PwC: Privacy management schiet tekort bij bedrijfsleven

23 februari 2015 Consultancy.nl

Nederlandse organisaties zijn nog niet klaar voor de verwachte aangescherpte privacyregelgeving. Slechts 35% van de respondenten beoordeelt zijn organisatie als (zeer) volwassen in de omgang met persoonsgegevens. Vooral de afwezigheid van een Privacy Officer, het ontbreken van procedures in het kader van het ‘Recht om vergeten te worden’, en geen regulier overleg over privacy en de bescherming van persoonsgegevens, zijn zaken die bij veel bedrijven opvallen. Dit zijn enkele conclusies uit een nieuw onderzoek van PwC.

Bescherming van persoonsgegevens door bedrijven speelt een steeds belangrijkere rol. Samenleving en politiek zijn kritischer geworden over het gebruik van persoonsgegevens door bedrijven, die door technologische ontwikkelingen (waaronder op het gebied van Big Data) op steeds meer uitgebreide schaal verzameld en opgeslagen kunnen worden. Tegen deze achtergrond heeft PwC onlangs onder 93 Nederlandse organisaties een ‘Privacy Health Check’ uitgevoerd. De accounting- en consulting gigant onderzocht of zij klaar waren voor de aankomende aanscherpingen van privacyregelgeving en of zij hun gedrag omtrent persoonsgegevens als volwassen beoordeelden of niet.

PwC - Privcacy Governance onderzoek

Uit het onderzoek blijkt dat slechts 12% van de bedrijven zegt klaar te zijn voor de nieuwe regelgeving rondom privacy en een kleine 35% van de respondenten beoordeelt de omgang met persoonsgegevens bij zijn of haar organisatie als ‘volwassen’ of ‘zeer volwassen’. Door 17% van de respondenten werd de omgang van persoonsgegevens door hun organisatie als ‘onvolwassen’ beoordeeld. Bijna de helft van de respondenten (48%) noemde de omgang ‘redelijk volwassen’ en zo’n 35% van de respondenten kenmerkte deze als ‘volwassen’ of ‘zeer volwassen’:

Omgang met persoonsgegevens

Weinig overleg privacyvraagstukken
Dat privacyzaken op het raakvlak van IT (Security), Business en Legal ligt wordt door 64% van de respondenten beaamd. Dat slechts een minderheid van de organisaties periodieke overleggen tussen deze afdelingen organiseert is daarom extra opvallend. Alleen bij incidenten (20%) of Ad Hoc besprekingen zonder aanleiding (38%) komen beide afdelingen bij elkaar. Geplande/periodieke meetings zijn dan ook meer uitzondering dan regel.

IT Security Business en Legal - Privacy

(Nog) geen Privacy Officer
Een oorzaak van de lage beoordelingen en weinig periodieke besprekingen zou het ontbreken van een – binnenkort voor sommige organisaties verplichte – Privacy Officer of Functionaris Gegevensbescherming kunnen zijn. Een opmerkelijk groot percentage van de respondenten (26%) had vóór de Privacy Health Check nog geen wetenschap van deze nieuwe regel. 41% is van plan een Privacy Officer aan te stellen, 17% van de deelnemende organisaties heeft dit reeds gedaan.

Functionaris Gegevensbescherming

Right-to-be-forgotten
Een belangrijke ontwikkeling in de privacyregelgeving is de komst van het ‘Recht om vergeten te worden’. Deze toevoeging stelt organisaties verplicht om persoonsgegevens te verwijderen, wanneer klanten dit van hen vragen. 82% van de deelnemende organisaties heeft nog geen procedure opgesteld voor het afhandelen van verzoeken om ‘vergeten te worden’. Tenslotte zegt zo’n 14% bezig te zijn met de implementatie en heeft zo’n 9% tot nu toe wel een dergelijke procedure doorgevoerd.

Europese Privacy Verordening

Hogere boetes
Organisaties kunnen bij het niet naleven van de aangescherpte eisen – die naar verwachting eind 2015 aan het Europees parlement worden voorgelegd – rekenen op hogere boetes dan voorheen, meldt PwC. Nederlandse organisaties zullen de komende tijd meer aandacht moeten besteden aan privacy regelgeving, onder andere door middel van trainingen over omgaan met persoonsgegevens en het aanstellen van een Privacy Officer, die de naleving van regelgeving en procedures in de organisatie controleert en daar waar nodig verbetert. 

Nieuws

Meer nieuws over