De Algemene Verordening Gegevensbescherming (AVG) wordt per 25 mei 2018 van kracht. Slechts 18 procent van de Nederlanders is op de hoogte van deze nieuwe wet. 80 procent weet dan ook niet hoe zij gebruik moeten maken van de nieuwe privacyrechten. Gewezen op hun nieuwe rechten, zoals het recht op vergetelheid en recht op inzage, wil de helft gebruik maken van deze mogelijkheden.
Dit blijkt uit het onderzoeksrapport ‘Weten is Willen’ van KPMG. Hiervoor heeft Motivaction International, in opdracht van KPMG, ruim duizend Nederlanders tussen de vijftien en 75 jaar ondervraagd over verschillende thema’s op het gebied van privacy en over de AVG.
Seksuele voorkeur, etnische achtergrond en geloofsovertuiging wordt door de AVG bestempeld als gevoelige persoonsgegevens. Echter zien Nederlanders dit in mindere mate als gevoelige persoonsgegevens. Zij betitelen creditcardafschriften, het elektronisch patiëntendossier (epd) en informatie over de psychische gezondheid juist als bijzondere persoonsgegevens.
Medische gegevens
Voortbordurend op het epd: 70 procent heeft twijfels over het gebruik van persoonlijke informatie in het elektronisch patiëntendossier (epd). Er zijn meer mensen die niet weten wie er toegang heeft tot hun epd (35 procent) dan mensen die dit wel weten (30 procent). Slechts 30 procent zou het heel erg vinden als zijn of haar epd op straat komt te liggen. De overgrote meerderheid (90 procent) heeft zelfs nog nooit het eigen elektronisch patiëntendossier ingezien.
Maken Nederlanders zich dan zorgen over de privacy van hun medische persoonsgegevens? Daarover zijn de meningen verdeeld. Ongeveer één derde (28 procent) maakt zich hier zorgen over, 30 procent maakt zich geen zorgen en de grootste groep (36 procent) staat neutraal tegenover dit onderwerp. Gevraagd of hun medische gegevens goed beschermd zijn, denkt 44 procent dat hun gegevens veilig zijn bij huisartsen, tegenover 41 procent bij het ziekenhuis.
Veiligheid tegenover privacy
KPMG vroeg ook of veiligheid belangrijker is dan privacy. Bijna de helft (46 procent) is van mening dat de overheid meer bevoegdheden zou moeten krijgen om de criminaliteit terug te dringen, ook als dit ten koste zou gaan van de privacy. 44 procent is het hier niet mee eens: zij willen hun privacy niet opgeven voor uitgebreidere mogelijkheden tot handhaving van criminaliteit.
“die eind mei 2018 van kracht wordt,” Zo meldt ook KPMG.
Het moet opnieuw maar weer eens gezegd : de AVG *is* al bijna twéé jaar van kracht, er is nu slechts sprake van een implementatieperiode. De AVG zal vanaf 25 mei 2018 – dus over net 3 maanden – in zijn volledigheid *gehandhaafd* gaan worden.
Bedrijven die nu nog zeggen dat ze nog nooit hebben gehoord van de AVG / GDPR privacywetgeving adviseren we om zich snel te laten voorlichten. De AVG / GDPR is reeds in 2016 ingegaan. Op dat moment kregen alle bedrijven en organisaties 2 jaar de tijd om de nodige voorbereidingen te treffen om volledig te voldoen aan deze Europese privacywetgeving. Deze 2 jarig voorbereidingsperiode loopt binnenkort af. Op 25 mei 2018 zullen alle autoriteiten van de 28 EU-lidstaten starten met de handhaving van deze wetgeving. Het is erg jammer dat veel bedrijven een “we kijken het nog wel even aan”-houding aannamen en er nu pas achter komen dat die voorbereiding wel degelijk moet gebeuren en dat het meer werk is dan ze hadden gedacht. Er is nu bij veel bedrijven sprake van spanning omdat het nu nog allemaal snel geregeld moet worden. De RI&E-Privacy methodiek brengt bedrijven op een efficiënte en snelle manier naar volledige GDPR-compliance. Kort omschreven ziet een RI&E-Privacy project er als volgt uit. Na de eventueel benodigde voorlichting (presentatie of een management workshop) begin je bij de basis om te voldoen aan de AVG / GDPR: het opzetten van de (verplichte) privacy-administratie. Deze administratie kun je opzetten en onderhouden in een online privacy administratie-tool (PACT-Privacy). De GDPR verplicht bedrijven om aantoonbaar inzicht te hebben in alle gegevensverwerkingen met persoonsgegevens, de privacy risicio’s en de genomen technische- en organisatorische maatregelen. Na de inventarisatie (stap 1) van de gegevensverwerkingen in de gehele organisatie en de risico-analyse (stap 2) kun je de maatregelen bepalen die nodig zijn om aan de GDPR te voldoen (stap 3). Na het implementeren van deze maatregelen (stap 4) voldoe je dan aan de wetgeving. Dit kun je borgen door regelmatig een audit uit te laten voeren middels een risico-evaluatie gesprek (stap 5) en een FG-abonnement. En tot slot: Wees er in ieder geval van bewust dat het belang van Privacy steeds groter wordt in onze maatschappij. Consumenten en klanten van bedrijven zullen steeds hogere eisen stellen. Nu al worden er steeds meer eisen gesteld aan security- en privacy-beleid, ISO-certificering, etc. bij aanbestedingen. Bedrijven die niet goed met uw en mijn persoonsgegevens om blijken te gaan vallen straks uit een hele hoge boom. Privacy wordt de nieuwe “Marketing-P”. Vragen over dit onderwerp zijn uiteraard welkom.