Commissarissen moeten databescherming hoger op agenda zetten

6 juli 2017
Wet- en regelgeving
Organisaties nog niet klaar voor aangescherpte privacyregels

Eind mei 2018 treedt de EU-verordening over databescherming in werking. Slechts twaalf procent van de organisaties is klaar voor de nieuwe regels, blijkt uit onderzoek van PwC. ‘Veel organisaties onderschatten de voorbereidingstijd’, aldus securityspecialist Bram van Tiel. Munitie voor de volgende commissarissenvergadering.

Databescherming

De nieuwe EU-verordening over databescherming is veel strenger dan de huidige Wet bescherming persoonsgegevens. Een jaar voor de invoering van de verordening is nog slechts twaalf procent van de organisaties helemaal voorbereid op de nieuwe regels. Meer dan de helft van de organisaties is nog niet begonnen met voorbereidingen. Dat blijkt uit het periodieke Privacy Governance-onderzoek van PwC onder 327 organisaties. De enquête is eind mei 2017 gehouden.

Het recht ‘om vergeten te worden’

De Europese Algemene Verordening Gegevensbescherming (AVG) gaat op 25 mei 2018 in en heeft grote gevolgen voor de verwerking en bescherming van persoonsgegevens binnen organisaties. Centraal staan het verkrijgen van inzicht in de verwerkingen van persoonsgegevens en datastromen en het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design & privacy by default). Ook krijgt iedereen het recht ‘om vergeten te worden’.

Op tijd beginnen met voorbereiding

Veel organisaties onderschatten de voorbereidingstijd die de talrijke procedurewijzigingen en technische aanpassingen van hen vragen, zo blijkt uit het onderzoek. Dat driekwart (74 procent) geen inzage- of correctieprocedures en de helft (51 procent) geen beleidsregels voor datalekken heeft en ruim een derde datalekken niet bijhoudt, geeft bovendien te denken. Aan deze regels moet een organisatie op basis van de huidige Nederlandse wetgeving al voldoen.

De belangrijkste conclusies:

  • Verwerking persoonsgegevens: driekwart (74 procent) heeft verwerkingen van persoonsgegevens nog niet inzichtelijk en gedocumenteerd, terwijl dit wel een verplichting is. Slechts 19% van de organisaties heeft dit inmiddels wel gedaan.
  • Right to be forgotten: 69 procent heeft geen enkele procedure geïmplementeerd voor de afhandeling van inzage- en correctieverzoeken van betrokkenen.
  • Meldplicht datalekken: slechts 49 procent heeft een draaiboek klaarliggen in geval van een datalek
  • Data Protection Officer: 17 procent heeft de verantwoordelijkheid voor privacy neergelegd bij een privacy officer. 21 procent heeft daarentegen niemand aangewezen die de rol van Data Protection Officer gaat vervullen.
  • Bewerkersovereenkomst: 13 proent sluit geen bewerkersovereenkomst af met derde partijen waarmee persoonsgegevens worden gedeeld. Belangrijkste reden is de onbekendheid hiervan.
  • Privacy Impact Assessment: de helft (50 procent) voert geen Privacy Impact Assessment uit bij organisatiewijzigingen die grote impact hebben op de verwerking van persoonsgegevens.
  • Bewaartermijnen: een derde heeft geen bewaartermijnen geïmplementeerd.
  • Mankracht: het grootste struikelblok voor tijdige implementatie is gebrek aan mankracht (39 procent), gevolgd door onvoldoende kennis (34 procent).
  • Deadline: slechts 12% zegt nu klaar te zijn voor de nieuwe EU-verordening. De helft (52 procent) verwacht voor de deadline van 25 mei 2018 klaar te zijn met voorbereidingen.

 

Klik hier voor contact met Bram van Tiel en meer informatie.

Auteurs
Bram van Tiel (securityspecialist PwC)
Sector
Accountancy
Bank- en verzekeringswezen
Bedrijfsleven
Familiebedrijf
Semipubliek
Thema
ICT
Portretfoto Bram van Tiel

Verder in deze Governance Update

Toezicht dat deugt en deugd doet
Jaar bedenktijd bij overnamebod een nieuwe Dutch Discount?
‘Eigenlijk is het heel eenvoudig’
Vrouwelijke ceo katalysator voor diversiteit
Top bedrijfsleven merkt effecten toegenomen risico’s
Wisselend beeld over werkgeversrol raden van commissarissen
Handreiking voor herbezinning
Shutoff Sunday
De portefeuille van Annelies de Groot
'Ik kom niet met een molentje onder de arm'
Kansen voor toezichthouder of aandeelhouder die afscheid wil nemen van bestuurder
‘Participatiecommissaris speelt belangrijke rol in succes startup’