PwC: veel organisaties voldoen niet aan nieuwe privacyregels
Veel organisaties zijn niet goed voorbereid op de Meldplicht Datalekken die 1 januari is ingegaan. Dat blijkt uit het periodieke Privacy Governance onderzoek van PwC.
Hooguit 16 procent van de 156 aan het twee jaar durende onderzoek deelnemende organisaties geeft aan goed tot zeer goed voorbereid te zijn op de meldplicht. 68 procent heeft geen of slechts redelijk zicht op datastromen naar derde partijen. De helft van de organisaties heeft de consequenties van het ongeldig verklaren van het Safe Harbor-verdrag met de VS niet in kaart gebracht. Terwijl ze maar tot eind januari de tijd hebben om persoonsgegevens veilig te stellen die zich op servers in de VS bevinden.
Het onderzoek toont aan dat organisaties zich wel verantwoordelijker voelen voor de bescherming van persoonsgegevens van hun klanten en werknemers. Zo wordt privacy inmiddels door een meerderheid gezien als een gedeelde verantwoordelijkheid tussen business, juristen en IT. "Er wordt substantieel intensiever samengewerkt in vergelijking met vorig jaar", zegt Bram van Tiel, security- en privacyspecialist bij PwC. "Tegelijkertijd voldoen veel organisaties nog niet aan de nieuwe privacyregelgeving."
Er is een stroom aan nieuwe en aangescherpte privacyregelgeving. Zo zijn sinds januari organisaties verplicht om datalekken te melden. "Doen ze dat niet of niet tijdig, dan riskeren ze een boete van maximaal 820.000 euro", licht Van Tiel toe. Daarnaast heeft het Europese Hof van Justitie in oktober 2015 het Safe Harbor-verdrag met de VS, waarin staat hoe Amerikaanse bedrijven gegevens moeten opslaan zodat ze aan de Europese privacywetgeving voldoen, ongeldig verklaard. "Bedrijven die deze constructie gebruiken, staan voor een fors probleem. Ze moeten een geïntegreerde technische en juridische oplossing bedenken die wel tegemoet komt aan eisen van Europese toezichthouders."
Privacy by design
De Europese regels ter bescherming van persoonsgegevens worden op dit moment hervormd in één Europese wet: de algemene verordening gegevensbescherming (AVG). Hiermee komen verschillen tussen de wetgeving in de verschillende lidstaten op termijn te vervallen. Boetes kunnen oplopen tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet.
Op basis van de AVG krijgt iedereen het ‘recht om vergeten te worden’. Ook moeten organisaties voldoen aan de principes van privacy by design. Dit betekent dat ze bij de ontwikkeling van nieuwe producten en diensten al vooraf moeten nadenken hoe ze de privacy van gebruikers gaan beschermen. Dit geldt ook voor de aanschaf van een nieuw informatiesysteem of een wijziging in de organisatie. Maar liefst 40 procent houdt nog geen rekening met dit principe.
Lichtpuntjes
Slechts een kwart beoordeelt de eigen privacy-praktijk als ‘volwassen’. Van Tiel: "Veel organisaties hebben beperkt inzicht in plekken waar persoonsgegevens worden verwerkt. De IT-omgevingen zijn complex en op directieniveau voelt men de urgentie onvoldoende. Met als gevolg dat er te weinig tijd en capaciteit wordt vrijgemaakt om aan de nieuwe regels te voldoen."
Lichtpuntjes zijn er ook. Meer dan de helft heeft afgelopen jaar meer geïnvesteerd in privacycompliance dan het jaar ervoor. Bij een derde is controle op naleving van de Wet Bescherming Persoonsgegevens inmiddels onderdeel van de auditcyclus. Dat was in 2014 nog 22 procent.
Gerelateerd

Nederland tweede van Europa in aantal gemelde datalekken sinds invoering AVG
Nederland staat met bijna 67 duizend incidenten op de tweede plek met het hoogst aantal gemelde datalekken in Europa sinds de invoering van de Algemene verordening...

Franse privacywaakhond beboet Amazon en Google
De Amerikaanse techbedrijven Amazon en Google moeten miljoenen overmaken naar Frankrijk. De Franse privacywaakhond CNIL beboette de bedrijven voor het schenden van...

Consumentenbond stapt naar de rechter om Google-zaak
De Consumentenbond stapt naar de rechter omdat de Autoriteit Persoonsgegevens (AP) nog altijd geen besluit heeft genomen over een klacht van de bond tegen Google...

NOREA-Handreiking Data Protection Impact Assessment (DPIA)
NOREA, de beroepsorganisatie van IT-Auditors, heeft een handreiking gepubliceerd voor het uitvoeren van een 'data protection impact assessment'.

Privacywaakhond: ruimte voor strijd tegen coronavirus
Overheden en bedrijven moeten de ruimte krijgen om het coronavirus te bestrijden, en daarom doet de Autoriteit Persoonsgegevens een stap terug.