Privacy-boetes maken weinig indruk
Dit zorgwekkende beeld komt naar voren uit PwC's ‘Privacy Health Check’, een rondvraag onder honderd Nederlandse organisaties. Voor organisaties die met persoonsgegevens werken, worden binnenkort nieuwe strengere regels van kracht. Waarschijnlijk wordt eind dit jaar het ontwerp voor een Europese privacy-verordening ter goedkeuring naar het Europees parlement voorgelegd. Als dat met de nieuwe regels instemt
Shutterstock
Shutterstock
- krijgt iedereen het 'recht om vergeten te worden',
- moeten organisaties zorgen dat persoonsgegevens worden beschermd, en
- krijgen toezichthouders meer middelen (lees: hogere boetes) om naleving af te dwingen.
PwC stelt nu, op basis van de uitgevoerde steekproef, vast dat Nederland voor een dergelijk regime nog niet klaar is. Bij 82 procent van de respondenten is nog geen procedure vastgesteld om het ‘recht om te worden vergeten ’ te effectueren. Dit blijkt onder meer uit het feit dat slechts 17 procent van de ondervraagde organisaties een privacy officer heeft benoemd. Meer dan een kwart blijkt zichzelf nog niet te hebben gerealiseerd dat zo'n ‘functionaris gegevensbescherming’ vrijwel zeker verplicht wordt.
Meldplicht nog niet ingedaald
Met de ‘Meldplicht datalekken’, waaraan Nederlandse bedrijven vanaf volgend jaar moeten voldoen is het niet veel beter gesteld. Slecht 12 procent van de respondenten zegt goed (of zeer goed) voorbereid te zijn op de verplichting om blootstellingen binnen 24 of 72 uur bij het College bescherming persoonsgegevens te melden.
Weinig vastlegging
Bijna een derde van de deelnemers aan het onderzoek blijkt er geen formeel privacybeleid op na te houden. Ongeveer de helft van de ondervraagde organisaties heeft niet expliciet vastgelegd welke persoonsgegevens worden verwerkt en opgeslagen. Ook onderzoekt ruim de helft van de organisaties niet of nauwelijks of de huidige Wet Bescherming Persoonsgegevens naar behoren wordt nageleefd. Een even zo groot percentage voert geen risicoanalyses uit betreffende de omgang met persoonsgegevens. Ook ten aanzien van leveranciers lopen veel organisaties risico’s. Zo stelt twee derde niet of slechts redelijk zicht te hebben op het delen van persoonsgegevens met andere partijen. Slechts een kwart maakt gebruik van bewerkersovereenkomsten als juridische basis voor het delen van persoonsgegevens met derden. En als er wel een bewerkersovereenkomst is, wordt nauwelijks op naleving gecontroleerd.
Boetedreiging is secundair in beleid
Lichtpuntje is dat organisaties zich wel verantwoordelijk voelen voor de bescherming van persoonsgegevens van hun klanten. Volgens securityspecialist Bram van Tiel, van PwC, is dat zelfs de voornaamste drijfveer om serieus met persoonsgegevens om te gaan: "Het risico op boetes of reputatieschade wordt veel minder vaak als reden gezien."
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee