zondag, 20. mei 2018 - 21:13

‘Organisaties hebben nieuwe privacywet zwaar onderschat’

‘Organisaties hebben nieuwe privacywet zwaar onderschat’
Foto: Archief EHF
Amsterdam

Veel Nederlandse organisaties lopen vanaf volgende week kans op hoge boetes, omdat ze nog niet klaar zijn voor de nieuwe Europese privacywet. Uit periodiek onderzoek van PwC onder bijna 400 middel(grote) organisaties blijkt dat slechts 42 procent verwacht klaar te zijn voor de strengere privacyregels. Dit percentage ligt zelfs nog lager dan een jaar geleden (52 procent), toen veel organisaties nog geen helder beeld hadden van de volle impact van de EU-vordering.

De AVG, de nieuwe Europese privacywet die ook bekend is onder de naam GDPR, is strenger dan de huidige wet bescherming persoonsgegevens. Opvallend genoeg voldoen veel organisaties ook niet aan de oude wet. Zo houdt slechts de helft van de respondenten een overzicht bij van datalekken, ook al is dit sinds 2016 verplicht. ‘Dit geeft zwaar te denken’, zegt Bram van Tiel, privacyspecialist bij PwC.

De Europese privacywet gaat 25 mei in en heeft grote gevolgen voor de verwerking en bescherming van persoonsgegevens. Centraal staan het verkrijgen van inzicht in de verwerkingen van persoonsgegevens en datastromen en het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design & privacy by default). Ook krijgt iedereen het recht “om vergeten te worden”.

Onderschatting

Volgens Bram van Tiel hebben veel organisaties de voorbereidingstijd die de talrijke procedurewijzigingen en technische aanpassingen van hen vragen zwaar onderschat. ‘Ze hadden een jaar geleden nog geen flauw benul wat er precies moest gebeuren. Bij veel organisaties bleek het in kaart brengen van alle persoonsgegevens, waar ze precies opgeslagen waren en wie er toegang tot had al een flinkere kluif dan vooraf ingeschat.’

Technologie weinig ingezet

Opvallend is dat organisaties nog maar zeer beperkt technologie oplossingen gebruiken om compliance aan de GDPR aantoonbaar te maken. Slechts 29% van de organisaties geeft aan technologie in te zetten voor de genoemde nieuwe eisen. ‘Onbegrijpelijk’, zegt Bram van Tiel. ‘Want hoe onderhoud je dan het nu gecreëerde overzicht, hoe voldoe je binnen de termijnen aan de verzoeken van klanten op inzage, ed.’ Volgens PwC dreigt de inhaalslag die gemaakt is op gebied van privacy compliance eenmalig te zijn, in plaats van dat deze ontwikkeling gebruikt is om voor langere tijd, aantoonbaar te voldoen aan privacywetgeving. Verder biedt de inzet van technologie ook een unieke kans om meer waarde te halen uit de investeringen gedaan op het vlak van privacy.

Rustiger slapen

Bij compliancevraagstukken is het altijd ingewikkeld om te bepalen wanneer je als organisatie genoeg doet, zegt Bram van Tiel. ‘De glazenbolvraag is hoeveel verzoeken tot inzage, correctie en vergetelheid bedrijven zullen krijgen. Daar moet je binnen een redelijke termijn aan kunnen voldoen, wat in de praktijk dertig dagen is. Met een slimme datastrategie en de juiste ondersteunende technologie kun je ná 25 mei het verschil maken bij je klanten, medewerkers en andere stakeholders. Oftewel, benader de AVG niet alleen vanuit compliance maar ook vanuit data governance en klantperspectief. Organisaties die daar goed over nadenken hebben straks een concurrentievoordeel. En hun privacy officer zal een stuk geruster slapen.’

Categorie:
Provincie:
Tag(s):