Nog veel werk aan de winkel voor GDPR | AVG implementatie

07 december 2017 Consultancy.nl

Hoe goed zijn Nederlandse organisaties voorbereid op de komst van de nieuwe privacywet GDPR, ofwel AVG? Een nieuw onderzoek van ECP en Verdonck, Klooster & Associates toont aan dat er nog veel moet gebeuren voordat Nederlandse organisaties klaar zijn voor de komst van de wet in mei 2018. Vooral Privacy by Design, het werken met Privacy Impact Assessments en de ontwikkeling van registers voor de verwerking van persoonlijke data zijn belangrijke aandachtspunten.

In mei 2018 wordt de General Data Protection Regulation (GDPR) van kracht, tegelijkertijd met de Nederlandse adaptie van deze Europese wetgeving, de Algemene Verordening Gegevensbescherming (AVG). De wet legt organisaties nieuwe, strengere verplichtingen op met betrekking tot het beschermen van de persoonsgegevens die zij verwerken in hun IT-systemen. Zo wordt de definitie van “bijzondere persoonsgegevens” breder, moeten bedrijven met deze gegevens zorgvuldiger omgaan, moet op regelmatige basis worden getest of alle regels worden nageleefd door middel van Privacy Impact Assessments en moet er een Data Privacy Officer worden aangesteld die naleving van de regels monitort. 

Verschillende onderzoeks- en adviesbureaus hebben inmiddels alarmerende signalen de wereld in gezonden over de mate waarin bedrijven zijn voorbereid op de komst van de nieuwe wet. Zo waarschuwde PwC medio 2017 op basis van onderzoek onder 327 bedrijven dat nog slechts 12% van de organisatie volledig is voorbereid op de nieuwe wetgeving. Dat het consultancy- en accountantskantoor hier aandacht aan besteedt, is niet heel verrassend gezien de gigantische boetes die onder de GDPR kunnen worden gegeven voor het niet naleven van de nieuwe wetgeving. De boetes lopen op tot €20 miljoen of 4% van de wereldwijde jaaromzet. 

Heeft de verantwoorde omgang met persoonsgegevens de komende drie jaar een expliciete prioriteit voor uw organisatie

Voor een recente studie naar het onderwerp, uitgevoerd door platform voor de informatiesamenleving ECP en consultancybureau Verdonck, Klooster & Associates, vroegen de onderzoekers meer dan 90 respondenten, onder wie juristen, privacy officers, beleidsmedewerkers, ICT’ers en bestuurders, naar hun perspectief over veel van de veranderingen die de GDPR brengt in het privacylandschap. Uit de respons komt naar voren dat over de hele linie in Nederland werk is gemaakt van de privacybescherming, maar dat er nog steeds veel moet gebeuren voordat iedereen klaar is voor de veranderde verplichtingen die vanaf 25 mei zullen gelden.  

De respondenten uit de private sector lijken steeds iets verder te zijn in hun voorbereidingen dan de deelnemers aan het onderzoek die actief zijn in de publieke sector. Een mogelijke verklaring hiervoor is dat private ondernemingen zich meer realiseren dan hun publieke tegenhangers dat het niet voldoen aan de nieuwe privacyregels kan leiden tot gezichtsverlies en een daaruit volgend verlies aan klanten.

Een Functionaris Gegevensbescherming (FG) is vooral...

Een veelbesproken punt van de GDPR/AVG is de aanstelling van een Functionaris Gegevensbescherming (FG) of Data Privacy Officer. Twee derde van de respondenten geeft aan dat deze rol inmiddels goed belegd is in de organisatie. Welke rol een FG precies vervult, is echter nog een punt waarover de meningen verschillen. De FG is volgens de meeste respondenten (35%) een gelijke mix van adviseur en toezichthouder voor de organisatie. 33% vindt de FG vooral een adviseur met een paar toezichthouderstaken, terwijl een kwart de FG juist ziet als een toezichthouder met enkele adviestaken. 

Om te kunnen voldoen aan de AVG hebben organisatie een register nodig dat inzicht geeft in de verwerking van persoonsgegevens in de organisatie. Volgens de onderzoekers is het inrichten van dit register voor veel organisaties het startpunt van hun AVG-implementatie. Uit het onderzoek blijkt dat 33% van de organisaties klaar is met het opstellen van dit overzicht, ten opzichte van 46% die dit nog niet gelukt is. Een minderheid van 21% heeft naast het gereedmaken van het register ook het beheer en de vastlegging in het register goed geregeld.

We beschikken over een passend register voor verwerkingen

Ook de verplichting om een Privacy Impact Assessment uit te voeren is volgens de onderzoekers een veelgehoord actiepunt binnen organisaties. 35% van de organisaties heeft hiervoor een methode ontwikkeld en past deze methode consequent toe. De onderzoekers vinden het opvallend dat ondanks dat het een belangrijk actiepunt is, nog maar zo weinig bedrijven hun methode voor Privacy Impact Assessments toepassen. 30% van de organisatie heeft nog geen goede methode om dit te doen, terwijl 35% de ontwikkelde methode niet consequent toepast – waarmee dus bijna zeven op de tien organisaties niet klaar is om te voldoen aan deze verplichting.

Een actiepunt waarop nog meer werk aan de winkel is, is de invoering van Privacy by Design. Dit concept leert werknemers nadenken over hoe zij verstandig omgaan met persoonsgegevens en stelt hen vragen als: welke gegevens zijn echt nodig voor onze dienstverlening en waar worden deze voor gebruikt? En: hoe worden deze gegevens passend beschermd? “De relatieve nieuwheid van dit punt, alsmede het open karakter van de norm (wat is het precies, wanneer doe je het goed) lijkt ervoor te zorgen dat nog niet zoveel organisaties hier raad mee weten”, stellen de onderzoekers. Slecht 12% heeft al helder wat Privacy by Design voor hen betekent, terwijl 20% hier nog geen beeld van heeft. 68% is gestart met het consequent inrichten van Privacy by Design binnen hun organisatie. 

We hebben consequent Privacy by Design ingericht binnen de hele organisatie

Ook werd de respondenten gevraag voor welke posten zij verwachten de komende jaren meer budget nodig te hebben rondom de implementatie van de AVG/GDPR. Zij verwachten met name meer kosten te zullen maken op het gebied van technische beveiliging, genoemd door 75% van de respondenten, en met het trainen van hun medewerkers, genoemd door 70%. Omdat op beide gebieden een rol is weggelegd voor consultants en hun diensten, neemt de markt voor privacy consultancy een vlucht aan de vooravond van de invoering van de GDPR en AVG. 

Arie van Bellen, Directeur van ECP, nuanceert het beeld dat organisaties maar weinig doen om klaar te zijn voor mei 2018 enigszins. “De partijen die deel hebben genomen aan het onderzoek werken hard. Bijna 90% van de ondervraagden heeft protocollen ontwikkeld voor privacy impact assessments (PIA) en datalekken.” Vooral op het gebied van bewustwording onder het personeel is nog veel vooruitgang te boeken. Van Bellen concludeert: “Meer dan de helft van de ondervraagden geeft aan dat de medewerkers van hun organisatie onvoldoende weten wat ze moeten doen en laten.”

Gerelateerd: Cybermythe ontkracht: niet IT maar mensen zijn de sleutel voor privacy.

Nieuws

Meer nieuws over