Privacy benchmark voor organisaties: bewust van de gevaren en maatregelen tegen privacyrisico’s

22 juni 2021 – Nederland is goed voor een kwart van alle Europese datalekmeldingen. Jaarlijks neemt het aantal datalekken toe en de verwachting is dat dit aantal blijft stijgen de komende jaren. Organisaties moeten zich bewust zijn van hun verantwoordelijkheden om persoonsgegevens te beschermen en juist te verwerken. Maar voeren organisaties dit volgens de richtlijnen van de AVG correct uit? Mazars zocht dit uit, wat resulteerde in een benchmark.

Om als organisatie aan de privacy-eisen te voldoen, is naast begrip van de relevante wet- en regelgeving ook inzicht in de specifieke en sectorale risico's van de verwerking van persoonsgegevens noodzakelijk. Veelal zijn digitale systemen in gebruik en niet zelden toegankelijk via het internet. Naast dat het internet specifieke risico's introduceert, laat het ook zien hoe organisaties omgaan met privacybescherming en de beveiliging van persoonsgegevens.

Hoewel de AVG ruim drie jaar geleden van kracht werd, blijkt dat veel organisaties helaas nog steeds niet altijd adequaat omgaan met gevoelige data. Met deze benchmark willen we een bijdrage leveren aan een veiligere en privacy bestendige digitale omgeving waarin de persoonsgegevens van betrokkenen adequaat worden beschermd.

De belangrijkste bevindingen uit onze benchmark zijn:

Actueel houden van privacydocumentatie

  • De meeste organisaties hebben de basisdocumenten omtrent privacy opgesteld.
  • 25% van de onderzochte organisaties heeft geen informatiebeveiligingsbeleid.
  • Vaak blijft het actueel houden van privacydocumentatie achterwege.

Data Protection Impact Assessment (DPIA)

  • Slechts 16% van de onderzochte organisaties heeft afgelopen jaar een DPIA voor nieuwe gegevensverwerkingen uitgevoerd.
  • Het merendeel van de onderzochte organisaties heeft geen DPIA uitgevoerd om de risico’s in kaart te brengen van de potentieel gevoelige gegevensverwerkingen.

Cookies en Google Analytics

  • De onderzochte organisaties hebben cookies en het eventueel gebruik van Google Analytics nog onvoldoende AVG-compliant ingesteld.
  • 82% van de onderzochte organisaties hanteert een werkwijze voor het gebruik van cookies die in formele zin niet voldoet aan de wet- en regelgeving van de AVG.
  • Organisaties die Google Analytics gebruiken werken niet conform de AVG als het gaat om het delen van IP-adressen met derde partijen.

Privacyrisico’s verminderen

Mazars helpt organisaties graag bij het verminderen van privacyrisico’s. Een belangrijke eerste stap is het beschikken over basisdocumenten omtrent privacy, zoals een register van verwerkingsactiviteiten of een privacyverklaring op de website. Mazars bekijkt voor u welke documenten nog ontbreken en aangevuld dienen te worden. Wist u dat door nieuwe digitale processen tijdens de COVID-19 pandemie het nu nóg belangrijker is om een DPIA uit te voeren? Met deze analyse brengt u gevoelige gegevensverwerkingen in kaart waardoor er passende maatregelen gehanteerd kunnen worden. Mazars kan u helpen bij het uitvoeren van een DPIA.

Meer weten?

Wilt u meer weten over deze benchmark? Neem dan contact op met Jan Matto, Partner IT Audit & Advisory, per e-mail of per telefoon: +31 (0)88 277 13 99. Hij helpt u graag verder.

Document

Privacy benchmark voor organisaties
Privacy benchmark voor organisaties