Veel organisaties voldoen niet aan nieuwe privacyregels
Organisaties voelen zich wel verantwoordelijk voor de bescherming van persoonsgegevens van klanten en werknemers. Maar tegelijkertijd zegt 68 procent geen of slechts redelijk zicht te hebben op datastromen naar derde partijen. Kortom, veel organisaties zijn niet goed voorbereid op de nieuwe privacyregels die 1 januari zijn ingegaan.
Die conclusie trekt PwC op basis van het jaarlijkse Privacy Governance-onderzoek.
Nog niet klaar voor meldplicht
Een belangrijke wetswijziging waarmee alle organisaties die persoonsgegevens verwerken met ingang van 1 januari 2016 te maken hebben gekregen, is de aanscherping van de Wet bescherming persoonsgegevens (Wbp). Ook wel de Meldplicht Datalekken genoemd. Hierin is de verplichting tot het melden en beheersen van een datalek vastgelegd. Tevens geeft het de toezichthouder (Autoriteit Persoonsgegevens) de mogelijkheid tot het uitdelen van hoge boetes (tot 820.0000 euro).
Maar van de ondervraagde organisaties geeft slechts zestien procent aan goed voorbereid te zijn op de nieuwe verplichtingen uit de wet Meldplicht Datalekken. Elf procent is zelfs nog niet bekend met deze verplichtingen.
Minder dan de helft van de organisaties voldoet aan de wettelijke verplichting om een centraal overzicht van datalekken bij te houden. Maar liefst 60 procent heeft geen communicatieplan gereed voor het geval er zich een datalek voordoet. Slechts een kwart beoordeelt de eigen privacypraktijk als ‘volwassen’.
48 procent van de deelnemende organisaties voert geen risicoanalyses (bijvoorbeeld Privacy Impact Assessments) uit in het kader van omgaan met persoonsgegevens. 60 procent geeft aan gebruik te maken van bewerkersovereenkomsten bij de inzet van leveranciers. Maar slechts 18 procent controleert op de naleving van de bewerkersovereenkomst.
Ook lichtpuntjes
Toch zijn er ook lichtpuntjes. Bij 50 procent van de organisaties zijn gedurende het afgelopen jaar extra investeringen gedaan op het gebied van privacy compliance en governance. Bij een derde is controle op naleving van de Wet bescherming persoonsgegevens inmiddels onderdeel van de auditcyclus. Dat was in 2014 nog 22 procent.
Het merendeel van de organisaties geeft aan dat privacy een samenspel is tussen Business, Legal en IT (security). Ten opzichte van 2014 is de onderlinge samenwerking substantieel geïntensiveerd.
Meer highlights:
Slechts 14 procent van de organisaties benut het privacybeleid om zich te onderscheiden in de markt.
75 procent van de organisaties voelt zich niet beperkt in zijn innovatiekracht door privacyregelgeving.
Minder dan de helft van de organisaties voldoet aan de wettelijke verplichting om een centraal overzicht bij te houden van datalekken die zich in de organisatie voordoen.
43 procent van de respondenten geeft aan dat er zich bij de eigen organisatie het afgelopen jaar geen privacy incidenten hebben voorgedaan.
Het volledige Privacy Governance-onderzoek van PwC kan hier worden gedownload.
Gerelateerd event
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
1 Reactie
Eric Hoefman
Wij herkennen dit beeld volledig vanuit onze praktijk. Een jaar geleden waren veel organisaties niet of amper bezig met privacy wetgeving. Sinds ongeveer een maand of drie zien wij een duidelijke kentering, organisaties gaan steeds meer nadenken over bijvoorbeeld alternatieven voor het gebruik van productiedata in testomgevingen. Zeker met het oog op de aanstaande invoering van Europese privacy wetgeving die ook het melden van potentiële datalekken verplicht stelt, verwachten wij dat deze ontwikkeling zich doorzet. Bovendien zijn er tegenwoordig ook veel alternatieven beschikbaar zodat het gebruik van productiedata niet meer nodig is (data masking etc.)