KPMG IT: Organisaties slordig met persoonsgegevens

10 december 2010 Consultancy.nl

Nederlandse organisaties gaan slordig om met de persoonsgegevens van hun klanten, relaties en medewerkers en zijn onvoldoende op de hoogte van de wettelijke eisen die daaraan gesteld worden. Daarnaast zijn zij nauwelijks in staat privacyrisico's op hun waarde te schatten en de juiste maatregelen te treffen om de privacy te beschermen.

Dit blijkt uit onderzoek van KPMG en TNS-Nipo onder bijna 300 Nederlandse organisaties naar de vraag hoe zij omgaan met privégegevens en naar de mate waarin zij bekend zijn met de privacywetgeving.

Ruim 80% van de onderzochte organisaties vindt dat zij de privacywetgeving goed naleeft, terwijl een minderheid dit daadwerkelijk heeft laten toetsen. Ook de evaluatie-instrumenten, zoals de privacy-audit of -zelfevaluatie die de toezichthouder, het College Bescherming Persoonsgegevens, beschikbaar stelt, blijken in beperkte mate bekend te zijn en toegepast te worden.

Volgens Ronald Koorn, partner bij KPMG IT Advisory, moet iedere burger ervan uit kunnen gaan dat een organisatie goed omgaat met zijn persoonsgegevens en dat adequate maatregelen getroffen zijn om te voldoen aan de steeds strenger wordende privacywetgeving en toenemende boetes. Koorn: "De praktijk wijst echter uit dat dit niet het geval is en dat is een gemiste kans. Organisaties schatten hun privacyrisico's veel te laag in. Uit het onderzoek blijkt dat het aantal privacyincidenten sterk toeneemt, vooral in de financiële en publieke sector. Dit kan leiden tot reputatieschade en identiteitsdiefstal.

Maar in de praktijk zien wij dat privacybescherming slechts in enkele gevallen structureel is ingevoerd in de organisatie. Dat wil zeggen dat privacybescherming terugkomt in alle interne en uitbestede processen en systemen. Niet alleen van de gehele levenscyclus - tot en met verwijdering - van elektronische gegevens, maar ook die op papier, zoals in het personeelsdossiers en op systeemoutput. Het gaat daarbij niet alleen om klant- en HR-gegevens, maar bijvoorbeeld ook over internet- en videomonitoring van medewerkers. Meer dan de helft van de organisaties maakt hiervan namelijk gebruik."

Uit het onderzoek van KPMG blijkt dat organisaties er veelal op gericht zijn om op minimale wijze te voldoen aan wet- en regelgeving. Koorn: "Privacy wordt veelal gezien als een compliance- en kostenpost, een 'noodzakelijk kwaad'. Wat organisaties nu nog onvoldoende inzien is dat goede privacybescherming ook voordelen heeft, zoals klant- en medewerkerbehoud en stroomlijning van gegevensverwerking en -archivering.

Veel organisaties geven daarentegen wel aan privacydoelstellingen te hebben geformuleerd. Bij tweederde staat dit momenteel zelfs in de top tien van bedrijfsdoelstellingen. Maar bij de vertaalslag naar de interne organisatie blijft het vaak bij een privacystatement, enkele procedures en een globale training. De verantwoordelijkheid voor privacy blijkt nogal gefragmenteerd te zijn, wat een coherente overzicht en aanpak bemoeilijkt en een beperkte juridische benadering wordt gekozen.

Het onderzoek laat zien dat organisaties het begrip 'privacy' onvoldoende doorgronden en daardoor de doelstellingen onvoldoende vertalen naar een samenhangend geheel van maatregelen. Privacy en informatiebeveiliging worden ten onrechte als identiek gezien. Ook worstelen organisaties met de privacygevolgen van fusies, overnames, internationale gegevensuitwisseling, offshoring en cloud computing.

Om de privacy beter te kunnen waarborgen dienen organisaties dan ook na te gaan wat privacy precies voor hun organisatie betekent. Een effectieve aanpak start met het erkennen dat privacy niet alleen een juridisch- of compliance-issue is, maar ook belangrijke voordelen heeft op het gebied van marketing, personeel en maatschappelijk verantwoord ondernemen."

Nieuws

Meer nieuws over