-

Nog 365 dagen: wie is klaar voor de nieuwe EU-privacyregels?

Nog een jaar en dan moeten alle organisaties in Nederland voldoen aan de EU-verordening over databescherming. Deze is veel strenger dan de huidige wet bescherming persoonsgegevens. Toch heeft slechts 11 procent van de bedrijven zich helemaal voorbereid op de nieuwe regels. Welke acties kun je nemen om nu nog tijdig te voldoen?

De Global Data Protection Regulation (GPDR) gaat op 25 mei 2018 in en heeft grote gevolgen voor de verwerking en bescherming van persoonsgegevens binnen organisaties. Centraal staan het verkrijgen van inzicht in de verwerkingen van persoonsgegevens en datastromen, alsmede het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design & privacy by default).

Met boetes die kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet zou je denken dat de sense of urgency wijd verbreid is. Toch is een kwart van de bedrijven nog niet begonnen met de voorbereidingen op de inwerkingtreding van deze Europese verordening.

Kwart is nog niet begonnen

PwC heeft begin dit jaar het Privacy Governance onderzoek gepubliceerd. Hieruit blijkt dat het aantal Nederlandse organisaties dat nog helemaal niet is gestart met voorbereidingen op de GPDR is afgenomen van 35 procent in 2015 naar 25 procent in 2016. Een toenemend aantal organisaties is dus in ieder geval al bezig met het bestuderen van de veranderingen en de impact die de GPDR op de organisatie zal hebben. Daarbij lag de nadruk tot dit jaar veelal nog op inventarisatie. De verwachting is dat de meeste organisaties nu beginnen met de daadwerkelijke implementatie. Dat is aan de krappe kant, want er zijn behoorlijk wat wijzigingen nodig in de procedures en de organisatie. Stap één is een nulmeting, waarbij je bepaalt hoe het bedrijf ervoor staat, wat er moet worden aangepast en hoeveel tijd en geld dat kost. Vervolgens doe je per onderwerp een gap analyse en stel je een roadmap samen met concrete acties die dus voor 25 mei 2018 uitgevoerd moeten zijn. Uit het onderzoek blijkt echter dat een minderheid van 41 procent van de organisaties een privacy assessment heeft uitgevoerd op compliance aan de bepalingen van de GDPR.

Risico’s

Wat zijn de risico’s? Allereerst de genoemde boetes die kunnen worden opgelegd aan bedrijven die niet voldoen aan de regels. Verder kan de meldplicht datalekken – die in Nederland overigens al van kracht is – tot reputatieschade leiden. Bedrijven moeten doorgeven wanneer ze gehackt zijn aan de toezichthoudende instantie en in sommige gevallen ook aan de personen wier gegevens zijn gestolen. Dit betekent dat veiligheidsincidenten in de openbaarheid kunnen worden gebracht met merkschade, verminderd consumenten- en medewerkersvertrouwen en zelfs verlies van klanten als gevolg. Financieel krijgt het bedrijf niet alleen te maken met een boete of minder inkomsten door de reputatieschade, maar ook met juridische kosten. Consumenten krijgen meer rechten en kunnen bedrijven aanklagen als ze van mening zijn dat die rechten worden geschonden. En als de IT-systemen of databeschermingsprocedures ontoereikend of ouderwets zijn krijgt het bedrijf ook nog te maken met de herstelkosten daarvan. Operationeel bezien loopt het bedrijf ook tal van risico’s. Zo kunnen de autoriteiten eisen dat het verwerken van persoonlijke data tijdelijk of voorgoed wordt stopgezet als je niet aan de GDPR voldoet.

Elk bedrijf zal een andere roadmap opstellen. Maar op basis van het privacyonderzoek kun je wel stellen dat er een aantal algemene aandachtspunten zijn waar business requirements voor moeten worden opgesteld:

  • Verwerking persoonsgegevens
    Slechts 9 procent van de ondervraagde organisaties heeft alle verwerkingen van persoonsgegevens inzichtelijk en gedocumenteerd.
  • Right to be forgotten
    Ruim een kwart heeft geen enkele procedure geïmplementeerd voor de afhandeling van inzage- en correctieverzoeken van betrokkenen.
  • Meldplicht datalekken
    Iets meer dan de helft zegt hier (zeer) goed op voorbereid te zijn. Achtenveertig procent is dat nog niet.
  • Data delen met derden
    Slechts 22 procent heeft een goed inzicht in de datastromen tussen de eigen organisatie en externe partijen.
  • Data Protection Officer
    Achtentwintig procent heeft de verantwoordelijkheid voor privacy neergelegd bij een privacy officer. Zeventien procent heeft daarentegen niemand aangewezen die de rol van Data Protection Officer gaat vervullen of heeft geen privacybeleid.

De GDPR is complex en behoeft op sommige punten verduidelijking maar bedrijven kunnen het zich niet veroorloven om daarop te wachten. Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens heeft recent nog gezegd dat er zeker sancties zullen worden getroffen als bedrijven niet aan de regels voldoen. Hoog tijd voor een concreet plan van aanpak dus.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond