of 59185 LinkedIn

Pas 10 procent is klaar voor EU-meldplicht datalekken

Op 25 mei 2018 gaat de nieuwe Europese privacywetgeving in, maar slechts tien procent van de Nederlandse organisaties denkt nu klaar te zijn om daar werkelijk aan te kunnen voldoen.
Reageer

Op 25 mei 2018 gaat de nieuwe Europese privacywetgeving in, maar slechts tien procent van de Nederlandse organisaties denkt nu klaar te zijn om daar werkelijk aan te kunnen voldoen.

Nog 16 maanden te gaan....Dat blijkt uit het onderzoek Privacy Governance van PwC onder ruim 200 organisaties. Of ze dat allemaal wel op tijd lukt, is onwaarschijnlijk. Bij overtreding van de wet gelden echter wel boetes die kunnen oplopen tot 10 procent van de jaaromzet tot 4 miljoen euro

PwC publiceerde zijn onderzoek afgelopen zaterdag 28 januari, op de jaarlijkse Internationale Dag van de Dataprivacy. Doel van deze dag is bewustwording over privacy te verbeteren en dan vooral voor privégegevens die online staan. De dag wordt al sinds 2007 georganiseerd.

Kwart nog niet begonnen
De Europese Algemene Verordening Gegevensbescherming (AVG) dient ter bescherming van persoonsgegevens van alle burgers in de EU en geldt voor alle organisaties die met persoonsgegevens werken. Volgens de onderzoekers van PwC bereidt twee derde zich nu actief voor op deze EU-verordening, maar een kwart is er nog niet aan begonnen. Verwacht wordt dan ook dat veel organisaties in tijdnood zullen komen. “Veel organisaties zullen de resterende tijd hard nodig hebben om de talrijke procedurewijzigingen en technische aanpassingen door te voeren’, zegt Bram van Tiel, security- en privacyspecialist bij PwC.

Kennis kennis kennis
Een gebrek aan kennis wordt steeds weer aangevoerd als belangrijke reden waarom zo veel organisaties zich nog niet goed voorbereiden op de Europese verordening. Eerder al bleek uit een onderzoek van Dell Dimensional Data onder 821 wereldwijd verspreide personen die verantwoordelijk zijn voor gegevensbescherming dat bij veel organisaties kennis ontbreekt over deze nieuwe regeling.

Nederlandse meldplicht
In Nederland geldt al enige tijd nationale regelgeving voor het melden van datalekken waarbij persoonsgegevens zijn betrokken: de Wet bescherming persoonsgegevens. Maar ook daar is een groot deel van de organisaties niet op voorbereid. Slechts 58 procent heeft die al geldende regels voor het melden van datalekken ingevoerd. Dat is al een stuk beter dan de 16 procent die vorig jaar uit het onderzoek kwam. Maar het betekent wel dat een groot aantal organisaties het risico loopt forse boetes – tot 820.000 euro – te krijgen.

Volgens deze regelgeving moeten organisaties datalekken waar persoonsgegevens bij betrokken zijn melden bij de Autoriteit Persoonsgegevens. Dat heeft 44 procent nog nooit gedaan. Van Tiel van PwC wijt dit aan een gebrek aan kennis. “We weten dat het percentage dat slachtoffer is geweest van cybercrime hoger ligt. Veel organisaties weten niet precies wat een datalek is en wanneer ze de Autoriteit persoonsgegevens en betrokkenen, zoals klanten, moeten informeren.”

Deze week werd ook bekend dat een groot deel van de Nederlandse gemeenten zich niet aan de nationale regelgeving houdt. Uit onderzoek van het KRO-NCRV-programma Reporter Radio blijkt dat de helft van de Nederlandse gemeenten de AP niet inlicht wanneer ze te maken hebben met een datalek. Ook hier zou het gaan om een gebrek aan kennis.

Resultaten:

  • 29 procent vindt de eigen organisatie volwassen op het gebied van privacy
  • Bij 67 procent werken Business, Legal en IT(security) samen aan privacy.
  • 74 procent heeft het afgelopen jaar meer geinvesteerd in privacy en compliance
  • 90 procent heeft inzichtelijk welke persoonsgegevens worden verwerkt
  • 35 procent documenteert de verwerkingen van persoonsgegevens
  • 70 procent werkt met bewerkersovereenkomsten bij inzet van leveranciers
  • 50 procent controleert naleving van de bewerkersovereenkomsten
  • 28 procent heeft de verantwoordelijkheid van privacy bij een privacy officer belegd
  • 69 procent houdt rekening met gebruik van persoonsgegevens bij introductie van nieuwe systemen
  • 45 procent voert geen risico-analyses uit in het kader van omgang met persoonsgegevens

Bron: AG Connect, Tanja de Vrede

Verstuur dit artikel naar Google+

Reageer op dit artikel
Even geduld a.u.b.

Vacatures

Van onze partners