Beheer

Weinig benul van EU-wet gegevensbescherming
Boetes kunnen oplopen tot 20 miljoen euro of 10 procent van de wereldwijde omzet. Maar voorbereiding op wet is ronduit slecht.
Boetes kunnen oplopen tot 20 miljoen euro of 10 procent van de wereldwijde omzet. Maar voorbereiding op wet is ronduit slecht.
Vanaf mei 2018 moeten organisaties voldoen aan de General Data Protection Regulation (GDPR). Deze richtlijn voor bescherming van persoonsgegevens van alle burgers in de EU en geldt voor alle organisaties die met persoonsgegevens werken. Wie de regels overtreedt kan enorm boetes tegemoetzien. – tot 20 miljoen euro of 4 procent van de wereldwijde omzet van een organisatie. Kennis over deze nieuwe regeling ontbreekt echter nog bij zeer veel organisaties, zo blijkt uit een onderzoek dat Dell door Dimensional Research heeft laten uitvoeren onder 821 wereldwijd verspreide personen die verantwoordelijk zijn voor gegevensbescherming.
Geen daden
De hoge boetes die dreigen, lijken hen echter niet tot daden te dwingen. 82 procent maakt zich zorgen over de naleving van de GDPR, maar ze zijn er niet goed bekend mee en er niet op voorbereid. 97 procent heeft geen plan voor de invoering van de GDPR. Ruim 80 procent heeft weinig of geen kennis van de GDPR. Slechts een derde denkt er nu op voorbereid te zijn, maar slechts 3 procent heeft een plan van aanpak liggen. Opmerkelijk is dat de respondenten uit de Benelux het slechts scoren; maar 26 procent denkt hierop goed voorbereid te zijn. Terwijl in Nederland dit jaar al de meldplicht datalekken geldt, die voor een groot deel vergelijkbaar is met de komende Europese regelgeving.
Aangeraden wordt in elk geval deze maatregelen te nemen ter voorbereiding op de GDPR.
- Stel een Data Protection Officer (DPO) aan. Dat kan ook in de vorm van een dienst.
- Gebruik een krachtige oplossing voor toezicht op de toegang tot applicaties die pesoonsgegevens van EU-burgers bevatten.
- Houd de regie over het toegangsbeheer in eigen hand. Een belangrijke eis van de GDPR is dat organisaties er voor moeten zorgen dat werknemers en derden die voor hen werken alleen de toegangsrechten hebben die ze nodig hebben om hun werk te doen.
- Zorg altijd voor expliciete toestemming voor het gebruik van een grote variëteit aan data.
Maar Nederlandse organisaties lijken ook op deze al geldende regelgeving niet geweldig te zijn voorbereid. Uit de Nationale Privacy Benchmark die van Verdonck, Klooster en Associates dit jaar voor de tweede keer hield, komt een iets beter maar nog altijd niet florissant beeld. Hierin wordt onderzocht wat organisaties zien als hun zwakke en goede punten op het gebied van de privacy-wetgeving. Daarvoor werden rond de 100 privacy officers en bestuurders ondervraagd. Enkele resultaten werden bekend gemaakt tijdens het Dataprivacy Congres van Heliview. Zo blijkt dat bijna twee derde geen duidelijke afspraken heeft gemaakt over welke incidenten aan de toezichthouder moeten worden gemeld en aan betrokkenen. Bij een enquête in de zaal met bleek dat slechts 43 procent een datalekprotocol heeft dat adequaat werkt. En dat is laag, want volgens de wet moeten organisaties er wel een hebben.
Wie niet aan de Nederlandse Meldplicht Datalekken voldoet kan ook flinke boetes tegemoet zien, tot maximaal 820.000 euro of 10% van de jaaromzet per overtreding. Daar zijn er tot nu toe nog geen van uitgedeeld. Tot nu toe hebben 4000 organisaties een datalek gemeld bij de Autoriteit Persoonsbescherming. Die heeft het zelf over “het topje van de ijsberg” en verwacht dit jaar de eerste boetes op te leggen. Daar lopen nu enkele tientallen onderzoeken naar.
Ik begeleid experts die artikelen schrijven voor AG Connect.
Telefoon: 020235 6415
E-mail: t.d.vrede@agconnect.nl