Commissarissen moeten databescherming hoger op agenda zetten

Wet- en regelgeving
Organisaties nog niet klaar voor aangescherpte privacyregels
Eind mei 2018 treedt de EU-verordening over databescherming in werking. Slechts twaalf procent van de organisaties is klaar voor de nieuwe regels, blijkt uit onderzoek van PwC. ‘Veel organisaties onderschatten de voorbereidingstijd’, aldus securityspecialist Bram van Tiel. Munitie voor de volgende commissarissenvergadering.
 
De nieuwe EU-verordening over databescherming is veel strenger dan de huidige Wet bescherming persoonsgegevens. Een jaar voor de invoering van de verordening is nog slechts twaalf procent van de organisaties helemaal voorbereid op de nieuwe regels. Meer dan de helft van de organisaties is nog niet begonnen met voorbereidingen. Dat blijkt uit het periodieke Privacy Governance-onderzoek van PwC onder 327 organisaties. De enquête is eind mei 2017 gehouden.

Het recht ‘om vergeten te worden’

De Europese Algemene Verordening Gegevensbescherming (AVG) gaat op 25 mei 2018 in en heeft grote gevolgen voor de verwerking en bescherming van persoonsgegevens binnen organisaties. Centraal staan het verkrijgen van inzicht in de verwerkingen van persoonsgegevens en datastromen en het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design & privacy by default). Ook krijgt iedereen het recht ‘om vergeten te worden’.

Op tijd beginnen met voorbereiding

Veel organisaties onderschatten de voorbereidingstijd die de talrijke procedurewijzigingen en technische aanpassingen van hen vragen, zo blijkt uit het onderzoek. Dat driekwart (74 procent) geen inzage- of correctieprocedures en de helft (51 procent) geen beleidsregels voor datalekken heeft en ruim een derde datalekken niet bijhoudt, geeft bovendien te denken. Aan deze regels moet een organisatie op basis van de huidige Nederlandse wetgeving al voldoen.

De belangrijkste conclusies:

  • Verwerking persoonsgegevens: driekwart (74 procent) heeft verwerkingen van persoonsgegevens nog niet inzichtelijk en gedocumenteerd, terwijl dit wel een verplichting is. Slechts 19% van de organisaties heeft dit inmiddels wel gedaan.
  • Right to be forgotten: 69 procent heeft geen enkele procedure geïmplementeerd voor de afhandeling van inzage- en correctieverzoeken van betrokkenen.
  • Meldplicht datalekken: slechts 49 procent heeft een draaiboek klaarliggen in geval van een datalek
  • Data Protection Officer: 17 procent heeft de verantwoordelijkheid voor privacy neergelegd bij een privacy officer. 21 procent heeft daarentegen niemand aangewezen die de rol van Data Protection Officer gaat vervullen.
  • Bewerkersovereenkomst: 13 proent sluit geen bewerkersovereenkomst af met derde partijen waarmee persoonsgegevens worden gedeeld. Belangrijkste reden is de onbekendheid hiervan.
  • Privacy Impact Assessment: de helft (50 procent) voert geen Privacy Impact Assessment uit bij organisatiewijzigingen die grote impact hebben op de verwerking van persoonsgegevens.
  • Bewaartermijnen: een derde heeft geen bewaartermijnen geïmplementeerd.
  • Mankracht: het grootste struikelblok voor tijdige implementatie is gebrek aan mankracht (39 procent), gevolgd door onvoldoende kennis (34 procent).
  • Deadline: slechts 12% zegt nu klaar te zijn voor de nieuwe EU-verordening. De helft (52 procent) verwacht voor de deadline van 25 mei 2018 klaar te zijn met voorbereidingen.

 

Klik hier voor contact met Bram van Tiel en meer informatie.

Auteur(s)
Bram van Tiel (securityspecialist PwC)
Dit artikel is gepubliceerd in
GU2017jul

Nationaal Register

Jan van Nassaustraat 93
2596 BR Den Haag
T 070-324 30 91
info@nationaalregister.nl

Governance Update nieuwsbrief

Volg ons