Lange tijd hadden bedrijven in Amerika relatief weinig te maken met privacybescherming. Ook de bijna twee jaar geleden ingevoerde General Data Protection Act (GDPR) leek in eerste instantie vooral een Europese aangelegenheid. Maar niets bleek minder waar. Ieder Amerikaans bedrijf dat informatie opslaat of verwerkt over Europese burgers, moet aan de GDPR voldoen. En begin dit jaar, introduceerde de staat Californië de California Consumer Protection Act (CCPA).
Om beter inzicht te krijgen in de impact die deze nieuwe reguleringen hebben op de compliance-activiteiten van Amerikaanse organisaties, hebben mijn Amerikaanse collega’s eind 2019 een korte enquête gehouden. In dit artikel deel ik hun resultaten en enkele voorzichtige conclusies.
Belangrijkst bevindingen
- Van de 41 procent van de respondenten die aangaven dat ze persoonlijke gegevens over burgers in de EU verzamelen, geeft slechts 69 procent aan dat ze momenteel voldoen aan de algemene verordening gegevensbescherming van de EU.
- 40% van de ondernemingen die zakendoet met consumenten of bedrijven in Californië, heeft nog geen data impactanalyse uitgevoerd.
- Bijna de helft van de respondenten (46%) gebruikt een combinatie van handmatige en technologische oplossingen om gegevens te beschermen. 20% heeft hiervoor slechts handmatige processen ingesteld.
- Respondenten geven hun huidige eDiscovery een 3,8 (van de 5).
- Afhandelen van inzageverzoeken is voor 12% de grootste uitdaging als het gaat om compliancy met privacyregelgeving.
- 21% van de respondenten besteedde meer dan $ 100.000 om zich voor te bereiden op de regelgeving voor privacybescherming. 21% is van plan meer personeel in te huren om privacy kwesties af te handelen.
Iets meer dan 40 procent van de respondenten verzamelt gegevens over EU-burgers
Van de respondenten in de enquête geeft 41% aan dat ze persoonsgegevens verzamelen van burgers in de EU. Van deze respondenten zegt slechts 71% dat ze momenteel voldoen aan de GDPR. Anderen geven aan dat ze zich in de implementatiefase bevinden, nog niet zijn begonnen met het implementeren van een oplossing of het gewoon niet weten.
Meer dan de helft van de respondenten moet voldoen aan de CCPA
Een van de eerste serieuze Amerikaanse tegenhangers van de GDPR is de California Consumer Privacy Act (CCPA) die in januari van kracht werd. De CCPA is ontworpen om consumenten in Californië het eigendom en controle over hun persoonsgegevens te geven. Zij krijgen daarnaast het recht om bedrijven verantwoordelijk te houden voor de informatie die ze verzamelen en verwerken als onderdeel van hun activiteiten. De CCPA was de eerste in zijn soort. Inmiddels hebben 17 extra staten het voorbeeld gevolgd.
Op de vraag of het bedrijf zakendoet met consumenten of bedrijven in Californië, antwoorde 60 procent bevestigend. Zes procent gaf aan het niet te weten.
Van de bedrijven die zakendoen in Californië, heeft iets meer dan de helft een data impactanalyse uitgevoerd.
Reageren op inzagverzoeken uitdaging om compliant te zijn
Bedrijven lijken in het algemeen moeite te hebben om compliant te blijven in het steeds weer veranderende regelgevingslandschap. Het updaten van bedrijfsbeleid om hieraan te voldoen en het verbeteren van beveiligingscontroles worden als uitdagingen genoemd.
Interessant is dat meer dan 12 procent van de respondenten het omgaan met inzageverzoeken als een van de grootste uitdagingen beschouwt.
Klaar voor inzageverzoeken
In beide privacyregelgeving zijn het "Recht op inzage" (GDPR) of "Recht om te weten" (CCPA) en het "Recht om te worden vergeten" (GDPR) en "Recht om te verwijderen" (CCPA) belangrijke rechten. Het aantal aanvragen op basis van deze rechten is het afgelopen jaar enorm toegenomen. Elke organisatie is verplicht om deze rechten zo goed mogelijk en binnen de strikte periode van (meestal) 30 dagen na te leven. In een vorige blog hebben we al de stappen besproken die u kunt nemen om de impact van inzageverzoeken voor uw organisatie te beperken.
In de Amerikaanse enquête werden de respondenten ook gevraagd hoe ze toegangsverzoeken behandelen. Bijna de helft van de respondenten lijkt een combinatie van handmatige en technologische oplossingen te gebruiken.
Twintig procent van de respondenten heeft alleen handmatige processen geïnstalleerd. En een alarmerende 11% heeft geen (duidelijk) idee over hoe inzageverzoeken binnen hun organisatie worden afgehandeld.
De voordelen van technologie
Als leverancier van eDiscovery technologie zie ik maar één toekomstbestendige manier om inzageverzoeken effectief af te handelen. Het gebruik van geavanceerde zoektechnologie is de enige manier om de benodigde informatie volledig en snel te verzamelen. Technologie is ook nodig om de persoonsgegevens van anderen dan de aanvrager te beschermen.
De aanvrager heeft alleen recht op inzage in zijn of haar eigen persoonlijke identificeerbare informatie (PII). Alle persoonsgegevens van anderen en mogelijk vertrouwelijke informatie moeten volledig worden bewerkt.
De kosten van compliance
Mijn collega’s hebben ook geïnventariseerd hoeveel organisaties hebben uitgegeven aan consultancy en technologische oplossingen om zich voor te bereiden op de privacywetgevingen. 29% van de respondenten besteedde meer dan $ 100.000; 35% minder dan $ 100.000. 8% gaf zelfs meer dan een miljoen uit. En 34% van de onderzochte organisaties wist niet zeker hoeveel er werd uitgegeven.
Natuurlijk omvatten de kosten voor naleving niet alleen technologische oplossingen. 2 van de 10 van onze respondenten weten al dat ze dit jaar meer personeel zullen aannemen, met name om kwesties op het gebied van privacybescherming te behandelen.
Non-compliance is altijd duurder
We weten allemaal dat de kosten van non-compliance zoveel hoger kunnen zijn dan de kosten van naleving. Alleen al de boetes: de GDPR-boetes voor niet-naleving of data-inbreuk kunnen oplopen tot 4% van de jaarlijkse wereldwijde omzet van het bedrijf of 20 miljoen euro, afhankelijk van welk bedrag groter is.
CCPA-boetes worden toegepast per overtreding, hebben geen maximum en er zijn (nog) geen sancties voor niet-naleving. Wel biedt CCPA de consument de mogelijkheid het bedrijf aan te klagen wegens schending.
Organisaties beschouwen een eDiscovery-platform niet altijd als de oplossing om hen te helpen te voldoen aan de regulering voor de bescherming van persoonsgegevens. Ten onrechte. De workflow is hetzelfde. eDiscovery is het verzamelen en indexeren van ongestructureerde data zodat deze grondig kan worden bewerkt en doorzocht. Het gebruik van de juiste eDiscovery-oplossing leidt daarom tot een snellere, efficiëntere en minder verstorende afhandeling van inzageverzoeken en zorgt daarnaast voor de bescherming van persoonlijke informatie met betrekking tot andere personen dan de aanvrager.
Deze info-graphic heeft alle resultaten. En hier vindt u meer blogs over privacy reguleringen.