Slechts 12 procent van de organisaties is op dit moment helemaal voorbereid op de nieuwe privacyregels van de EU. Dat is nauwelijks meer dan aan het begin van dit jaar.
Dit blijkt uit het periodieke Privacy Governance onderzoek onder 351 Nederlandse organisaties. De enquête is eind mei gehouden. Meer dan de helft van de ondervraagde organisaties is nog niet eens begonnen met voorbereidingen.
Vergeten
De Europese Algemene Verordening Gegevensbescherming (AVG) gaat op 25 mei 2018 in. De wet heeft grote gevolgen voor de verwerking en bescherming van persoonsgegevens binnen organisaties. Centraal staan het verkrijgen van inzicht in de verwerkingen van persoonsgegevens en datastromen. Verder het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design & privacy by default). Ook krijgt iedereen het recht om vergeten te worden.
Veel organisaties onderschatten volgens de onderzoekers de voorbereidingstijd van de talrijke procedurewijzigingen en technische aanpassingen. 69 procent heeft geen inzage- of correctieprocedures. 43 procent heeft geen beleidsregels voor datalekken. Een derde houdt datalekken niet bij.
Aan een deel van deze regels moet een organisatie in de huidige Nederlandse wetgeving al sinds 1 januari 2016 voldoen. Nu al zijn er dus veel organisaties die boetes tot 820.000 euro riskeren.
Oplopen
Vanaf mei 2018 kan dat oplopen tot twintig miljoen euro of 4% van de jaaromzet. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, gaf recent nog aan dat er zeker sancties komen voor bedrijven die niet aan de regels voldoen.
Pijnpunten
Uit het onderzoek komen behoorlijk wat pijnpunten naar voren.
- Een behoorlijk deel van het probleem betreft de goede verwerking van persoonsgegevens. Driekwart (74 procent) heeft dit nog niet inzichtelijk en gedocumenteerd. Slechts 19% van de organisaties heeft dit inmiddels wel gedaan.
- Zeker 69 procent heeft geen enkele procedure voor de afhandeling van inzage- en correctieverzoeken van betrokkenen.
- Slechts 49 procent heeft een draaiboek klaarliggen in geval van een datalek.
- 17 procent heeft de verantwoordelijkheid voor privacy neergelegd bij een privacy officer. 21 procent heeft daarentegen niemand daarvoor aangewezen.
- 13 procent sluit geen bewerkersovereenkomst af met derde partijen waarmee persoonsgegevens worden gedeeld. Belangrijkste reden is de onbekendheid hiervan.
- De helft (50 procent) voert geen Privacy Impact Assessment uit bij organisatiewijzigingen die grote impact hebben op de verwerking van persoonsgegevens.
- Een derde heeft geen bewaartermijnen geïmplementeerd.
- Het grootste struikelblok voor tijdige implementatie is gebrek aan mankracht (39 procent). Dit wordt gevolgd door onvoldoende kennis (34 procent).
- Slechts 12% zegt nu klaar te zijn voor de nieuwe EU-vordering. De helft (52 procent) verwacht voor de deadline van 25 mei 2018 klaar te zijn met voorbereidingen.