Organisaties krijgen megaklus aan GDPR | AVG verzoeken van burgers

26 maart 2018 Consultancy.nl

Organisaties staat na de invoering van de aankomende GDPR- en AVG-wetgeving een megaklus te wachten om te voldoen aan alle wensen van burgers. Maar liefst 80% van de burgers zegt na 25 mei 2018 gebruik te maken van het recht om al hun persoonlijke gegevens in te zien, te verwijderen, en om onjuiste persoonlijke gegevens te corrigeren. Naast de enorme kostenpost die hiermee gepaard zal gaan, zijn Nederlandse organisaties verre van klaar voor deze golf aan informatieverzoeken, blijkt uit een onderzoeksrapport van KPMG.

Per 25 mei 2018 wordt een nieuwe wet binnen de EU van kracht: de General Data Protection Regulation (GDPR). In Nederland wordt de wetgeving ingevoerd onder de naam Algemene Verordening Gegevensbescherming (AVG). De verordening heeft grote consequenties voor organisaties, bedrijven en burgers. Voor burgers biedt de nieuwe regelgeving meer bescherming ten aanzien van hun persoonsgegevens en rechten, waardoor ze beter voor zichzelf kunnen opkomen ten aanzien van de verwerking van hun persoonsgegevens door bedrijven en organisaties.

De AVG bepaalt onder welke voorwaarden bedrijven en organisaties persoonsgegevens van burgers mogen verwerken en op welke wijze deze gegevens vastgelegd moeten worden. Organisaties moeten bovendien kunnen aantonen dat de verwerking van de gegevens rechtmatig is of dat toestemming is verkregen om de gegevens te verwerken. Verder krijgen burgers het recht om organisaties te vragen alle persoonlijke gegevens te verwijderen (recht op vergetelheid), het recht om persoonlijke gegevens in te zien (recht op inzage) en het recht om van organisaties persoonsgegevens in een standaardformaat te ontvangen (recht op overdraagbaarheid). 

Organisaties krijgen megaklus aan GDPR | AVG verzoeken van burgers

Voor organisaties zorgt de nieuwe AVG voor diverse veranderingen, die op verschillende facetten een effect zullen hebben. Zo moeten organisaties onder meer hun beveiliging rondom gegevens behoorlijk aanscherpen. Waar de beveiliging in de huidige Wpb – de wet bescherming persoonsgegevens – ‘voldoende’ moet zijn, zijn er bij de AVG strengere maatregelen van kracht, zoals specifieke vereisten omtrent versleuteling van persoonsgegevens. Ook de boetes voor het niet naleven van de nieuwe verordening gaan flink omhoog. Liep een organisatie in de oude situatie het risico op een boete van maximaal €820.000, of 10% van de jaaromzet, zo kan deze nu oplopen tot maximaal €20 miljoen of 4% van de wereldwijde omzet.

Verder, waar bij de oude wetgeving er binnen een organisatie geen functionaris voor gegevensbescherming aangesteld hoefde te zijn, zal dit na invoering van de AVG wel zo zijn. Concreet zijn het overheidsorganisaties en bedrijven met grootschalige verwerking van persoonsgegevens die hiertoe verplicht zullen worden. Ten slotte was er bij de Wpb geen sprake van specifieke vereisten ten aanzien van de gegevensbeschermings-effectbeoordeling. Na invoering van de AVG zal deze wel verplicht zijn, in het geval er sprake is van hoge risico’s ten aanzien van de verwerking van persoonsgegevens.

Burgers komen in actie

De voorbereidingen die organisaties dienen te treffen om klaar te zijn voor de AVG, vormen echter nog maar het begin, want nadat de AVG van kracht zal zijn, begint het spreekwoordelijke feest pas echt. Uit het onderzoek van KPMG – gehouden onder ruim 1.000 Nederlanders van vijftien jaar of ouder – blijkt dat burgers na de invoering massaal van plan zijn om organisaties met informatie- en privacyverzoeken te gaan bestoken. Van burgers die op de hoogte zijn van de nieuwe verordening, zegt namelijk 51% gebruik te gaan maken van het recht op vergetelheid, wil 60% gebruik maken van het recht op inzage, zal 56% het recht op overdraagbaarheid willen claimen en wil 59% het recht op rectificatie eisen.

Nederlanders maken zich vooral zorgen om de wijze waarop wordt omgegaan met hun medische gegevens. 70% heeft twijfels over het gebruik van dit soort persoonlijke informatie, vooral in het elektronisch patiëntendossier (EPD). Koos Wolters, privacyexpert van KPMG en betrokken bij het onderzoek, geeft aan: “90% heeft nog nooit het eigen EPD ingezien. Veel mensen zetten bovendien vraagtekens bij de veiligheid van hun gegevens bij de huisarts. Minder dan de helft van de Nederlanders denkt dat medische gegevens die worden bewaard door de huisarts of dokter goed beschermd zijn.” Het beloven dus drukke tijden te worden voor zorginstellingen.

Quote Koos Wolters, KPMG

Een andere groep die naar verwachting met veel informatie- en privacyverzoeken vanuit burgers te maken zal krijgen, wordt gevormd door de banken. Zij beheren namelijk grote hoeveelheden data van consumenten, waaronder veel persoonlijke en vaak gevoelige informatie. Wolters: “Bedrijven en instanties kunnen hun borst natmaken en zullen alle zeilen bij moeten zetten om aan alle eisen te voldoen.” Dat scenario wordt alleen maar waarschijnlijker gezien de risico’s waarmee deze organisaties te maken krijgen, zoals cybersecurityrisico’s.

Bewustzijn vooralsnog laag

Hoe dan ook, momenteel is nog ‘slechts’ 20% van de Nederlanders op de hoogte van de AVG-wetgeving. Als dat zo blijft dan is dat goed nieuws voor veel organisaties, aangezien de volumes vanuit burgers behapbaar kunnen blijven. Het bewustzijn en de kennis rondom de AVG zal naar verwachting de komende periode alleen maar meer gaan toenemen, waardoor toekomstige verzoeken vanuit consumenten nog behoorlijk kunnen gaan stijgen.

Een goede voorbereiding op de aankomende werklast na invoering van de AVG lijkt voor organisaties dus onontbeerlijk, zeker ook omdat hun reputatie onder consumenten op het spel kan komen te staan als ze er niet goed mee omgaan. In een tijd van social media, kunnen klachten over organisaties soms razendsnel viral gaan. Als dat inzicht niet voldoende is, dan kunnen de potentiële hoge boetes die vanaf 25 mei gelden voor organisaties die zich niet houden aan de nieuwe privacyregels, voor veel organisaties een belangrijke stimulans zijn om de AVG serieus te nemen.

Nieuws

×
A.T. Kearney Accenture ACE Adaptif Adlasz Adviesgroep Novius Anderson MacGyver Andersson Elffers Felix Annalise Arthur D. Little AT Osborne Atos Consulting Avantage Reply B&A Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Corporate Finance Boer & Croon Management Bostec Boston Consulting Group Bright & Company | People Strategy buro C5 Bvolve Capgemini Invent Centric Cmotions COMATCH Conclusion Considerati Count & Cooper De Kleine Consultant Deloitte Delta Capita Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting flowresulting Front Consulting Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Consulting & Interim Improven InContext innergo innogy Consulting INNOPAY Intermedius ITDS Business Consultants JBR JBR Interim Executives Kirkman Company KplusV KPMG Kruger KWINK groep Leeuwendaal M3 Consultancy Magnitude Consulting Magnus Marktlink McKinsey & Company Mercer Methis Consulting METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group OrangeX Ordina Oxyma p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quint Wellington Redwood Quintop Raad van Toekomst RevelX RGP Rijnconsult Roland Berger Scenter Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy Development Partners Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron Business Consulting TEN HAVE Change Management The Next Organization Turner TWST Twynstra Gudde UMS Group UniPartners UPD Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup Young Advisory Group Zestgroup