Bedrijven schroeven privacy compliance op dankzij AVG

30 september 2019 Consultancy.nl 5 min. leestijd
Profiel
Meer nieuws over

Vorig jaar was een belangrijk jaar voor privacy: de AVG werd ingevoerd. De komst van de wet, bedoeld om de privacy van mensen beter te beschermen in het digitale tijdperk, leidde tot de nodige onrust. Vele organisaties worstelden om hun zaken op tijd op orde te krijgen, en vreesden de hoge boetes en grote reputatieschade die gepaard konden gaan met een overtreding van de nieuwe wet. Nu de AVG ruim een jaar van kracht is, is de rust enigszins wedergekeerd, zo blijkt uit onderzoek van PwC.

Sinds 2014 voert het Big Four-kantoor jaarlijks een privacy governance-onderzoek uit, maar de nieuwste editie is de eerste na de komst van de Algemene Verordening Gegevensbescherming (AVG). In de voorgaande onderzoeken kwam al naar voren dat het vooruitzicht van de wet werkte als een grote aanjager voor extra inspanningen op het gebied van privacy en de omgang met persoonsgegevens. Waar veel organisaties ten tijde van de invoering in mei 2018 desondanks nog niet aan alle eisen bleken te voldoen – een kwart gaf zelfs aan bij de jaarwisseling nog steeds niet compliant te zullen zijn – lijkt het inmiddels beter te gaan.

Wat heeft bij uw organisatie de meeste prioriteit gehad bij de implementatie van de AVG?

Zo geeft 89% van de ondervraagden aan niet bang te zijn voor een eventueel onderzoek van de Autoriteit Persoonsgegevens, aangezien ze verwachten dat hun organisatie voldoende compliant is. Bij de implementatie van de AVG is de meeste aandacht uitgegaan naar het creëren van awareness: bij 29% van de organisaties was de hoogste prioriteit. Dit lijkt niet onverstandig, aangezien onderzoek laat zien dat niet IT maar de mens de sleutel is tot goede gegevensbescherming. 

Bij vrijwel elke organisatie staat privacy awareness hoog op de agenda. Slechts 3% van de organisaties deed sinds de in het jaar van de inwerkingtreding van de AVG niets aan het verhogen van het bewustzijn onder het personeel. Dit is een flinke verbetering ten opzichte van het jaar ervoor, toen nog ruim een vijfde (22%) niets deed. De meeste organisaties proberen het privacybewustzijn op te krikken middels medewerkerspresentaties. Daarnaast wordt ook regelmatig gebruikgemaakt van e-learning en voorlichtingsfilms en -posters.

Hoe heeft u vanaf 25 mei 2018 de privacy awareness binnen uw organisatie verhoogd?

Ook gekeken naar de grootste uitdagingen rond de AVG-implementatie blijkt de mens naar een belangrijke spil. Onvoldoende mankracht komt in het onderzoek duidelijk naar voren als het grootste struikelblok voor borging van compliance met de AVG. Andere genoemde problemen zijn een gebrek aan budget, de juiste technologie of aandacht vanuit de directie. Slechts 15% van de organisaties ziet geen enkel struikelblok om blijvend te voldoen aan de AVG. 

“Naast een tekort aan kennis en financiën vormt de organisatiecultuur en handelwijze van medewerkers het grootste obstakel wanneer het over privacy gaat”, stelt Yvette van Gemerden, Partner privacy- en arbeidsrecht bij PwC. “De recente boete van de Autoriteit Persoonsgegevens opgelegd aan een Haags ziekenhuis is daar een goed voorbeeld van.” 

Wat ziet uw organisatie als de voornaamste struikelblokken om te blijven voldoen aan de privacywetgeving?

Gelukkig lijkt dit Haagse ziekenhuis – het Haga-ziekenhuis, dat €460.000 moest betalen vanwege onzorgvuldige omgang met patiëntgegevens – een uitzondering op de regel. De studie laat zien dat het belang van privacy en zorgvuldige bescherming van persoonsgegevens steeds serieuzer wordt genomen. Het aantal organisaties dat de verantwoordelijkheid voor privacy en de verwerking van persoonsgegevens concreet belegt bij specifieke functies zoals een data protection officer of privacyfunctionarissen neemt nog steeds toe. 97% van de organisaties stelt inmiddels te voldoen aan de verplichting om een overzicht van datalekken bij te houden.

Bovendien geeft de overgrote meerderheid (86%) van de organisaties aan procedures te hebben geïmplementeerd voor de afhandeling van inzage- en correctieverzoeken, verzoeken tot overdracht van gegevens of verzoeken om vergeten te worden. De kleine groep organisaties die dit nog niet heeft gedaan zegt hiermee bezig te zijn. Verder stellen alle organisaties met regelmaat risicoanalyses (zoals data protection impact assessments) uit te voeren, waar dit vorig jaar nog slechts een derde was. Iets minder dan de helft (45%) voerde ook een privacy-audit uit en nog eens 17% zegt dit nog te gaan doen. 

Heeft u afgelopen jaar privacy audits uit laten voeren in uw organisatie?

Uiteraard zijn er nog wel aandachtspunten. Een gebied waarop nog veel winst kan worden geboekt is privacy-by-design. Privacy-by-design houdt in dat er bij de ontwikkeling van producten en diensten vanaf het begin veel aandacht wordt besteed aan privacy. “Het is een voorwaarde om privacy te implementeren bij alles wat je nu bouwt en verandert. Doe je dat niet, dan is de kans groot dat organisaties over enkele jaren hun AVG-implementatie opnieuw moeten doen”, stelt Bram Van Tiel, Partner cybersecurity en privacy bij PwC. Wanneer organisaties hier bij voorbaat onvoldoende rekening mee houden, nemen ze volgens Van Tiel onnodige risico’s, waarmee ze tegelijk hogere kosten riskeren.

PwC stelt dat het bereiken en handhaven van AVG-compliance ook gedurende de komende jaren voor vrijwel alle organisaties een belangrijk item zal blijven. “Ook als er op dit vlak al grote inspanningen zijn verricht kan niet achterover worden geleund”, besluiten de auteurs.