Nederlandse organisaties niet klaar voor nieuwe privacyregels

Amsterdam, 9 februari 2015 - Het is vaak droevig gesteld met de bescherming van persoonsgegevens, zo blijkt uit de `Privacy Health Check' van PwC. Slechts een derde van de bijna 100 ondervraagde Nederlandse organisaties denkt dat ze gekwalificeerd is om op een volwassen manier om te gaan met persoonsgegevens. Ruim twee derde heeft zijn medewerkers het afgelopen jaar niet getraind op dit terrein. Ook heeft 82 procent nog geen procedure om aan aankomende eisen rondom het `recht om vergeten te worden' te kunnen voldoen.

Er worden nieuwe en strengere Europese privacyregels van kracht voor organisaties die met persoonsgegevens werken. De Europese Privacy Verordening wordt waarschijnlijk aan het eind van dit jaar ter goedkeuring naar het Europees parlement gestuurd. Door de nieuwe regels krijgt iedereen het 'recht om vergeten te worden', moeten organisaties vooraf zorgen dat persoonsgegevens in hun producten en processen worden beschermd en krijgen toezichthouders meer middelen (o.a. hogere boetes) om goede bescherming van persoonsgegevens af te dwingen. `Een meerderheid van de Nederlandse bedrijven en instellingen is hier nog niet klaar voor', zegt Bram van Tiel, securityspecialist bij PwC, op basis van de uitgevoerde steekproef.

Dit blijkt onder meer uit het feit dat slechts 17 procent van de ondervraagde organisaties een privacy officer benoemd. Meer dan een kwart is zich niet bewust dat deze `functionaris gegevensbescherming' verplicht wordt. De `Meldplicht datalekken' ligt nu al in de Tweede Kamer. Nederlandse bedrijven moeten vanaf volgend jaar datalekken binnen 24 of 72 uur melden bij de lokale privacywaakhond, in Nederland het College bescherming persoonsgegevens. Slechts 12 procent stelt dat het goed tot zeer goed is voorbereid om aan deze verplichting te voldoen.

Volgens Bram van Tiel voelen organisaties zich wel verantwoordelijk voor de bescherming van de persoonsgegevens van hun klanten. `Het is de voornaamste drijfveer om serieus met persoonsgegevens om te gaan. Het risico op boetes of reputatieschade wordt veel minder vaak als reden gezien. Dat verantwoordelijkheidsgevoel is een belangrijke voorwaarde voor goed beleid, maar de uitvoering laat duidelijk nog te wensen over.'

Bijna een derde van de deelnemers aan het onderzoek heeft geen formeel privacybeleid. Ongeveer de helft van de ondervraagde organisaties is niet expliciet gemaakt welke persoonsgegevens er worden verwerkt en opgeslagen. Verder onderzoekt ruim de helft van de organisaties niet of nauwelijks of de huidige Wet bescherming persoonsgegevens wordt nageleefd. Een even groot percentage voert geen risicoanalyses uit betreffende de omgang met persoonsgegevens. En ook ten aanzien van leveranciers lopen veel organisaties risico's. Zo stelt twee derde niet of slechts redelijk zicht te hebben op delen van persoonsgegevens met andere partijen. Slechts een kwart maakt gebruik van bewerkersovereenkomsten als juridische basis voor delen van persoonsgegevens met derden. En als er wel een bewerkersovereenkomst is wordt er nauwelijks gecontroleerd op naleving.