereen het recht “om vergeten te worden”.

Volgens Bram van Tiel hebben veel organisaties de voorbereidingstijd die de talrijke procedurewijzigingen en technische aanpassingen van hen vragen zwaar onderschat. "Ze hadden een jaar geleden nog geen flauw benul wat er precies moest gebeuren. Bij veel organisaties bleek het in kaart brengen van alle persoonsgegevens, waar ze precies opgeslagen waren en wie er toegang tot had al een flinkere kluif dan vooraf ingeschat."

Technologie weinig ingezet

Opvallend is dat organisaties nog maar zeer beperkt technologie oplossingen gebruiken om compliance aan de GDPR aantoonbaar te maken. Slechts 29% van de organisaties geeft aan technologie in te zetten voor de genoemde nieuwe eisen. "Onbegrijpelijk", zegt Bram van Tiel. "Want hoe onderhoud je dan het nu gecreëerde overzicht, hoe voldoe je binnen de termijnen aan de verzoeken van klanten op inzage, ed."

Volgens PwC dreigt de inhaalslag die gemaakt is op gebied van privacy compliance eenmalig te zijn, in plaats van dat deze ontwikkeling gebruikt is om voor langere tijd, aantoonbaar te voldoen aan privacywetgeving. Verder biedt de inzet van technologie ook een unieke kans om meer waarde te halen uit de investeringen gedaan op het vlak van privacy.

Wanneer doet een organisatie genoeg?

Bij compliancevraagstukken is het altijd ingewikkeld om te bepalen wanneer je als organisatie genoeg doet, zegt Bram van Tiel. "De glazenbolvraag is hoeveel verzoeken tot inzage, correctie en vergetelheid bedrijven zullen krijgen. Daar moet je binnen een redelijke termijn aan kunnen voldoen, wat in de praktijk dertig dagen is. Met een slimme datastrategie en de juiste ondersteunende technologie kun je ná 25 mei het verschil maken bij je klanten, medewerkers en andere stakeholders. Oftewel, benader de AVG niet alleen vanuit compliance maar ook vanuit data governance en klantperspectief. Organisaties die daar goed over nadenken hebben straks een concurrentievoordeel. En hun privacy officer zal een stuk geruster slapen."

Overige onderzoeksresultaten zijn:

  • Rechten van betrokkenen: circa een derde (31%) heeft geen procedures om verzoeken van betrokkenen af te handelen, zoals verzoeken tot inzage, overdracht of het wissen van persoonsgegevens. Dit percentage is iets verbeterd ten opzichte van vorig jaar (38%).
  • Grootste struikelblok: als grootste struikelblok voor de borging van de AVG worden gebrek aan voldoende ‘mankracht’ (19%), ‘kennis’ (16%) en budget (10%) genoemd.
  • Data Protection Officer: slechts 16% heeft de verantwoordelijkheid voor privacy neergelegd bij een privacy officer. Bijna een kwart (23%) heeft daarentegen niemand aangewezen voor het privacybeleid. Deze percentages liggen ongeveer gelijk aan vorig jaar.
  • Privacybudget: De toename van privacybudgetten stagneert. Bij 22% is er sprake van een toename ten opzichte van een jaar eerder. In 2017 lag dit percentage nog op 50%.
  • Verwerking persoonsgegevens: Slechts 19% heeft een (volledig) register voor verwerkingsactiviteiten. Ruim een kwart (27%) zegt er nog mee bezig te zijn. Dit is geen significante verbetering ten opzichte van vorig jaar.
  • Assessments: De helft (49%) voert nog altijd geen risicoanalyses (Data Protectie Impact Assessments) uit in het kader van omgaan met persoonsgegevens.

 

Dutch IT events

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events