Nederlandse organisaties niet klaar voor nieuwe privacyregels

Het is vaak droevig gesteld met de bescherming van persoonsgegevens. Slechts een derde van de organisaties (35 procent) denkt dat ze gekwalificeerd is om op een volwassen manier om te gaan met persoonsgegevens.  

Ruim tweederde heeft zijn medewerkers het afgelopen jaar niet getraind op dit terrein. En 82 procent heeft nog geen procedure om aan aankomende eisen rondom het ‘recht om vergeten te worden’ te kunnen voldoen.

Dit blijkt uit de Privacy Health Check van PwC onder 93 organisaties uit verschillende organisaties. De resultaten werden samengevat in het rapport Privacy Governance Onderzoek: Volwassenheid van privacybeheersing binnen Nederlandse organisaties.

Recht om vergeten te worden

Er komen nieuwe, strengere Europese privacyregels voor organisaties die met persoonsgegevens werken. Daardoor krijgt iedereen ‘het recht om vergeten te worden’. Organisaties moeten vooraf zorgen dat persoonsgegevens in hun producten en processen worden beschermd. En toezichthouders krijgen meer middelen, zoals hogere boetes, om goede bescherming van persoonsgegevens af te dwingen.

Een meerderheid van de Nederlandse bedrijven is er nog niet klaar voor. Slechts 17 procent heeft een privacy officer benoemd. 41 procent is van plan iemand aan te gaan stellen. Maar meer dan een kwart was zich niet bewust dat deze ‘functionaris gegevensbescherming’ verplicht wordt.

Bijna een derde van de organisaties heeft geen formeel privacybeleid. In 27 procent van de organisaties is sprake van een apart beleid, terwijl privacy bij 23 procent van de organisaties onderdeel uitmaakt van het informatiebeveiligingsbeleid.

Bij 64 procent van de deelnemende organisaties is het onderwerp privacy een samenspel tussen IT, business en legal. Maar bij slechts een minderheid vindt periodiek of dagelijks overleg plaats tussen deze afdelingen om het onderwerp privacy te bespreken.

De ‘Meldplicht datalekken’ ligt nu al in de Tweede Kamer. Vanaf volgend jaar moeten Nederlandse bedrijven datalekken binnen 24 of 72 uur melden bij de lokale privacywaakhond, in Nederland het College Bescherming Persoonsgegevens. Slechts twaalf procent stelt dat het goed tot zeer goed is voorbereid om aan deze verplichting te voldoen.

Gelukkig concludeert PwC dat organisaties zich wel verantwoordelijk voelen voor de bescherming van de persoonsgegevens van hun klanten. 72 procent zet privacy hoog op de agenda vanuit verantwoordelijkheidsgevoel. Slechts 20 procent doet dit puur vanwege het risico op reputatieschade of boetes.

Meer highlights:

• 52 procent van de deelnemende organisaties voert geen risicoanalyses (bijvoorbeeld privacy impact assessments) op het gebied van privacy uit.
• 53 procent geeft aan dat in 2014 geen privacy incidenten hebben voorgedaan. Bij 22 procent van de organisaties is het aantal stabiel gebleven ten opzichte van 2013.
• 43 procent geeft aan gebruik te maken van bewerkersovereenkomsten bij inzet van leveranciers. 25 procent sluit geen bewerkersovereenkomsten af met leveranciers.
• Bij ongeveer de helft van de organisaties is niet gedocumenteerd welke persoonsgegevens worden verwerkt. Slechts 16 procent heeft alle verwerkingen zowel inzichtelijk als gedocumenteerd.
• Bijna de helft van de organisaties geeft aan geen of vrijwel geen verzoeken tot inzage in persoonsgegevens te ontvangen.