Eén op de tien Nederlandse organisaties zegt klaar te zijn voor nieuwe Europese privacywetgeving. Tweederde bereidt zich actief voor op de EU-verordening, een kwart is nog niet met de voorbereiding gestart. Die organisaties lopen het risico om in tijdsnood te komen, aldus adviesbureau PwC.
Dat blijkt uit het periodiek Privacy Governance-onderzoek van adviesbureau PwC onder ruim tweehonderd organisaties in Nederland. De publicatie van die uitkomsten viel samen met de jaarlijkse Internationale Dag van de Dataprivacy, die op zaterdag 28 januari 2017 plaatsvond.
PwC licht toe dat per 25 mei 2018 organisaties moeten overschakelen op de Europese Algemene Verordening Persoonsgegevens (AVG). Verschillen tussen wetgeving in de verschillende lidstaten komen te vervallen. Tot die tijd moeten organisaties in Nederlands zich houden aan de nu geldende privacyrichtlijnen die volgen uit de Wet bescherming persoonsgegevens.
Security- en privacyspecialist bij PwC, Bram van Tiel: ‘Hoewel mei 2018 nog ver weg lijkt, zullen veel organisaties de resterende tijd hard nodig hebben om de talrijke procedurewijzigingen en technische aanpassingen door te voeren. Zo moeten organisaties straks meer inzicht geven in dataverwerking, verantwoordelijken op privacygebied benoemen en zogenoemde privacy by design– en privacy by default–principes doorvoeren. Ook krijgt iedereen het recht om vergeten te worden.’
Datelek melden
PwC wijst erop dat de AVG verder strenge regels bevat rondom het melden van datalekken. ‘Organisaties moeten vanaf mei 2018 datalekken melden in een register en een procedure hebben hoe ze met datalekken omgaan, inclusief communicatieplan. Opvallend is dat slechts 58 procent de nu geldende regels voor het melden van datalekken heeft ingevoerd. Dat percentage ligt weliswaar significant hoger dan vorig jaar (16 procent), maar dat betekent dat er nog steeds veel bedrijven zijn die boetes tot 820.000 euro riskeren. Die boetes kunnen vanaf mei 2018 oplopen tot twintig miljoen euro of vier procent van de jaaromzet.’
Een minderheid (44 procent) van de ondervraagde organisaties heeft nog nooit een datalek gemeld. Van Tiel: ‘We weten dat het percentage dat slachtoffer is geweest van cybercrime hoger ligt. Veel organisaties weten niet precies wat een datalek is en wanneer ze de Autoriteit Persoonsgegevens en betrokkenen, zoals klanten, moeten informeren.’
Bewerkersovereenkomt
Uit het onderzoek blijkt verder dat 90 procent van de ondervraagde organisaties inzichtelijk heeft welke persoonsgegevens de organisatie verwerkt, echter slechts 35 procent documenteert de verwerkingen. Het gebruik van bewerkersovereenkomsten is licht gestegen naar 70 procent (in 2015 was dit 60 procent), maar de helft daarvan controleert deze overeenkomsten daadwerkelijk op naleving. 29 procent vindt de eigen organisatie (zeer) volwassen op het gebied van privacy. Driekwart (in 2015 was dit 50 procent) heeft het afgelopen jaar extra geïnvesteerd in privacy compliance. De verwachting van PwC is dat de investeringen in aanloop naar de EU-verordening zullen toenemen.
“Organisaties moeten vanaf mei 2018 datalekken melden”?
Dat moet nú al. ZIe verder https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken
En zo ongeveer de helft van alle datalekken bij gemeenten is vorig jaar niet gemeld bij de Autoriteit Persoonsgegevens, zo blijkt uit onderzoek van Reporter Radio. Zie verder https://beveiligingnieuws.nl/nieuws/ict-beveiliging/helft-gemeenten-meldt-datalekken-niet , inclusief de onderzoeksresultaten.
Dat staat in de tekst:
‘Tot die tijd moeten organisaties in Nederlands zich houden aan de nu geldende privacyrichtlijnen die volgen uit de Wet bescherming persoonsgegevens.’
Mogelijk heb je dat niet gelezen.
Volgens PWC zijn de Europese regels ‘strenger’ dan de Nederlanse en komen die EU-regels in de plaats van de nu geldende nationale regels.
Dank je voor de links naar de artikelen over dit onderwerp.
Zoals het artikel al aangeeft lijkt 2018 ver weg, maar de resterende tijd is nog maar kort voor het nemen van de juiste organisatorische en technische maatregelen. Tijdens onze gesprekken met bedrijven over dit onderwerp blijkt dat er toch nog veel onwetendheid en naïviteit bestaat over de AVG / GDPR en de meldplicht. Argumentatie zoals: “We zijn daar niet mee bezig” of :”We wachten wel tot de autoriteit boetes gaat uitdelen” geven aan dat die bedrijven zich niet realiseren hoe kwetsbaar ze zijn. Wij adviseren om deze ontwikkelingen in ieder geval serieus te nemen en jezelf voor te bereiden. Je wilt niet in de situatie terecht komen dat je onaangename gesprekken met de Autoriteit moet voeren. Dat kan leiden tot bindende maatregelen of in het ergste geval een boete. Zie het positief. Laat aan je relaties merken dat hun privacy jouw zorg is. Privacy is de nieuwe “Marketing-P”.
Zoals het artikel al aangeeft lijkt 2018 ver weg, maar de resterende tijd is nog maar kort voor het nemen van de juiste organisatorische en technische maatregelen. Tijdens onze gesprekken met bedrijven over dit onderwerp blijkt dat er toch nog veel onwetendheid en naïviteit bestaat over de AVG / GDPR en de meldplicht. Argumentatie zoals: “We zijn daar niet mee bezig” of :”We wachten wel tot de autoriteit boetes gaat uitdelen” geven aan dat die bedrijven zich niet realiseren hoe kwetsbaar ze zijn. Wij adviseren om deze ontwikkelingen in ieder geval serieus te nemen en jezelf voor te bereiden. Je wilt niet in de situatie terecht komen dat je onaangename gesprekken met de Autoriteit moet voeren. Dat kan leiden tot bindende maatregelen of in het ergste geval een boete. Zie het positief. Laat aan je relaties merken dat hun privacy jouw zorg is. Privacy is de nieuwe “Marketing-P”.
@Pim : ik heb zowel artikel als rapport goed gelezen.
Door de alineaopbouw geeft bovenstaand artikel ruimte aan de suggestie dat nu géén meldingsplicht bestaat.
Dit i.t.t. het rapport, alsook de feiten nl. het huidige art. 14 WBP en het met de Wet Melding Datalekken geïntroduceerde art. 34a WBP.
Daargelaten dat de praktijk zich klaarblijkelijk weinig van papier aantrekt, noch in de toekomst vermoedelijk zál aantrekken.