Budgetten voor privacybescherming nemen fors toe

Privacy komt steeds vaker hoog op de agenda te staan van bestuurders, blijkt uit de Nationale Privacy Benchmark (NPB). Enerzijds omdat de risico’s van cybercrime en financiële boetes toenemen, anderzijds omdat organisaties op privacy vlak voor willen lopen, vanuit eigen overtuiging of vanuit de wens om klanten te behouden. Naar verwachting zullen de privacy-budgetten van organisaties met dubbele cijfers groeien.

De afgelopen jaren zijn privacy en persoonlijke klantgegevens in de handen van bedrijven een belangrijk punt van discussie geweest. Gedreven door de megapotentie die schuilgaat in data – data wordt door velen gezien als het nieuwe goud – zijn organisaties in alle sectoren hun vermogen om data te verzamelen, op te slaan en te analyseren aan het vergroten. Door de toepassing van analytics en de inzet van algoritmen kunnen waardevolle inzichten aan de data worden onttrokken, die bedrijven kunnen helpen bij het verbeteren van hun dienstverlening om zo hun concurrentie te slim af te zijn. Maar tegelijkertijd brengt deze onstilbare honger naar data de privacy van klanten in het geding. Vandaag de dag kan feitelijk alle data opgeslagen worden door apps, sites of camera’s. De lijn tussen commercieel gebruik en het misbruik van digitale rechten, of de risico’s op cyberdiefstal, is al meerdere malen dun gebleken.

Om inzichtelijk te maken hoe organisaties omgaan met privacy, en welke implicaties hun keuzes hebben op de bedrijfsvoering, heeft Verdonck, Klooster & Associates (VKA) recentelijk onderzoek gedaan onder managers uit de private en de publieke sector. Uit het surveyonderzoek is gebleken dat maar liefst 91% van de respondenten van mening is dat in de komende jaren de bescherming van persoonsgegevens een van de belangrijkste prioriteiten is voor organisaties. Dit percentage is vergelijkbaar met de resultaten van de vorige editie van het onderzoek, toen 90% van de deelnemers vond dat de bescherming van persoonsgegevens prioriteit had.

De impact van strengere wetgeving

Meer dan een kwart van managers noemt wetgeving als belangrijkste aanleiding om het onderwerp privacy hoger op de agenda te zetten. Hierbij verwijzen zij met name naar de Wet Bescherming Persoonsgegevens en de daarbij horende Meldplicht Datalekken die worden gehandhaafd door de Autoriteit Persoonsgegevens (privacy toezichthouder). Organisaties zijn zich er van bewust dat het niet naleven van deze wet hoge boetes met zich mee kan brengen – momenteel gaat het nog om €800.000 boete, maar binnenkort wordt dit verhoogd tot maximaal €20 miljoen of 4% van de jaaromzet. Een groot deel van de respondenten is het niet eens met de hoogte van de boetes: 61% vindt de theoretische hoogte van de boetes overtrokken, versus 31% die de hoogte als passend ervaart. 8% maakt zich niet druk over de boetes, omdat zij niet geloven dat dergelijke bedragen daadwerkelijk zullen worden opgelegd.

Volgens de auteurs geeft het hoop dat 58% van de respondenten aangeeft dat hun focus op privacy voortkomt uit een gevoel van verantwoordelijkheid. “Hierbij zien we dat de strengere wetgeving als een katalysator lijkt te hebben gewerkt om de bescherming van privacy op dit punt serieuzer te nemen”, vertelt Frank van Vonderen, management consultant Privacy bij VKA. Twee andere factoren die genoemd worden zijn de ‘vraag van klanten’ naar privacybescherming en het feit dat goede bescherming van persoonsgegevens organisaties helpt om zich ‘positief te profileren’.

Verder geeft het onderzoek inzicht in de mate waarin (de verantwoordelijkheid voor) privacybescherming belegd is binnen de organisatie. Uit het onderzoek blijkt dat Controle en advies goed belegd zijn en ook dat desbetreffende afdelingen goed op de hoogte zijn van de taken die nodig zijn voor de uitvoering. Met name de sturing op het gedrag van de individuele medewerkers en het formeel beleggen van en inhoud geven aan de verantwoordelijkheid van de directie zijn binnen organisaties nog niet altijd belegd. Verder valt op dat de rol van Functionaris Gegevensbescherming (FG) bij bijna twee derde van de organisaties nog niet goed is belegd. “Ten opzichte van vorig jaar is op dit punt weinig progressie geboekt”, zegt Van Vonderen.

Dit heeft volgens de onderzoeker voor een belangrijk deel te maken met het feit dat de beroepsgroep uitermate verdeeld is over de rol die een functionaris gegevensbescherming (FG) zou moeten bekleden. Volgens sommigen is de FG een toezichthouder, terwijl andere het meer een adviseur vinden. Volgens nog een andere groep zit de rol van de FG hier juist tussenin. Van Vonderen: “In vergelijking met de vorige editie van de benchmark is de balans wel aan het doorslaan naar de toezichthoudende rol (van 21% in 2015 naar 40% in 2016). Het aantal respondenten dat vindt dat de FG evenveel toezichthouder als adviseur is, is afgenomen.” De verschuiving is in zijn ogen een teken van kentering die in lijn is met de naderende Europese wetgeving, die voorschrijft dat de ‘data protection officer’ vooral toezichthoudende taken op zijn bord heeft.

Privacyrisico’s

Een andere interessante uitkomst uit de studie is dat niet technische maatregelen de belangrijkste pijler zijn van het beschermen van persoonsgegevens, maar juist organisatorische (77%) en menselijke risico’s (70%). Dit heeft enerzijds te maken met de toegenomen aandacht voor datalekken die het gevolg zijn geweest van onzorgvuldig menselijk handelen, en anderzijds met de toenemende eenvoud waarmee werknemers persoonlijke data kunnen gebruiken – en dus ook verliezen.

Het belangrijkste risico dat door respondenten genoemd wordt is het te veel en te lang bewaren van gegevens. “Dit is niet verrassend, omdat de neiging om te veel en te lang te bewaren hardnekkig is en in tegenstrijd is met andere ontwikkelingen, waarbij veel data wordt verzameld om deze ook later te kunnen correleren”, aldus Van Vonderen. Hij voegt daar aan toe dat hij voorziet dat deze uitdaging in de komende jaren alleen maar zal toenemen. “Bij digitalisering is vaak niet nagedacht over bewaartermijnen en over hoe gegevens (selectief) kunnen worden verwijderd.”

In hun streven om bij te blijven in het steeds sneller veranderende risicolandschap, verwacht de meerderheid van de ondervraagde managers dat de budgetten voor de bescherming van persoonsgegevens de komende periode zullen toenemen. Op alle punten verwacht een grote meerderheid dat het budget met meer dan 25% zal groeien voor de kosten die gemoeid zijn met technische beveiliging (73%) en met de trainingen voor medewerkers (60%). Ook nemen de kosten voor de inzet van resources in de privacy organisatie volgens de respondenten toe.

Van Vonderen vindt het een goede ontwikkeling dat over de hele linie organisaties zich bewustzijn van hun verantwoordelijkheid en klaarstaan om te anticiperen op de groeiende noodzaak voor aandacht en focus. Hij hoopt tegelijkertijd dat organisaties nog een stapje verder durven gaan. “Wij zien privacy niet alleen als een verantwoordelijkheid of verplichting, maar juist als káns. In een wereld die digitaliseert zijn organisatie in toenemende mate afhankelijk van de gegevens die klanten of burgers hun toevertrouwen. Het is daarom van groot belang om privacy goed te regelen en het vertrouwen van klanten te behouden!”

Gerelateerd: Markt voor privacy consultancy neemt vlucht door GDPR | AVG.