Nederlandse bedrijven en organisaties zijn slecht voorbereid op nieuwe Europese wet en regelgeving rondom privacy. Er worden geen voorbereidingen getroffen op de aanstaande meldplicht voor datalekken. Bedrijven hebben geen verantwoordelijke voor de privacy van klantdata benoemd en gegevensverwerking is niet ingericht op het recht om vergeten te worden. Dat blijkt uit een steekproef van adviesbureau PwC onder bijna honderd ict-beslissers.
Daaruit komt naar voren dat slechts een derde van de ondervraagden denkt dat ze gekwalificeerd is om op een volwassen manier om te gaan met persoonsgegevens. Ruim twee derde heeft zijn medewerkers het afgelopen jaar niet getraind op dat gebied. Ook heeft 82 procent nog geen procedure om aan de aankomende eisen rondom het ‘recht om vergeten te worden’ te kunnen voldoen.
Bram van Tiel, securityspecialist bij PwC: ‘Er worden nieuwe en strengere Europese privacyregels van kracht voor organisaties die met persoonsgegevens werken. De Europese Privacy Verordening wordt waarschijnlijk aan het eind van dit jaar ter goedkeuring naar het Europees parlement gestuurd. Door de nieuwe regels krijgt iedereen het ‘recht om vergeten te worden’, moeten organisaties vooraf zorgen dat persoonsgegevens in hun producten en processen worden beschermd en krijgen toezichthouders meer middelen (onder andere hogere boetes) om goede bescherming van persoonsgegevens af te dwingen. Een meerderheid van de Nederlandse bedrijven en instellingen is hier nog niet klaar voor.’
Slechts 17 procent van de ondervraagde organisaties heeft een privacy officer benoemd. ‘Meer dan een kwart is zich niet bewust dat deze ‘functionaris gegevensbescherming’ verplicht wordt. De ‘Meldplicht datalekken’ ligt nu al in de Tweede Kamer. Nederlandse bedrijven moeten vanaf volgend jaar datalekken binnen 24 of 72 uur melden bij de lokale privacywaakhond, in Nederland het College bescherming persoonsgegevens. Slechts 12 procent stelt dat het goed tot zeer goed is voorbereid om aan deze verplichting te voldoen’, aldus Van Tiel.
Verantwoordelijk
Volgens de beveiligingsspecialist voelen organisaties zich wel verantwoordelijk voor de bescherming van de persoonsgegevens van hun klanten. ‘Het is de voornaamste drijfveer om serieus met persoonsgegevens om te gaan. Het risico op boetes of reputatieschade wordt veel minder vaak als reden gezien. Dat verantwoordelijkheidsgevoel is een belangrijke voorwaarde voor goed beleid, maar de uitvoering laat duidelijk nog te wensen over.’
De onderzoekers: ‘Bijna een derde van de deelnemers aan het onderzoek heeft geen formeel privacybeleid. Binnen ongeveer de helft van de ondervraagde organisaties is niet expliciet duidelijk welke persoonsgegevens er worden verwerkt en opgeslagen. Ook onderzoekt ruim de helft van de organisaties niet of nauwelijks of de huidige Wet bescherming persoonsgegevens wordt nageleefd. Een even groot percentage voert geen risicoanalyses uit betreffende de omgang met persoonsgegevens. En ook ten aanzien van leveranciers lopen veel organisaties risico’s. Zo stelt twee derde niet of slechts redelijk zicht te hebben op het delen van persoonsgegevens met andere partijen.’
Volgens de onderzoekers maakt slechts een kwart van de respondenten gebruik van bewerkersovereenkomsten als juridische basis voor het delen van persoonsgegevens met derden. En als er wel een bewerkersovereenkomst is wordt er nauwelijks gecontroleerd op naleving.
Komt dat misschien omdat de wetgever het zelf klaarblijkelijk niet zo nauw neemt met de privacy? Opstelten houdt zich toch ook niet aan de europese regels.
De nieuwe/gewijzigde privacy regels vanuit de EU zijn in feite bouwstenen (wijzigingen/aanvullingen) op een fundament dat er al moet zijn. Een fundament, gebaseerd op de driehoek Goverance, Information Risk Management en Informatiebeveiliging.
Dit fundament is al geruime tijd (als best practice en als eis van toezichthouders) de basis voor 1) het op orde krijgen van de vertrouwelijkheid, de beschikbaarheid en de integriteit voor totale Informatiesystemen(zie *), en 2) het borgen van de actualiteit door middel Van de PDCA (Plan Do Check Act) cyclus.
Wat in de dagelijkse praktijk een belangrijke handicap is voor het implementeren van de wijzigingen en aanvullingen, voorkomend uit de nieuwe/gewijzigde wetgeving, is het feit dat de BASIS (dus het fundament) bij veel organisaties NIET op orde is!! En dan is het omgaan met wat uit Brussel en Den Haag wordt voorgeschreven eigenlijk wel lastig, soms nagenoeg onmogelijk en mede daardoor zelfs ongewenst!
Zoals het er op dit moment uitziet zijn de dreigende consequenties zijn nogal pittig.
Daarom enkele tips:
• Je kunt overwegen de komende wijzigingen en de impact daarvan, in eerste instantie mee te nemen als onderdeel van het Information Risk Management.
• Of in ieder geval een impact analyse uitvoeren van wat op je afkomt.
Wat zijn de gevolgen als het niet (tijdig) op orde is?
Gewoon het risico nemen? En wat zijn dan
Wachten tot de regeldrift over gewaaid is? En wat zijn dan de risico’s op het gebied van imago schade, schadeclaims, maatschappelijke verontwaardiging, negatieve publiciteit Internationaal?
• Om een weloverwogen afweging te kunnen maken van wat, en in welke volgorde, er nog gebeuren moet helpt het de gegevens (informatiesystemen) te classificeren. En dan natuurlijk de privacy gevoelige informatie met extra aandacht als eerste verder aan te pakken.
• Controleer of de PDCA cyclus (zichtbaar) op orde is en actief wordt gebruikt, als onderdeel van de jaarplanning. Stel op hoofdlijnen een actieplan op en zorg voor de financiering daarvan. Alloceer voldoende resources voor de uitvoering.
En als je dan (nog) niet klaar bent als een externe partij (auditor, toezichthouder) langs komt, dan ben je in ieder geval goed bezig en zal de dreiging voor boetes niet zo snel worden omgezet in het daadwerkelijk opleggen daarvan.
Succes!
(*) Informatiesysteem: een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie (Bron VIR 2007).
Inderdaad, breng eerst de overheden maar eens op orde (Rijks- en lagere overheden).
DL en Jan. Het lijkt mij dat het hier niet om een wedstrijd gaat!!
Het lijkt mij persoonlijk knap vervelend als mijn huisarts, mijn bank, mijn ziekenhuis, mijn leverancier, enz. niet of niet voldoende waarborgt dat zowel de vertrouwelijkheid, als de beschikbaarheid en ook de INTEGRITEIT van mijn persoonlijke gegevens op orde zijn en BLIJVEN.
En laten we de publieke opinie niet vergeten. ook al heb je als bedrijf van alles op orde gebracht als je vervolgens niet goed hierover communiceert, transparant bent en aantoonbaar laat zien dat je de privacy respecteert en hier goed mee omgaat heb je nog steeds een vertrouwen probleem. Dus als je als bedrijf nu begint met het op orde brengen doe dat dan gelijk goed en maak gebruik van standaard oplossingen; http://www.pseudonimiseer.nl
@Norman
Regels uit Brussel moeten door lokale overheden eerst in wetten omgezet worden. Privacy maatregelen moet ieder bedrijf nemen die met persoonsgegevens werkt, begin dan eerst met de open deuren te sluiten zoals boyd, social media, dropbox etc. daar biedt ik ze veiliger alternatieven aan, meer kan een externe ook niet doen.
Je hebt gelijk dat er veel te weinig gelet wordt op privacy.