Privacy Governance Onderzoek

Bescherming persoonsgegevens van doorslaggevend belang

Ruim een jaar nadat de Algemene Verordening Gegevensbescherming (AVG) volledig van toepassing is, hebben organisaties verschillende inspanningen verricht om aan deze privacy-eisen te voldoen. Hoewel de AVG-soep niet zo heet gegeten wordt als deze is opgediend, behoeft deze wel blijvend aandacht blijkt uit ons jaarlijkse privacy & governance onderzoek

We zien nog steeds een toename in het aantal organisaties dat de verantwoordelijkheid voor privacy en de verwerking van persoonsgegevens concreet belegt bij specifieke functies zoals een Data Protection Officer (DPO) of privacy functionarissen. Het aantal vacatures voor dergelijke specialistische functies neemt nog altijd toe. Gebrek aan adequate resources wordt door veel organisaties als één van de belangrijkste knelpunten gezien ten aanzien van AVG compliance.

Belangrijkste onderzoeksresultaten

  • Ruime meerderheid van de organisaties heeft geen angst voor een onderzoek door de AP. Verwerkersovereenkomsten en technische en organisatorische maatregelen vormen nog knelpunten Meer organisaties doen extra investeringen in privacy Verantwoordelijkheid voor privacy is door bijna alle organisaties specifiek belegd.
  • Ruime meerderheid van de organisaties heeft geen angst voor een onderzoek door de AP. Bij een eventueel onderzoek van de Autoriteit Persoonsgegevens zegt 89% van de organisaties te verwachten voldoende compliant te zijn.
    Verantwoordelijkheid voor privacy is door bijna alle organisaties specifiek belegd. 97% van de organisaties geeft aan dat de verantwoordelijkheid voor het privacybeleid is belegd.
  • Verwerkersovereenkomsten en technische en organisatorische maatregelen vormen nog knelpunten. Het sluiten van verwerkersovereenkomsten met andere partijen en het nemen van technische en organisatorische maatregelen om een passend beveiligingsniveau te waarborgen waren de grootste uitdagingen bij de implementatie van de AVG.
  • Privacy-by-design nog niet wijdverbreid geïmplementeerd. Maar liefst 88% van de deelnemende organisaties houdt bij de ontwikkeling en implementatie van nieuwe systemen nog niet altijd rekening met de privacy van betrokkenen en de bescherming van persoonsgegevens.
  • Procedures of richtlijnen voor rechten van betrokkenen worden geïmplementeerd. Een overgrote meerderheid (86%) van de organisaties geeft aan procedures te hebben voor afhandeling van rechten van betrokkenen. De kleine groep organisaties die dit nog niet heeft gedaan zegt hiermee bezig te zijn.
  • Onvoldoende mankracht en kennis vormt grootste bedreiging. Ruim een derde van de respondenten geeft aan dat ontbreken van mankracht of specialistische kennis het grootste struikelblok vormt voor borging van AVG compliance.
  • Data Protection Impact Assessments (DPIAs) worden veelvuldig uitgevoerd. Alle organisaties geven aan inmiddels met regelmaat risicoanalyses (zoals Data Protection Impact Assessments) uit te voeren. Vorig jaar deed slechts 33% van de organisaties dit. Een teken dat organisaties privacy compliance hogere prioriteit hebben gegeven.
  • De helft van de organisaties investeert in technologie. Bijna de helft van alle organisaties heeft afgelopen jaar investeringen gedaan in het gebruik van tools. Dat is een forse toename ten opzichte van vorig jaar toen dit voor minder dan 30% van de organisaties gold.