Kennisniveau AVG kan hoger, geen angst voor controle
Het is 25 mei aanstaande een jaar geleden dat de Algemene verordening gegevensbescherming (AVG) zijn intrede deed. De verwachting is dat organisaties inmiddels aan de vereisten van deze wet voldoen en de kennis over de AVG toereikend is. In dat geval zouden organisaties een controlebezoek natuurlijk fluitend tegemoet zien. Uit recent onderzoek blijkt echter een tegenstrijdigheid tussen het kennisniveau van de AVG en het vertrouwen op een goede afloop van een controle.
Rendement liet een jaar ervaringen met de AVG onderzoeken door Motivaction. In totaal beantwoordden 1.276 professionals vragen over onder andere voorbereidingen op de AVG, kennis en attitude, controle en de rol van de ondernemingsraad bij de implementatie van de AVG binnen de organisatie. Het onderzoek bevatte een aantal kennisvragen, bijvoorbeeld wat onder de AVG persoonsgegevens zijn of wanneer een datalek gemeld moet worden.
Ook FG geeft niet de juiste antwoorden
Bij algemene gegevens is het veelal bekend of het onder de AVG om persoonsgegevens gaat, bijvoorbeeld etniciteit of geloofsovertuiging. Ook weet de meerderheid dat gegevens over organisaties geen persoonsgegevens zijn. Wanneer het gaat om minder standaard informatie, dan is de kennis beperkt. Ruim driekwart van de professionals geeft aan dat gegevens over overleden personen persoonsgegevens zijn (77%). Ook van de professionals die functionaris voor de gegevensbescherming (FG) zijn, geeft twee derde aan dat deze gegevens persoonsgegevens zijn (65%). Maar volgens de AVG-wetgeving zijn gegevens over overleden personen geen persoonsgegevens. Als het gaat om datalekken, is de kennis ook niet optimaal. Professionals geven veelal aan dat een datalek altijd gemeld (tool) dient te worden bij de betrokkenen (72%) en bij de Autoriteit Persoonsgegevens (64%). Maar dat is alleen noodzakelijk als er risico's zijn voor de privacy van de betrokken personen. Ook de FG’s (e-learning) weten niet altijd het juiste antwoord te geven op de uitspraken. Zo zegt 54% dat een datalek altijd gemeld moet worden bij de betrokkenen.
Vol vertrouwen over controle implementatie van de AVG
Ondanks het percentage foute antwoorden en het feit dat dat de kennis over de wet naar een hoger plan getild kan worden, is er geen angst voor een bezoek van een inspecteur die naleving van de AVG controleert. Ruim de helft (55%) van de professionals ziet een eventuele controle op naleving van de AVG met vertrouwen tegemoet. Mogelijk speelt hierbij een rol dat het feit dat een organisatie bezig is geweest met de implementatie van de wet al geruststelt. Want hoewel 52% van de ondervraagden niet kan benoemen welke voordelen de invoering van de AVG heeft, noemt 22% van wie wel een antwoord heeft het bewust omgaan met (persoons)gegevens en privacy een gevolg van de AVG.
Data Protection Impact Assessment vooral bij grote organisaties
Eén op de twintig professionals geeft aan dat de organisatie al eens een externe controle heeft gehad op naleving van de AVG (5%). Grote organisaties met 500 of meer personen geven vaker aan dat ze een externe controle hebben gehad (10%). Bijna een kwart van de professionals heeft al eens een Data Protection Impact Assessment (e-learning) laten doen (23%). Voornamelijk de professionals bij organisaties met 500 of meer werknemers geven aan dat er reeds een Data Protection Impact Assessment heeft plaatsgevonden (45%). Een kwart van de professionals vindt dat zijn of haar organisatie meer zou moeten doen aan de controle op naleving van de AVG (25%).