Datum: 9-12-2010
Nederlandse organisaties slordig met privacybescherming
persoonsgegevens
Nederlandse organisaties gaan slordig om met de persoonsgegevens van
hun klanten, relaties en medewerkers en zijn onvoldoende op de hoogte
van de wettelijke eisen die daaraan gesteld worden. Daarnaast zijn zij
nauwelijks in staat privacyrisico's op hun waarde te schatten en de
juiste maatregelen te treffen om de privacy te beschermen.
Dit blijkt uit onderzoek van KPMG en TNS-Nipo onder bijna 300
Nederlandse organisaties naar de vraag hoe zij omgaan met privégegevens
en naar de mate waarin zij bekend zijn met de privacywetgeving.
Ruim 80% van de onderzochte organisaties vindt dat zij de
privacywetgeving goed naleeft, terwijl een minderheid dit daadwerkelijk
heeft laten toetsen. Ook de evaluatie-instrumenten, zoals de
privacy-audit of -zelfevaluatie die de toezichthouder, het College
Bescherming Persoonsgegevens, beschikbaar stelt, blijken in beperkte
mate bekend te zijn en toegepast te worden.
Volgens Ronald Koorn, partner bij KPMG IT Advisory, moet iedere burger
ervan uit kunnen gaan dat een organisatie goed omgaat met zijn
persoonsgegevens en dat adequate maatregelen getroffen zijn om te
voldoen aan de steeds strenger wordende privacywetgeving en toenemende
boetes. Koorn: "De praktijk wijst echter uit dat dit niet het geval is
en dat is een gemiste kans. Organisaties schatten hun privacyrisico's
veel te laag in. Uit het onderzoek blijkt dat het aantal
privacyincidenten sterk toeneemt, vooral in de financiële en publieke
sector. Dit kan leiden tot reputatieschade en identiteitsdiefstal.
Maar in de praktijk zien wij dat privacybescherming slechts in enkele
gevallen structureel is ingevoerd in de organisatie. Dat wil zeggen dat
privacybescherming terugkomt in alle interne en uitbestede processen en
systemen. Niet alleen van de gehele levenscyclus - tot en met
verwijdering - van elektronische gegevens, maar ook die op papier,
zoals in het personeelsdossiers en op systeemoutput. Het gaat daarbij
niet alleen om klant- en HR-gegevens, maar bijvoorbeeld ook over
internet- en videomonitoring van medewerkers. Meer dan de helft van de
organisaties maakt hiervan namelijk gebruik."
Uit het onderzoek van KPMG blijkt dat organisaties er veelal op gericht
zijn om op minimale wijze te voldoen aan wet- en regelgeving. Koorn:
"Privacy wordt veelal gezien als een compliance- en kostenpost, een
'noodzakelijk kwaad'. Wat organisaties nu nog onvoldoende inzien is dat
goede privacybescherming ook voordelen heeft, zoals klant- en
medewerkerbehoud en stroomlijning van gegevensverwerking en
-archivering.
Veel organisaties geven daarentegen wel aan privacydoelstellingen te
hebben geformuleerd. Bij tweederde staat dit momenteel zelfs in de top
tien van bedrijfsdoelstellingen. Maar bij de vertaalslag naar de
interne organisatie blijft het vaak bij een privacystatement, enkele
procedures en een globale training. De verantwoordelijkheid voor
privacy blijkt nogal gefragmenteerd te zijn, wat een coherente
overzicht en aanpak bemoeilijkt en een beperkte juridische benadering
wordt gekozen.
Het onderzoek laat zien dat organisaties het begrip 'privacy'
onvoldoende doorgronden en daardoor de doelstellingen onvoldoende
vertalen naar een samenhangend geheel van maatregelen. Privacy en
informatiebeveiliging worden ten onrechte als identiek gezien. Ook
worstelen organisaties met de privacygevolgen van fusies, overnames,
internationale gegevensuitwisseling, offshoring en cloud computing.
Om de privacy beter te kunnen waarborgen dienen organisaties dan ook na
te gaan wat privacy precies voor hun organisatie betekent. Een
effectieve aanpak start met het erkennen dat privacy niet alleen een
juridisch- of compliance-issue is, maar ook belangrijke voordelen heeft
op het gebied van marketing, personeel en maatschappelijk verantwoord
ondernemen."
Voor meer informatie kunt u contact opnemen met Andy Bellm, +31 20 656
7039.