Witold Kepinski - 12 oktober 2022

Benchmark belicht hoe Belgische organisaties omspringen met GDPR

Benchmark belicht hoe Belgische organisaties omspringen met GDPR image

Deloitte Belgium en Beltug publiceren een rapport over hoe Belgische organisaties omgaan met de vereisten van de General Data Protection Regulation (GDPR) uit 2018 en hoe de rol van data protection officers in de praktijk wordt ingevuld. De General Data Protection Regulation (GDPR) is bedoeld om de privacy van de Europese burgers drastisch te verbeteren. Alle organisaties moeten privacy serieus nemen en hiervoor een Data Protection Officer (DPO) aanstellen. Met dit onderzoek willen Deloitte Belgium and Beltug middelgrote en grote ondernemingen en hun DPO's een benchmark aanreiken om hun manier van werken te vergelijken met die van andere organisaties.

De DPO speelt een belangrijke rol in privacybeheer. Het gaat om een nieuwe functie en veel ondernemingen zijn op zoek naar informatie over hoe andere organisaties hun privacy-uitdagingen aanpakken. DPO's bekleden een bijzondere positie want ze werken binnen de onderneming om de privacykeuzes te sturen, maar moeten ook onafhankelijk blijven. Het zijn de afdelingen binnen de onderneming die de beslissingen nemen en de privacymaatregelen implementeren.

Rol en positie van DPO in elke organisatie anders
Uit de enquête blijkt hoe sterk de tewerkstelling van DPO's verschilt bij verschillende organisaties. Zo maakt iets meer dan de helft van de organisaties gebruik van een voltijdse DPO en externe medewerkers om privacy-gerelateerde issues te helpen ondersteunen. Andere organisaties hebben slechts een deeltijdse DPO aangesteld, zonder externe ondersteuning. De privacy-uitdagingen van een B2C-bedrijf zijn natuurlijk anders dan die van een industriële fabriek.

Het onderzoek wijst ook uit dat DPO's aan de slag zijn bij uiteenlopende businessunits: bij 23% van de respondenten gaat het om de juridische afdeling, bij nog eens 23% om de afdeling Compliance, bij 9% om de afdeling IT & Security en bij 45% om andere afdelingen.

“Deze verschillen tonen aan dat er momenteel geen specifiek voorkeursmodel bestaat voor DPO's. Verder toont de enquête aan dat ook het jaarbudget voor gegevensbescherming sterk verschilt van bedrijf tot bedrijf. De meeste respondenten meldden dat hun middelen sinds 2018 stabiel gebleven zijn. Inmiddels, door de steeds snellere evolutie van de wereldwijde regelgeving rond de bescherming van (digitale) gegevens voorspellen we dat organisaties die er niet in slagen om de rol van de DPO nauwkeurig vast te leggen en de nodige middelen toe te wijzen, het risico lopen om ernstig achterop te raken wat betreft hun verplichtingen rond gegevensbescherming”, zegt Alexandra Jaspar, Director & Privacy lead Data Protection and Privacy bij Deloitte. “De toenemende digitalisering die leidt tot een snel groeiend gebruik van persoonlijke data brengt nieuwe uitdagingen met zich mee.”

Compliancedomeinen die financiële of reputatieschade vermijden krijgen prioriteit
De resultaten van de survey tonen aan dat de domeinen van compliance met de hoogste maturiteit het beheer van gegevensverzoeken en gegevensinbreuken zijn. De maturiteit van deze domeinen ondersteunt het idee dat organisaties ervoor gekozen hebben om prioriteit te geven aan privacyverplichtingen met een duidelijke ‘externe’ component.

Danielle Jacobs, CEO van Beltug: “De DPO's in de enquête geven aan dat rechtszekerheid een doorslaggevende factor is voor de prioriteiten van een organisatie. Als er glasheldere regels zijn voor een bepaald compliancedomein, is het voor een organisatie eenvoudiger om keuzes te maken. Wanneer regels echter op verschillende manier geïnterpreteerd kunnen worden, tonen organisaties zich eerder terughoudend, stellen ze hun acties uit en wordt er mogelijk getwijfeld aan het advies van hun DPO.”

De enquête heeft ook aangetoond dat het maturiteitsniveau van de verschillende gegevensbeschermingsinitiatieven sterk varieert. Tegelijk zien we dat de regels inzake gegevensbescherming voortdurend evolueren door nieuwe regelgeving, vonnissen van rechtbanken en regelgevende richtlijnen. Door al die factoren zijn de zogenaamde basisverwachtingen op het vlak van compliance aan het veranderen. Hierdoor zullen organisaties ook moeten focussen op gegevensbeschermingsaspecten waar tot nu toe minder aandacht aan is besteed, zoals gegevensoverdracht naar derden, de bewaring van documenten, ingebouwde privacy, enz.

Cultuur en processen voor change management zijn cruciale uitdagingen voor de compliance inzake gegevensbescherming
Bij de vraag wat volgens DPO’s vandaag de belangrijkste uitdagingen zijn, stippen ze de gegevensoverdracht naar andere landen aan, het toewijzen (afdwingen) van de juiste aansprakelijkheid op bedrijfsniveau en het lokaliseren van gegevens binnen de organisatie.

Volgens de enquête zijn DPO's ervan overtuigd dat het beleid rond persoonsgegevens en informatiebeveiliging beter kan en zijn deze terreinen het belangrijkst in het operationele landschap van hun organisatie. Het gaat om drie centrale domeinen waar er een gebrek is aan bestuur: onvoldoende bewustzijn en ondersteuning aan de top van het bedrijf, geen duidelijke bepaling van de aansprakelijkheid inzake privacy of afdwinging van het beleid en onvoldoende bruikbare beleidslijnen en procedures.

Erik Luysterborg, Data Privacy and Data Protection partner bij Deloitte: “Samenwerken met een DPO en een correct niveau van gegevensbescherming verzekeren is een kwestie van cultuur en change management. Om de compliance te verzekeren moet gegevensbescherming immers inherent deel uitmaken van de processen, interne regels en werkwijze van de organisatie. De DPO kan en mag hier niet alleen voor instaan.”

Over dit onderzoek
De kwalitatieve enquête omvatte 44 gerichte vragen en werd afgenomen bij ongeveer 30 leden van de Beltug Privacy Council afkomstig uit de belangrijkste economische sectoren, zoals financiële, bancaire en verzekeringsdiensten, de gezondheidszorg, de farmasector en de openbare sector. De respondenten waren zowel voltijdse als deeltijdse DPO's bij grote en middelgrote Belgische organisaties.

Download het volledige rapport hier.

Axians 12/11/2024 t/m 26/11/2024 BN+BW