Grote gevolgen
De Europese Algemene Verordening Gegevensbescherming (AVG) gaat op 25 mei 2018 in en heeft grote gevolgen voor de verwerking en bescherming van persoonsgegevens binnen organisaties. Centraal staan het verkrijgen van inzicht in de verwerkingen van persoonsgegevens en datastromen en het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design & privacy by default). Ook krijgt iedereen het recht ‘om vergeten te worden’.Voorbereidingstijd wordt onderschat
‘Veel organisaties onderschatten de voorbereidingstijd die de talrijke procedurewijzigingen en technische aanpassingen van hen vragen. Dat driekwart (74 procent) geen inzage- of correctieprocedures en de helft (51 procent) geen beleidsregels voor datalekken heeft en ruim een derde datalekken niet bijhoudt, geeft bovendien te denken’, aldus PwC naar aanleiding van de enquête-uitkomsten.Goede doelen ook nog lang niet op orde
Brancheorganisatie Nederland Filantropieland (NLFL) organiseerde onlangs samen met het CBF een bijeenkomst om goede doelen bij te praten over de consequenties van de nieuwe verordening. In een verslag op haar website vat CBF de belangrijkste conclusies samen. De nieuwe verordening vergt volgens CBF en NLFL veel van goede doelen. Beide organisaties hebben onderzoek gedaan naar de bekendheid van de veranderingen onder de achterban. Hieruit komt duidelijk naar voren dat veel organisaties hun zaakjes in de praktijk nog (lang) niet op orde hebben.De belangrijkste conclusies uit de PwC-enquête zijn:
⇒Verwerking persoonsgegevens: driekwart (74 procent) heeft verwerkingen van persoonsgegevens nog niet inzichtelijk en gedocumenteerd, terwijl dit wel een verplichting is. Slechts 19% van de organisaties heeft dit inmiddels wel gedaan.⇒Right to be forgotten: 69 procent heeft geen enkele procedure geïmplementeerd voor de afhandeling van inzage- en correctieverzoeken van betrokkenen.
⇒Meldplicht datalekken: slechts 49 procent heeft een draaiboek klaarliggen in geval van een datalek
⇒Data Protection Officer: 17 procent heeft de verantwoordelijkheid voor privacy neergelegd bij een privacy officer. 21 procent heeft daarentegen niemand aangewezen die de rol van Data Protection Officer gaat vervullen.
⇒Bewerkersovereenkomst: 13 procent sluit geen bewerkersovereenkomst af met derde partijen waarmee persoonsgegevens worden gedeeld. Belangrijkste reden is de onbekendheid hiervan.
⇒Privacy Impact Assessment: de helft (50 procent) voert geen Privacy Impact Assessment uit bij organisatiewijzigingen die grote impact hebben op de verwerking van persoonsgegevens.
⇒Bewaartermijnen: een derde heeft geen bewaartermijnen geïmplementeerd.
⇒Mankracht: het grootste struikelblok voor tijdige implementatie is gebrek aan mankracht (39 procent), gevolgd door onvoldoende kennis (34 procent).
⇒Deadline: slechts 12% zegt nu klaar te zijn voor de nieuwe EU-vordering. De helft (52 procent) verwacht voor de deadline van 25 mei 2018 klaar te zijn met voorbereidingen.
►Bron: PwC
♦Lees ook: Nieuwe regelgeving: goede doelen worstelen met databeveiliging
♦Lees ook: Startschot modern toezicht: van digitaal naar reflectief
Nederland Filantropieland heeft extra informatie over dit onderwerp verstrekt via het onlinekenniscentrum en op het forum (beide toegankelijk voor leden). In het kenniscentrum zal NLFL in de loop van de tijd steeds meer informatie plaatsen over dit onderwerp. Ook is NLFL bezig met het ontwikkelen van een toolkit. Die zal bestaan uit een brochure met informatie over de gevolgen van de AVG en een checklist, die organisaties kunnen gebruiken tijdens het doorvoeren van de benodigde veranderingen.
DDB Daily: elke dag om 12.00 uur het laatste nieuws & opinie van de afgelopen 24 uur in uw mailbox. Gratis service naast uw wekelijkse DDB Journaal.
Aanmelden: klik hier.