Belgische organisaties nog niet klaar voor nieuwe Europese privacywetgeving
De bescherming van persoonsgegevens speelt binnen organisaties een steeds belangrijkere rol. Niet in het minst omdat er op 25 mei 2018 een Europese wetgeving (General Data Protection Regulation of GDPR) in werking treedt die Europese en niet-Europese organisaties strenge regels oplegt in verband met de bescherming van persoonsgegevens. Bij een overtreding zullen de boetes kunnen oplopen tot 4% van de wereldwijde jaaromzet, of EUR 20.000.000. Kortom, vanaf 25 mei 2018 betekent het ontbreken van privacy maatregels een heus risico voor organisaties.
Bij PwC voerden we recent, samen met Law Square, een onderzoek uit bij Belgische organisaties en maken de conclusies hiervan bekend naar aanleiding van de recente Europese Dag van de Privacy. De resultaten van het onderzoek (met 120 respondenten) geven inzicht over de manier waarop organisaties in België omgaan met het onderwerp privacy, waarom ze het belangrijk vinden, wat ze eraan doen en hoe ze met de nieuwe regelgeving omgaan.
Uit de resultaten blijkt duidelijk dat de meerderheid van Belgische organisaties nog volop bezig is met zich voor te bereiden op de nieuwe Europese regels, of er zelfs nog moet aan beginnen. Velen hebben ook nog steeds geen risicoanalyse uitgevoerd rond de verwerking van persoonsgegevens binnen hun organisatie. Bij 40% van de deelnemende organisaties is er zelfs nog geen sprake van een programma of strategie voor privacy. Daarnaast deed slechts 30% al een compliance evaluatie ten opzichte van de huidige Belgische Privacywet, laat staan dat dit op een regelmatige basis gebeurt.
Het onderzoek toont ook aan dat de medewerkers van organisaties momenteel niet of onvoldoende opgeleid zijn omtrent het belang en de risico’s van privacy. Bij 45% van de organisaties heeft het personeel in de afgelopen twaalf maanden geen training of opleiding op het gebied van privacy gevolgd. Uit de resultaten blijkt ook dat organisaties nauwelijks op de hoogte zijn van het belang van GDPR kwaliteitslabels en -certificaties. Nochtans kunnen deze tools een belangrijke bijdrage leveren om vertrouwen te creëren en compliance met GDPR aan te tonen.
Maar er is wel een positieve verrassing: zo’n 67% van de respondenten verklaart dat het ‘privacy by design’ principe al wordt toegepast. Bij de ontwikkeling van nieuwe systemen en procedures zou men dus wel al rekening houden met de bescherming van persoonsgegevens. Het valt trouwens op dat organisaties die actief zijn in een geregulariseerde sector doorgaans beter zijn voorbereid op de nieuwe Europese regelgeving. Dat komt waarschijnlijk omdat ze werken met striktere procedures en meer maturiteit hebben op het vlak van risicobeheer, interne controle en informatiebeveiliging.
Lees het volledige rapport op www.pwc.be/privacy