‘Nederlandse bedrijven zijn niet klaar voor nieuwe privacyregels’

Het is slecht gesteld met de bescherming van persoonsgegevens bij veel Nederlandse bedrijven. Slechts een derde van de Nederlandse organisatie denkt gekwalificeerd te zijn om op een volwassen manier om te gaan met persoonsgegevens. PWC stelt dan ook dat Nederlandse bedrijven niet klaar zijn voor de nieuwe Europese privacyregels.

De Europese Privacy Verordening, zoals de nieuwe regels officieel heten, worden naar verwachting eind dit jaar ter goedkeuring naar het Europees Parlement gestuurd. Door de nieuwe regels krijgt iedereen het 'recht om vergeten te worden', moeten organisaties vooraf aan verzameling zorgen dat persoonsgegevens in hun producten en processen worden beschermd en krijgen toezichthouders meer middelen om goede bescherming van persoonsgegevens af te dwingen waaronder boetes.

Nederlandse bedrijven zijn niet klaar
“Een meerderheid van de Nederlandse bedrijven en instellingen is hier nog niet klaar voor”, zegt Bram van Tiel, securityspecialist bij PwC, op basis van de uitgevoerde steekproef. Ruim twee derde heeft zijn medewerkers het afgelopen jaar niet getraind op dit terrein. Ook heeft 82 procent nog geen procedure om aan aankomende eisen rondom het ‘recht om vergeten te worden’ te kunnen voldoen.

Slechts 17% van de ondervraagde organisaties heeft een privacy officer benoemd, een manager die zich volledig richt op privacy. Ruim een kwart is zich niet bewust dat deze ‘functionaris gegevensbescherming’ in de nieuwe regels verplicht wordt. PWC wijst ook op de ‘Meldplicht datalekken’, die op dit moment in de Tweede Kamer ligt. Nederlandse bedrijven moeten vanaf volgend jaar datalekken binnen 24 of 72 uur melden bij de lokale privacywaakhond, wat in Nederland het College bescherming persoonsgegevens is. Slechts 12% van de ondervraagde bedrijven stelt goed tot zeer goed voorbereid te zijn om aan deze verplichting te voldoen.

Organisaties voelen zich verantwoordelijk
Volgens Bram van Tiel voelen organisaties zich wel verantwoordelijk voor de bescherming van de persoonsgegevens van hun klanten. “Het is de voornaamste drijfveer om serieus met persoonsgegevens om te gaan. Het risico op boetes of reputatieschade wordt veel minder vaak als reden gezien. Dat verantwoordelijkheidsgevoel is een belangrijke voorwaarde voor goed beleid, maar de uitvoering laat duidelijk nog te wensen over”, legt Van Tiel uit.

Bijna een derde van de deelnemers aan het onderzoek geeft toe geen formeel privacybeleid te hebben. Ongeveer de helft van de ondervraagde organisaties vermeldt niet expliciet welke persoonsgegevens worden verwerkt en opgeslagen. Verder onderzoekt ruim de helft van de organisaties niet tot nauwelijks of de huidige Wet bescherming persoonsgegevens wordt nageleefd. Een vergelijkbare groep voert geen risicoanalyses uit op de omgang binnen de organisatie met persoonsgegevens.

Ook leveranciers zorgen voor risico’s
Ook ten aanzien van leveranciers lopen veel organisaties risico’s. Zo stelt twee derde geen of slechts redelijk zicht te hebben op delen van persoonsgegevens met andere partijen. Slechts een kwart maakt gebruik van bewerkersovereenkomsten als juridische basis voor delen van persoonsgegevens met derden. Bedrijven die wel zo’n bewerkersovereenkomst hanteren controleren de naleving hiervan nauwelijks.