Bedrijven schroeven privacy compliance op dankzij AVG

30 september 2019 Consultancy.nl

Vorig jaar was een belangrijk jaar voor privacy: de AVG werd ingevoerd. De komst van de wet, bedoeld om de privacy van mensen beter te beschermen in het digitale tijdperk, leidde tot de nodige onrust. Vele organisaties worstelden om hun zaken op tijd op orde te krijgen, en vreesden de hoge boetes en grote reputatieschade die gepaard konden gaan met een overtreding van de nieuwe wet. Nu de AVG ruim een jaar van kracht is, is de rust enigszins wedergekeerd, zo blijkt uit onderzoek van PwC.

Sinds 2014 voert het Big Four-kantoor jaarlijks een privacy governance-onderzoek uit, maar de nieuwste editie is de eerste na de komst van de Algemene Verordening Gegevensbescherming (AVG). In de voorgaande onderzoeken kwam al naar voren dat het vooruitzicht van de wet werkte als een grote aanjager voor extra inspanningen op het gebied van privacy en de omgang met persoonsgegevens. Waar veel organisaties ten tijde van de invoering in mei 2018 desondanks nog niet aan alle eisen bleken te voldoen – een kwart gaf zelfs aan bij de jaarwisseling nog steeds niet compliant te zullen zijn – lijkt het inmiddels beter te gaan.

Wat heeft bij uw organisatie de meeste prioriteit gehad bij de implementatie van de AVG?

Zo geeft 89% van de ondervraagden aan niet bang te zijn voor een eventueel onderzoek van de Autoriteit Persoonsgegevens, aangezien ze verwachten dat hun organisatie voldoende compliant is. Bij de implementatie van de AVG is de meeste aandacht uitgegaan naar het creëren van awareness: bij 29% van de organisaties was de hoogste prioriteit. Dit lijkt niet onverstandig, aangezien onderzoek laat zien dat niet IT maar de mens de sleutel is tot goede gegevensbescherming. 

Bij vrijwel elke organisatie staat privacy awareness hoog op de agenda. Slechts 3% van de organisaties deed sinds de in het jaar van de inwerkingtreding van de AVG niets aan het verhogen van het bewustzijn onder het personeel. Dit is een flinke verbetering ten opzichte van het jaar ervoor, toen nog ruim een vijfde (22%) niets deed. De meeste organisaties proberen het privacybewustzijn op te krikken middels medewerkerspresentaties. Daarnaast wordt ook regelmatig gebruikgemaakt van e-learning en voorlichtingsfilms en -posters.

Hoe heeft u vanaf 25 mei 2018 de privacy awareness binnen uw organisatie verhoogd?

Ook gekeken naar de grootste uitdagingen rond de AVG-implementatie blijkt de mens naar een belangrijke spil. Onvoldoende mankracht komt in het onderzoek duidelijk naar voren als het grootste struikelblok voor borging van compliance met de AVG. Andere genoemde problemen zijn een gebrek aan budget, de juiste technologie of aandacht vanuit de directie. Slechts 15% van de organisaties ziet geen enkel struikelblok om blijvend te voldoen aan de AVG. 

“Naast een tekort aan kennis en financiën vormt de organisatiecultuur en handelwijze van medewerkers het grootste obstakel wanneer het over privacy gaat”, stelt Yvette van Gemerden, Partner privacy- en arbeidsrecht bij PwC. “De recente boete van de Autoriteit Persoonsgegevens opgelegd aan een Haags ziekenhuis is daar een goed voorbeeld van.” 

Wat ziet uw organisatie als de voornaamste struikelblokken om te blijven voldoen aan de privacywetgeving?

Gelukkig lijkt dit Haagse ziekenhuis – het Haga-ziekenhuis, dat €460.000 moest betalen vanwege onzorgvuldige omgang met patiëntgegevens – een uitzondering op de regel. De studie laat zien dat het belang van privacy en zorgvuldige bescherming van persoonsgegevens steeds serieuzer wordt genomen. Het aantal organisaties dat de verantwoordelijkheid voor privacy en de verwerking van persoonsgegevens concreet belegt bij specifieke functies zoals een data protection officer of privacyfunctionarissen neemt nog steeds toe. 97% van de organisaties stelt inmiddels te voldoen aan de verplichting om een overzicht van datalekken bij te houden.

Bovendien geeft de overgrote meerderheid (86%) van de organisaties aan procedures te hebben geïmplementeerd voor de afhandeling van inzage- en correctieverzoeken, verzoeken tot overdracht van gegevens of verzoeken om vergeten te worden. De kleine groep organisaties die dit nog niet heeft gedaan zegt hiermee bezig te zijn. Verder stellen alle organisaties met regelmaat risicoanalyses (zoals data protection impact assessments) uit te voeren, waar dit vorig jaar nog slechts een derde was. Iets minder dan de helft (45%) voerde ook een privacy-audit uit en nog eens 17% zegt dit nog te gaan doen. 

Heeft u afgelopen jaar privacy audits uit laten voeren in uw organisatie?

Uiteraard zijn er nog wel aandachtspunten. Een gebied waarop nog veel winst kan worden geboekt is privacy-by-design. Privacy-by-design houdt in dat er bij de ontwikkeling van producten en diensten vanaf het begin veel aandacht wordt besteed aan privacy. “Het is een voorwaarde om privacy te implementeren bij alles wat je nu bouwt en verandert. Doe je dat niet, dan is de kans groot dat organisaties over enkele jaren hun AVG-implementatie opnieuw moeten doen”, stelt Bram Van Tiel, Partner cybersecurity en privacy bij PwC. Wanneer organisaties hier bij voorbaat onvoldoende rekening mee houden, nemen ze volgens Van Tiel onnodige risico’s, waarmee ze tegelijk hogere kosten riskeren.

PwC stelt dat het bereiken en handhaven van AVG-compliance ook gedurende de komende jaren voor vrijwel alle organisaties een belangrijk item zal blijven. “Ook als er op dit vlak al grote inspanningen zijn verricht kan niet achterover worden geleund”, besluiten de auteurs.


Profiel

Meer nieuws over

×
×
A.T. Kearney Accenture ACE Company Adaptif Adlasz Adviesgroep Novius AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting B&A Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management Bolster Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Centric Cmotions COMATCH Conclusion Connective Payments Count & Cooper De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting Flowant flowresulting FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Improven InContext innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kirkman Company Korn Ferry KplusV KPMG KPN ICT Consulting Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle Methis Consulting METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group Oliver Wyman OrangeX Ordina Organize Agile p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ People Change PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quantics Quint Wellington Redwood Quintop Raad van Toekomst ResidentieProfs RevelX RGP Rijnconsult Roland Berger Salvéos Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy Development Partners Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron TEN HAVE Change Management The Next Organization Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup