Organisaties worstelen met nieuwe privacywetgeving

Slechts 58 procent van organisaties uit verschillende sectoren heeft de Meldplicht Datalekken, die inmiddels een jaar in werking is, geïmplementeerd. Dit blijkt uit het PwC Privacy Governance onderzoek onder 210 organisaties in onder meer de publieke sector. Daarnaast is slechts een op tien organisaties klaar voor de gewijzigde privacywetgeving, die in mei 2018 van kracht wordt.
Organisaties vergelijken

Het onderzoek van accountants- en belastingadviseurbedrijf PwC wordt jaarlijks uitgevoerd en geeft organisaties inzicht in hoe er wordt omgegaan met het onderwerp privacy. Het zijn organisaties uit onder meer het onderwijs, de gezondheidszorg, de regionale en nationale publieke sector, de energiewereld en de financiële sector. In het onderzoek worden onder meer de onderwerpen die de organisaties zelf belangrijk vinden, hoeveel zij hierin investeren en de omgang met nieuwe regelgeving behandeld.

Te weinig maatregelen

De organisaties krijgen binnen afzienbare tijd allemaal te maken met vernieuwde privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). Toch lijkt het erop dat de voorbereiding daarop bij veel organisaties nog niet in gang is gezet. Uit het onderzoek van dit jaar blijkt dat slechts 22 procent van de organisaties met regelmaat risicoanalyses zoals de Privacy Impact Assessment uitvoert. Een op drie doet dit uitsluitend op ad hoc basis, terwijl 45 procent van de deelnemende organisaties aangeeft helemaal geen risicoanalyses uit te voeren in het kader van de omgang met persoonsgegevens, of niet te weten of dat gebeurt. Daarnaast heeft het personeel bij nagenoeg de helft van de organisaties de afgelopen twaalf maanden geen training of opleiding op het gebied van privacy gevolgd.

Voorbereiding meestal nog niet afgerond

Het is voor organisaties verplicht om bij de ontwikkeling en implementatie van nieuwe systemen rekening te houden met de privacy van betrokkenen en de bescherming van persoonsgegevens. Slecht 31 procent van de deelnemers zegt hier rekening mee te houden bij de ontwikkeling van nieuwe systemen. Negen van de tien organisaties heeft inzichtelijk welke persoonsgegevens de organisatie verwerkt, maar slechts 35 procent documenteert de verwerkingen. De voorbereiding op de nieuwe wetgeving is bij de meeste organisaties nog niet afgerond, maar sommigen zijn er nog niet eens mee begonnen. Een kwart van de organisaties heeft de wijzigingen door de toekomstige wetgeving nog niet geïdentificeerd. Uiteindelijk zegt slechts een op tien organisaties zegt klaar te zijn voor de gewijzigde privacy regelgeving.

Boeteregime

Voor drie van de vier organisaties is de bescherming van de persoonsgegevens van klanten, personeel en andere relaties de belangrijkste reden om privacy bovenaan het prioriteitenlijstje te zetten. Bij 6 procent is het onder de aanstaande AVG versterkte boeteregime daarvoor de belangrijkste reden. Zo’n 29 procent vindt de eigen organisatie zeer volwassen op het gebied van privacy. Driekwart heeft het afgelopen jaar extra geïnvesteerd in privacy compliance. Een jaar geleden was dat nog de helft. PwC verwacht dat investeringen in aanloop naar de EU-verordening fors zullen toenemen.

Het gehele onderzoek van PwC is hier te vinden.

 

[intro textalign=”left” textcolor=”14px”]
Bron: Binnenlandsbestuur.nl, 5 februari 2017
[/intro]