Opinie 26 juli 2017

Privacy: Herkansingsafspraak op 25 mei 2018, wie komt er opdagen?

Op 18 mei 2017 presenteerde voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens (AP) het jaarverslag 2016 aan de leden van de vaste Kamercommissie voor Veiligheid en Justitie. Hoewel 2016 een veelbewogen jaar op het gebied van beveiliging en privacy was, is de blik bij de AP toch vooral gericht op de nieuwe Europese privacywetgeving. De tijd tikt inmiddels stevig door. Bent u straks voldoende voorbereid?

Chiel Meulendijks

Bijna tien jaar geleden deed ik, samen met twee auditcollega's, onderzoek bij negentien financiële instellingen naar het recht op inzage. De Wet bescherming persoonsgegevens geeft namelijk iedereen het recht om organisaties inzage te vragen over de verwerking van zijn of haar persoonsgegevens. De resultaten van ons onderzoek waren ronduit teleurstellend. Geen enkele van de geselecteerde instellingen had haar zaken volledig op orde. En dat voor een privacywet die toch al enkele jaren bekend terrein had moeten zijn.

Dat was toen. Hoe anders zal het vergaan met de Algemene Verordening Gegevensbescherming, de grootste wetswijziging op het gebied van privacy in twee decennia? Zijn organisaties al voorbereid op deze nieuwe privacywet, die vanaf 25 mei 2018 actief wordt gehandhaafd? De eerste berichtgeving stemt vooralsnog weinig hoopvol. Begin 2017 rapporteerde PwC in haar Privacy Governance onderzoek onder ruim tweehonderd organisaties dat slechts elf procent zegt klaar te zijn voor de gewijzigde privacyregelgeving. In het Financieele Dagblad van 1 mei 2017 waarschuwden experts voor de gevolgen van de invoering van de nieuwe wet. Hoe hoog staat dit item op uw agenda? 

En hoe is het eigenlijk gesteld met een van de hete hangijzers, de Functionaris voor de Gegevensbescherming (FG)? De AP stelt dat overheidsinstanties en publieke organisaties  - waaronder gemeenten - onder de nieuwe privacywet altijd verplicht zijn om een FG aan te stellen. Een blik op het online register voor FG's leert echter dat grofweg driekwart van de gemeenten op dit moment nog geen FG heeft aangemeld bij de AP. Tegen mei 2018 zal de spoeling dun zijn.

Bottom line krijgen individuen met de nieuwe privacywet meer rechten en u als organisatie meer verantwoordelijkheden. Laten we de handschoen oppakken en ervoor zorgen dat we onze zaken deze ronde wél volledig op orde hebben. Een gedegen voorbereiding is hierbij van cruciaal belang! Bent u straks wel voldoende voorbereid?

In het verlengde hiervan is het ook interessant om kennis te nemen van het door adviesbureau Andersson Elffers Felix opgestelde rapport Organisatorische vertaling Verordening & Richtlijn gegevensbescherming, waarin onder meer is gekeken naar de benodigde capaciteit bij de AP. Afhankelijk van het aantal klachten en meldingen van datalekken wordt een bandbreedte van respectievelijk 185, 222 of 271 fte aangegeven, terwijl de gemiddelde bezetting bij de AP zowel in 2015 als 2016 rond de 72,5 fte schommelt. De vraag dringt zich op of de AP de te verwachten werklast straks wel aan kan.

Chiel Meulendijks, Q-Concepts IT-Audit & Advisory.