Ruim een jaar na de invoering van de wet Algemene verordening gegevensbescherming (AVG) heeft bijna 90% van de gevraagde organisaties privacy-by-design nog onvoldoende geïmplementeerd. Meer dan een derde geeft aan dat beperkte menskracht en kennis de grootste uitdaging vormt voor borging van de AVG. Wel is het aantal organisaties dat investeert in privacy en compliance verdubbeld.
Bram van Tiel, partner op het gebied van cybersecurity en dataprivacy bij advies- en accountantsbureau PwC: “Juist nu veel organisaties midden in een digitale transformatie zitten is het belangrijk om privacy-by-design mee te nemen. Wanneer je hier bij voorbaat onvoldoende rekening mee houdt dan neem je onnodige risico’s en riskeer je hogere kosten. Daar schrik ik van.”
Privacy-by-design houdt in dat er vanaf het begin bij de ontwikkeling van producten en diensten aandacht moet zijn voor privacy. “Het is een voorwaarde om privacy te implementeren bij alles wat je nu bouwt en verandert. Doe je dat niet, dan is de kans groot dat organisaties over enkele jaren hun AVG-implementatie opnieuw moeten doen” aldus Van Tiel.
Er zijn wel zaken die wel goed gaan sinds de invoering van de AVG. In 2018 gaf 22% van de gevraagde organisaties aan extra te investeren in privacy compliance en governance, dat percentage is in 2019 verdubbeld. Ook geeft 97% van de organisaties aan dat de verantwoordelijkheid van het privacybeleid is belegd, vaak bij een Data Protection Officer (DPO) ook wel Functionaris voor Gegevensbescherming (FG). Alle organisaties geven aan inmiddels met regelmaat risicoanalyses – zoals Data Protection Impact Assessments – uit te voeren. Vorig jaar deden slechts 33% van de ondervraagden dit.
Desalniettemin zijn er nog voldoende uitdagingen op privacy gebied. Het ontbreken van menskracht en specialistische kennis vormen een groot struikelblok voor borging van AVG-compliance. Yvette van Gemerden, partner privacy- en arbeidsrecht bij PwC: “naast een tekort aan kennis en financiën vormt de organisatiecultuur en handelwijze van medewerkers het grootste obstakel wanneer het over privacy gaat. De recente boete van de Autoriteit Persoonsgegevens opgelegd aan een Haags ziekenhuis is daar een goed voorbeeld van.”
Bron: PwC