logo advocatenkantoor Kuijken
Neem vrijblijvend contact op:
Bel ons: 040 20 40 500
Mail ons: info@kuijkenadvocaten.nl
Veel organisaties voldoen niet aan nieuwe privacyregels

Veel organisaties zijn niet goed voorbereid op de Meldplicht Datalekken, die 1 januari 2016 is ingegaan. Dat blijkt uit het periodieke Privacy Governance-onderzoek van PwC. 

Hooguit 16 procent van de 156 organisaties die aan het twee jaar durende onderzoek deelnamen, geeft aan goed tot zeer goed voorbereid te zijn op de meldplicht. 68 procent heeft geen of slechts redelijk zicht op datastromen naar derde partijen. De helft van de organisaties heeft de consequenties van het ongeldig verklaren van het Safe Harbor-verdrag met de VS niet in kaart gebracht. Terwijl ze maar tot eind januari de tijd hebben om persoonsgegevens veilig te stellen die zich op servers in de VS bevinden. 

Verantwoordelijk

Het onderzoek toont aan dat organisaties zich wel verantwoordelijker voelen voor de bescherming van persoonsgegevens van hun klanten en werknemers. Zo wordt privacy inmiddels door een meerderheid gezien als een gedeelde verantwoordelijkheid tussen business, juristen en IT. “Er wordt substantieel intensiever samengewerkt in vergelijking met vorig jaar”, zegt Bram van Tiel, security- en privacyspecialist bij PwC. “Tegelijkertijd voldoen veel organisaties nog niet aan de nieuwe privacyregelgeving.”     

Europese Hof

Er is een stroom aan nieuwe en aangescherpte privacyregelgeving. Zo zijn sinds januari organisaties verplicht om datalekken te melden. “Doen ze dat niet of niet tijdig, dan riskeren ze een boete van maximaal 820.000 euro”, licht Van Tiel toe. Daarnaast heeft het Europese Hof van Justitie in oktober 2015 het Safe Harbor-verdrag met de VS, waarin staat hoe Amerikaanse bedrijven gegevens moeten opslaan zodat ze aan de Europese privacywetgeving voldoen, ongeldig verklaard. “Bedrijven die deze constructie gebruiken, staan voor een fors probleem. Ze moeten een geïntegreerde technische en juridische oplossing bedenken die wel tegemoetkomt aan de eisen van Europese toezichthouders.”    

‘Privacy by design’  

De Europese regels ter bescherming van persoonsgegevens worden op dit moment hervormd tot één Europese wet: de algemene verordening gegevensbescherming (AVG). Hiermee komen verschillen tussen de wetgeving in de verschillende lidstaten op termijn te vervallen. Boetes kunnen oplopen tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet. Op basis van de AVG krijgt iedereen het ‘recht om vergeten te worden’. Ook moeten organisaties voldoen aan de principes van ‘privacy by design’. Dit betekent dat ze bij de ontwikkeling van nieuwe producten en diensten al vooraf moeten nadenken hoe ze de privacy van gebruikers gaan beschermen. Dit geldt ook voor de aanschaf van een nieuw informatiesysteem of een wijziging in de organisatie. Maar liefst 40 procent houdt nog geen rekening met dit principe.

Lichtpuntjes

Slechts een kwart beoordeelt de eigen privacy-praktijk als ‘volwassen’. Van Tiel: “Veel organisaties hebben beperkt inzicht in plekken waar persoonsgegevens worden verwerkt. De IT-omgevingen zijn complex en op directieniveau voelt men de urgentie onvoldoende. Met als gevolg dat er te weinig tijd en capaciteit wordt vrijgemaakt om aan de nieuwe regels te voldoen.”

Lichtpuntjes zijn er ook. Meer dan de helft heeft afgelopen jaar meer geïnvesteerd in privacy compliance dan het jaar ervoor. Bij een derde is controle op naleving van de Wet bescherming persoonsgegevens inmiddels onderdeel van de auditcyclus. Dat was in 2014 nog 22 procent.

Vrijblijvend telefonisch advies

Voor informatie over deze nieuwsbrief en voor alle juridische vragen kunt u gratis en vrijblijvend bellen elke dag van 15.00 tot 16.00 uur op telefoonnummer 040-2044445 of uw vragen stellen via het contactformulier.