Organisaties slecht voorbereid op nieuwe privacywetgeving, zo blijkt uit PwC onderzoek

Organisaties slecht voorbereid op nieuwe privacywetgeving, zo blijkt uit PwC onderzoek 150 150 Ina Brouwer

Slechts 58 procent van organisaties uit verschillende sectoren heeft de Meldplicht Datalekken, die inmiddels een jaar in werking is, geïmplementeerd. Dit blijkt uit het PwC Privacy Governance onderzoek onder 210 organisaties in onder meer de publieke sector. Daarnaast is slechts één op de tien organisaties klaar voor de nieuwe privacywetgeving, die in mei 2018 van kracht wordt.

Het onderzoek van accountantskantoor PwC wordt jaarlijks uitgevoerd en geeft organisaties inzicht in hoe er wordt omgegaan met het onderwerp privacy. Het zijn organisaties uit onder meer het onderwijs, de gezondheidszorg, de regionale en nationale publieke sector, de energiewereld en de financiële sector.

Op 25 mei 2018 zal iedere organisatie in Europa moeten voldoen aan de Europese Algemene Verordening Gegevensbescherming (AVG). Vanaf dat moment zullen er hogere eisen gelden dan tot nu toe. Zonder toestemming mogen persoonsgegevens niet worden verwerkt, registers van verwerkte gegevens moeten worden aangelegd, datalekken gemeld, in veel gevallen een functionaris gegevensbescherming aangesteld etc.

Ook voor Nederlandse gemeenten betekent dit extra waakzaamheid. In alle overheidsinstellingen wordt digitaal een schat aan persoonlijke gegevens verzameld en verwerkt: van gegevens over burgers en samenwerkende partners tot aan die van ambtenaren die het werk uitvoeren. Door vragen van de gemeenteraad, burgers en journalisten, maar ook door rechterlijke uitspraken wordt de druk steeds groter om alle transacties te registreren met alle risico’s van dien, zoals het per ongeluk laten slingeren van persoonsgegevens.

Iedere week is er wel een bericht over een datalek. Een paar miljoen verkeerd overgemaakt door een gemeente, patiëntengegevens van een ziekenhuis die op straat belanden enz.  Sinds januari 2016 is men verplicht om het datalek binnen 72 uur aan de Autoriteit Persoonsgegevens te melden. Het merendeel van de Nederlandse gemeenten meldden vorig jaar een lek. Dat geeft aan hoe groot het probleem is. Uit hetzelfde onderzoek blijkt dat  iedere gemeente bezig is zelf het beveiligingswiel uit te vinden. ‘Het is over het algemeen nog een beetje een zooitje’ zegt beveiligingsexpert de Leeuw in de NRC van 28 januari jl. Dat geldt overigens niet alleen voor de publieke sector. Het personeel bij nagenoeg de helft van de, door PwC onderzochte, organisaties heeft de afgelopen twaalf maanden geen training of opleiding gevolgd op het gebied van privacy.

Toch is dat geen luxe want de menselijke factor is cruciaal.

Bij een datalek denkt men vaak dat het ICT-systeem niet goed functioneert of dat er gehackt is, terwijl het meestal om menselijke fouten gaat. Het laten rondslingeren van dossiers of het kwijtraken van een laptop of een mobiele telefoon kan al een stevig lek opleveren met  gevoelige informatie. Een organisatie heeft er belang bij dat te voorkomen, vooral door haar personeel bewust te maken van de risico’s van nonchalant gedrag.

Overtreding van de voorschriften die de privacy moeten beschermen gaat leiden tot strenge maatregelen. Het toezichthoudende orgaan, de Autoriteit Persoonsgegevens, kan boetes opleggen die – vanaf mei 2018 – kunnen oplopen tot 20 miljoen euro of, voor een onderneming, tot 4% van de wereldwijde jaaromzet.

Nieuwe privacywetgeving

Privacybescherming zal daarom voor publieke en private organisaties uitgroeien tot topprioriteit. Het is verstandig om in het zicht van mei 2018 nu al maatregelen te nemen en niet te wachten op controlerende instanties of schadeclaims van derden. Maar hoe voldoe je nu aan de Europese  Algemene Verordening Gegevensbescherming? Wanneer ben je eigenlijk privacy proof? En waar begin je mee? Zijn het de juridische aspecten of toch ook het ICT-systeem waarmee persoonsgegevens worden verwerkt?

Omdat er geen eenvoudig antwoord is op die vragen adviseren wij iedere organisatie zich door te laten lichten op  ‘privacy proof’. Dat kan natuurlijk in eigen beheer, maar soms is deskundige hulp gewenst. Borg advocaten heeft, samen met  ICT- en businesspartners, een snel en effectief instrument ontwikkeld, waarmee een organisatie zich op alle aspecten van privacybescherming kan laten doorlichten. Met behulp van een privacy scan kan het management van een bedrijf in een onderzoek van maximaal één dag nagaan waar het binnen de onderneming aan schort en welke maatregelen genomen moeten worden om goed voorbereid te zijn op de nieuwe privacywetgeving.

Omdat privacybescherming een zaak is van verschillende afdelingen is deze privacy scan ontworpen door een multidisciplinair team van juristen en ICT’ers, zodat zowel de juridische aspecten als de ICT aspecten op één en hetzelfde moment kunnen worden beoordeeld. Het is ditzelfde team dat de privacy scan helpt uitvoeren en na afloop ervan met heldere aanbevelingen komt. Zo nodig kan het team ook helpen bij de implementatie ervan.

Autoriteit Persoonsgegevens expert

Auteur: Ina Brouwer, advocaat privacyrecht