Drie jaar na de invoering van de AVG vindt twee derde van de organisaties in ons land dat ze aan de privacywetgeving voldoen. Dat blijkt uit recent onderzoek van DPO Consultancy naar de impact van de AVG. Maar is dat echt zo? En waar is er dan nog werk aan de winkel? Een onthullend voorproefje van de onderzoeksresultaten.

De invoering van de AVG (Algemene Verordening Gegevensbescherming) op 25 mei 2018 zorgde voor heel wat onrust. Veel organisaties waren er niet klaar voor en er heerste een hoop onduidelijkheid. Wie moet er nu wat doen om compliant te zijn? En hoe gaat dat dan precies in z’n werk? Eind 2020 zegt het merendeel van de ondervraagde organisaties dat ze niet alleen aan de AVG voldoen, ze geven zichzelf daarvoor zelfs het cijfer 8 of hoger. In de IT- en telecommunicatiesector vindt ruim de helft dat een 9 of 10 op zijn plaats is.

Dat is op zijn minst opvallend te noemen. Want uit het onderzoek dat DPO Consultancy in het najaar van 2020 deed, komen behoorlijk wat pijnpunten naar voren. Het adviesbedrijf, gespecialiseerd in privacy management en gegevensbescherming, bracht de stand van zaken rond de AVG in kaart met een online onderzoek onder 150 organisaties in ons land, van klein tot groot.

Wel of geen FG?

Ondanks het hoge rapportcijfer dat veel organisaties zichzelf toebedelen, blijkt bijvoorbeeld een kwart géén Functionaris Gegevensbescherming (FG) oftewel Data Privacy Officer (DPO) te hebben. Bij organisaties met minder dan 50 werknemers is dat bijna de helft. Terwijl het in veel gevallen wel verplicht is om zo’n onafhankelijke deskundige voor databescherming en privacy in huis te hebben.

Zo moeten overheids- of publieke organisaties altijd een FG hebben. Net als organisaties die vanuit hun kernactiviteiten individuen op grote schaal volgen en hun activiteiten in kaart brengen. Denk bijvoorbeeld aan bedrijven die aan risicoprofilering doen. Tot slot is een FG ook een must als een organisatie op grote schaal bijzondere persoonsgegevens verwerkt, zoals privacygevoelige informatie over geaardheid, ras, geloof of gezondheid.

Investeren in AVG-compliance

Een andere belangrijke vraag is of organisaties bereid zijn geld te investeren in AVG-compliance. Ja, zegt driekwart, daar hebben we geld voor vrijgemaakt. Maar bij een op de vijf gebeurde dit niet. Bij het beschikbaar stellen van financiële middelen speelt de organisatieomvang duidelijk een rol. Hoe groter de organisatie, hoe meer ze bereid is om budget beschikbaar te stellen om aan de AVG te voldoen. Grote kostenposten zijn het inrichten van software en cybersecurity. Dat geldt vooral bij grote organisaties. Ook in het opstellen en bijhouden van een verwerkingsregister wordt vaak geïnvesteerd. Daarin staat informatie over de persoonsgegevens die een organisatie verwerkt.

Register verwerkingsactiviteiten lastig

Zo’n verwerkingsregister is niet altijd verplicht volgens de AVG, maar vaak wel. Dat hangt van de omvang en het soort organisatie af. Het goede nieuws is dat 86% van de organisaties tegenwoordig een verwerkingsregister bijhoudt. Maar dat vinden ze niet gemakkelijk, zo blijkt uit ons onderzoek. Vier op de tien organisaties heeft er moeite mee. Het bijhouden van een verwerkingsregister wordt zelfs genoemd als derde grootste uitdaging op weg naar AVG-compliance.

Wat ook in het oog springt, is dat bijna een op de vijf organisaties geen software gebruikt voor de registratie van de verwerkingsactiviteiten. Van degenen die dit wel doen, maakt iets meer dan de helft gebruik van algemene applicaties, zoals Excel. Nog geen kwart heeft er een speciaal programma voor.

Noodzaak tot opleiding

Educatie staat aanmerkelijk minder hoog op de financiële AVG-agenda van organisaties. Vooral kleinere organisaties blijven achter met de investeringen op dit gebied. Dat is vooral opmerkelijk omdat de bewustwording van medewerkers bij ruim de helft van alle organisaties de belangrijkste hindernis is bij het voldoen aan de AVG. Ook bij het opzetten en actueel houden van het privacybeleid noemen ze een gebrek aan kennis en/of ervaring als een van de struikelblokken.

Ontbreken permanente educatie

Hoewel de bereidheid om in educatie te investeren dus tegenvalt, voldoen de meeste organisaties wel aan de verplichting tot permanente educatie rond de AVG. Dat gebeurt intern, via e-learning of door een externe partij. De opleidingsactiviteiten blijven echter vaak beperkt. Zo organiseert vier op de vijf organisaties minimaal eens per jaar een training of cursus om medewerkers meer te leren over de AVG en wat de regels in de praktijk betekenen. Bijna een op de vijf doet dat twee keer per jaar. Een even groot aandeel organiseert helemaal geen AVG-opleiding voor het personeel. Dat geeft te denken.

Datalekken vastleggen

Organisaties moeten de nodige maatregelen nemen om te voorkomen dat privacygevoelige data op straat komen te liggen. Anders riskeren ze naast een serieuze boete door de Autoriteit Persoonsgegevens (AP), ook forse reputatieschade. Toch blijkt dat makkelijker gezegd dan gedaan. Meer dan de helft van de ondervraagde organisaties zegt te maken te hebben gehad met datalekken. Bij een kwart van hen ging het om minder dan 10 lekken. Bijna een op de vijf zegt meer dan 40 datalekken te hebben gehad. Het overgrote deel van de organisaties houdt keurig het verplichte register voor datalekken bij, maar liefst 86%. Hoe groter de organisatie, hoe vaker er zo’n register is.

Nog veel te doen

De conclusie? Nederlandse organisaties hebben stappen gezet om aan de AVG-regels te voldoen. Vooral grotere organisaties, die natuurlijk ook meer middelen tot hun beschikking hebben. Maar we zijn er nog lang niet. Zeker als je bedenkt dat er naast alle eerder in dit artikel genoemde uitdagingen, méér aandachtspunten zijn. Neem bijvoorbeeld de registratie van gegevens van kinderen, waar op dit moment nog weinig aan gebeurt. Vaak is daar geen apart beleid voor.

Privacyrisico’s verkleinen

Positief gezien zijn de meeste organisaties zich wel bewust van de noodzaak voor privacybescherming en hun verantwoordelijkheid daarin. Zo liet iets meer dan twee derde sinds de invoering van de AVG minimaal één keer een Data Protection Impact Assessment (DPIA) uitvoeren. Door op die manier de privacyrisico’s van hun gegevensverwerking in kaart te brengen, kunnen ze gericht maatregelen nemen om deze risico’s te verkleinen. En dat is een goed begin.

Meer weten over de stand van zaken rond de AVG en de belangrijkste uitdagingen onderweg naar compliance? Download hier het volledige rapport.