Veel Nederlandse organisaties lopen vanaf aanstaande vrijdag kans op hoge boetes, omdat ze nog niet klaar zijn voor de nieuwe privacywet AVG. Veel organisaties hebben de voorbereidingstijd voor het invoeren van nieuwe procedures en technische aanpassingen, zwaar onderschat. Nog geen vier op de tien is klaar voor de AVG, die 25 mei 2018 definitief wordt ingevoerd.
Slecht één op de vijf onderzochte bedrijven heeft een (volledig) register voor verwerkingsactiviteiten, terwijl dit wel verplicht is. Ruim een kwart (27%) zegt er nog mee bezig te zijn, blijkt uit onderzoek door adviesbureau PwC bij bijna 400 middelgrote organisaties. Slechts 42 procent verwacht klaar te zijn voor de strengere privacyregels. Dit percentage ligt zelfs nog lager dan een jaar geleden (52 procent), toen veel organisaties nog geen helder beeld hadden van de volle impact van de wet.
AVG is strenger dan oude Wet bescherming persoonsgegevens
De AVG, de nieuwe Europese privacywet die ook bekend is onder de naam GDPR, is strenger dan de huidige wet bescherming persoonsgegevens. Maar opvallend genoeg voldoen veel organisaties ook niet aan de oude wet. Zo houdt slechts de helft van de respondenten een overzicht bij van datalekken, terwijl dit al sinds 2016 verplicht is.
De Europese privacywet gaat 25 mei in en heeft grote gevolgen voor de verwerking en bescherming van persoonsgegevens. Centraal staan het verkrijgen van inzicht in de verwerkingen van persoonsgegevens en datastromen en het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design & privacy by default). Ook krijgt iedereen het recht “om vergeten te worden”.
In kaart brengen persoonsgegevens kost veel tijd
Volgens Bram van Tiel hebben veel organisaties de voorbereidingstijd die de talrijke procedurewijzigingen en technische aanpassingen van hen vragen zwaar onderschat. ‘Ze hadden een jaar geleden nog geen flauw benul wat er precies moest gebeuren. Bij veel organisaties bleek het in kaart brengen van alle persoonsgegevens, waar ze precies opgeslagen waren en wie er toegang tot had al een flinkere kluif dan vooraf ingeschat.’
Slechts drie van de tien organisaties gebruikt technologie om aan te tonen dat ze aan de AVG voldoen. Terwijl technologie kan helpen bij het overzicht van verwerkingen, het bewaken van termijnen en bijvoorbeeld verzoeken van klanten voor inzage van hun gegevens. PwC adviseert bedrijven gebruik te maken van technologische oplossingen, omdat ze in de toekomst altijd moeten aantonen dat ze blijvend voldoen aan de AVG.
Bedrijven lijken nog lang niet klaar voor AVG
Uit het onderzoek komt het beeld naar voren, dat veel bedrijven nog lang niet klaar zijn voor de AVG. Zo heeft een derde geen procedures om verzoeken van betrokkenen af te handelen, zoals verzoeken tot inzage, overdracht of het wissen van persoonsgegevens. Verder is er gebrek aan voldoende mensen, kennis en budget om de AVG goed in te voeren.
Bij 22% van de bedrijven neemt het privacybudget wel toe, maar in 2017 lag dit percentage nog op 50%. De helft voert geen risicoanalyses uit voor het omgaan met persoonsgegevens.
MIS NIKS: Abonneer je op de gratis Personeelsnet-nieuwsbrief