Zo heeft een grote meerderheid van de Nederlandse organisaties nog geen intern privacybeleid opgesteld. En voor zover dit beleid wel aanwezig is, draagt slechts 21% van de organisaties dit actief uit.
Dat is een van de conclusies naar aanleiding van een analyse van de AVG Status Check van de DDMA, een online tool die op basis van elf vragen, verdeeld over vijf thema’s, organisaties inzicht geeft in waar ze staan in voorbereiding op de AVG. De deelnemers kunnen per thema zien hoe ze scoren ten opzichte van de markt. Zo werkt de AVG Status Check ook als een benchmark.
De AVG Status Check is tussen november vorig jaar en eind april 2018 door 1239 respondenten ingevuld, waarvan 80% MKB bedrijven. Het merendeel (duizend) respondenten vulden de vragen in in de laatste drie maanden.
De belangrijke uitkomsten:
● ‘Governance’
62% van de organsiaties geeft aan nog geen intern privacybeleid te hebben, slecht 39% heeft een intern privacybeleid en slechts 21% draagt dit actief in de organisatie uit.
Het wordt onder de AVG verplicht om 'passende beleidsmaatregelen te treffen', het uitdragen ervan niet. Wel merkt DDMA op da privacy bewust werken een cultuurverandering in de organisatie vereist, wat betekent dat actieve communicatie over het privacybeleid belangrijk is voor het slagen ervan.
● ‘Informatieverstrekking’
Slechts 14% zegt een AVG proof Privacy Statement te hebben. 34% zegt hier nog niet aan begonnen te zijn. Een privacy statement was al verplicht onder de Wbp en zal moeten worden uitgebreid om te voldoen aan de AVG.
● ‘Rechten van de betrokkene’
De helft van de organisaties heeft nog geen procedure om de zes rechten van betrokkenen uit te kunnen voeren. De zes rechten die een organisatie moet kunnen uitvoeren, zijn: 1.Recht van inzage en correctie 2.Recht om vergeten te worden 3.Recht van verzet 4.Recht op overdraagbaarheid van gegevens 5.Rechten van betrokkenen bij profilering 6.Terugtrekken van toestemming
● ‘Verwerkersovereenkomst’
Meer dan de helft (54%) van de bedrijven heeft een overzicht van alle opdrachtgevers of -nemers waarmee zij gegevens verwerken. 37% heeft AVG-proof verwerkersovereenkomsten of is daarmee bezig.
De AVG verplicht organisaties om intern inzichtelijk te maken met welke derde partijen zij persoonsgegevens verwerken en daar passende afspraken mee te maken.
● ‘Beveiliging’
49% van de bedrijven geeft aan een beveiligingsbeleid te hebben of daaraan te werken. Opvallend is dat 33% hier nog aan moet beginnen.
Een beveiligingsbeleid is niet verplicht onder de AVG, maar is wel belangrijk. Organisaties moeten er voor zorgen dat persoonsgegevens ‘technisch en organisatorisch’ passend beveiligd zijn.
Diana Janssen, directeur van de DDMA, vindt het niet verbazend dat veel bedrijven nog druk bezig zijn met het AVG compliant maken van de organisatie. ‘De wetgeving is niet altijd even gemakkelijk te interpreteren. Onze boodschap aan die organisaties is: laat je hierdoor niet verlammen. Ga snel aan de slag en maak een plan. Het is immers jouw verantwoordelijkheid en gaat over de relatie met de klant. Mocht je er niet uit komen, zoek dan advies van objectieve instanties die je kunnen helpen.’
Plaats als eerste een reactie
Ook een reactie plaatsen? Word lid van Adformatie!