PwC: Nederlandse organisaties niet klaar voor aangescherpte privacyregels

PwC: Nederlandse organisaties niet klaar voor aangescherpte privacyregels

Nog een klein jaar en dan moeten alle organisaties in Nederland voldoen aan de EU-verordening over privacy en databescherming. Deze is veel strenger dan de huidige Wet bescherming persoonsgegevens. Toch is slechts 12 procent van de organisaties op dit moment helemaal voorbereid op de nieuwe regels. Dat percentage ligt nauwelijks hoger dan aan het begin van dit jaar.

Dat blijkt uit het periodieke Privacy Governance-onderzoek van PwC onder 351 Nederlandse organisaties. De enquête is eind mei gehouden. Meer dan de helft van de ondervraagde organisaties is zelfs nog niet begonnen met voorbereidingen.

Verwerking en bescherming persoonsgegevens

De Europese Algemene Verordening Gegevensbescherming (AVG) gaat op 25 mei 2018 in en heeft grote gevolgen voor de verwerking en bescherming van persoonsgegevens binnen organisaties. Centraal staan het verkrijgen van inzicht in de verwerkingen van persoonsgegevens en datastromen en het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design & privacy by default). Ook krijgt iedereen het recht ‘om vergeten te worden’.

Onderschatting voorbereidingstijd

“Veel organisaties onderschatten de voorbereidingstijd die de talrijke procedurewijzigingen en technische aanpassingen van hen vragen”, zegt Bram van Tiel, securityspecialist bij PwC. Dat 69 procent geen inzage- of correctieprocedures en 43 procent geen beleidsregels voor datalekken heeft en een derde datalekken niet bijhoudt, geeft bovendien te denken. Aan een deel van deze regels moet een organisatie op basis van de huidige Nederlandse wetgeving al sinds 1 januari 2016 voldoen.

Kans op boetes

Dat betekent dat er veel organisaties zijn die boetes tot 820.000 euro riskeren. Die boetes kunnen vanaf mei 2018 oplopen tot twintig miljoen euro of vier procent van de jaaromzet. Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, heeft recent nog aangegeven dat er zeker sancties worden getroffen als bedrijven niet aan de regels voldoen.

Evenwicht tussen vertrouwen en service

Maar volgens Van Tiel mag die boetedreiging niet de hoofdmotivatie zijn. “Voor consumenten zijn er voordelen bij het delen van hun persoonsgegevens, vaak is het zelfs een verplichting. Delen van gegevens hoeft ook geen probleem te zijn, zolang er verantwoord mee wordt omgegaan. Dit creëert een wankel evenwicht tussen vertrouwen en service. Dat vertrouwen kan in één keer omslaan als een organisatie gehackt wordt, gegevens lekt en procedures ontoereikend blijken te zijn.”

Digitale mainport

Van Tiel wijst ook op een breder belang. “Nederland ontwikkelt zich in sneltreinvaart tot digitale mainport. Met een digitale productie van bijna 23 procent van het bruto binnenlands product zijn we een van de meest ICT-intensieve economieën ter wereld. Voor ons land is een veilig en integer dataverkeer dus cruciaal.”

https://www.accountant.nl/nieuws/2017/6/pwc-nederlandse-organisaties-niet-klaar-voor-aangescherpte-privacyregels/#