Nieuws 28 januari 2016

PwC: veel organisaties voldoen niet aan nieuwe privacyregels

Veel organisaties zijn niet goed voorbereid op de Meldplicht Datalekken die 1 januari is ingegaan. Dat blijkt uit het periodieke Privacy Governance onderzoek van PwC.

Hooguit 16 procent van de 156 aan het twee jaar durende onderzoek deelnemende organisaties geeft aan goed tot zeer goed voorbereid te zijn op de meldplicht. 68 procent heeft geen of slechts redelijk zicht op datastromen naar derde partijen. De helft van de organisaties heeft de consequenties van het ongeldig verklaren van het Safe Harbor-verdrag met de VS niet in kaart gebracht. Terwijl ze maar tot eind januari de tijd hebben om persoonsgegevens veilig te stellen die zich op servers in de VS bevinden.

Het onderzoek toont aan dat organisaties zich wel verantwoordelijker voelen voor de bescherming van persoonsgegevens van hun klanten en werknemers. Zo wordt privacy inmiddels door een meerderheid gezien als een gedeelde verantwoordelijkheid tussen business, juristen en IT. "Er wordt substantieel intensiever samengewerkt in vergelijking met vorig jaar", zegt Bram van Tiel, security- en privacyspecialist bij PwC. "Tegelijkertijd voldoen veel organisaties nog niet aan de nieuwe privacyregelgeving."

Er is een stroom aan nieuwe en aangescherpte privacyregelgeving. Zo zijn sinds januari organisaties verplicht om datalekken te melden. "Doen ze dat niet of niet tijdig, dan riskeren ze een boete van maximaal 820.000 euro", licht Van Tiel toe. Daarnaast heeft het Europese Hof van Justitie in oktober 2015 het Safe Harbor-verdrag met de VS, waarin staat hoe Amerikaanse bedrijven gegevens moeten opslaan zodat ze aan de Europese privacywetgeving voldoen, ongeldig verklaard. "Bedrijven die deze constructie gebruiken, staan voor een fors probleem. Ze moeten een geïntegreerde technische en juridische oplossing bedenken die wel tegemoet komt aan eisen van Europese toezichthouders."

Privacy by design

De Europese regels ter bescherming van persoonsgegevens worden op dit moment hervormd in één Europese wet: de  algemene verordening gegevensbescherming (AVG). Hiermee komen verschillen tussen de wetgeving in de verschillende lidstaten op termijn te vervallen. Boetes kunnen oplopen tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet.

Op basis van de AVG krijgt iedereen het ‘recht om vergeten te worden’. Ook moeten organisaties voldoen aan de principes van privacy by design. Dit betekent dat ze bij de ontwikkeling van nieuwe producten en diensten al vooraf moeten nadenken hoe ze de privacy van gebruikers gaan beschermen. Dit geldt ook voor de aanschaf van een nieuw informatiesysteem of een wijziging in de organisatie. Maar liefst 40 procent houdt nog geen rekening met dit principe.

Lichtpuntjes

Slechts een kwart beoordeelt de eigen privacy-praktijk als ‘volwassen’. Van Tiel: "Veel organisaties hebben beperkt inzicht in plekken waar persoonsgegevens worden verwerkt. De IT-omgevingen zijn complex en op directieniveau voelt men de urgentie onvoldoende. Met als gevolg dat er te weinig tijd en capaciteit wordt vrijgemaakt om aan de nieuwe regels te voldoen."

Lichtpuntjes zijn er ook. Meer dan de helft heeft afgelopen jaar meer geïnvesteerd in privacycompliance dan het jaar ervoor. Bij een derde is controle op naleving van de Wet Bescherming Persoonsgegevens inmiddels onderdeel van de auditcyclus. Dat was in 2014 nog 22 procent.