Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties

www.pwc.nl/privacy

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties PwC Nederland Februari 2015

Inhoudsopgave Introductie Privacy Health Check

3

Managementsamenvatting 6 Resultaten Overzicht van de resultaten per hoofdstuk Privacy in uw organisatie Uw organisatie en het privacyrisico Privacy en uw leveranciers Privacy-incidenten en meldingen Nieuwe privacywetgeving Stellingen Over u en uw organisatie

9 10 11 16 17 20 22 26 31

Bijlagen Bijlage A: Privacy Portfolio van PwC

33 34

Contactgegevens

34

PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties

Inhoudsopgave

2

Introductie Privacy Health Check De bescherming van persoonsgegevens speelt een steeds belangrijkere rol in de maatschappij. Technologische ontwikkelingen stellen organisaties, waaronder die van u, in staat om meer en op uitgebreidere schaal persoonsgegevens te verzamelen, samen te voegen en op te slaan. Tegelijkertijd wordt de samenleving en de politiek kritischer over het gebruik van persoonsgegevens. Dit uit zich in aangescherpte regelgeving waar ook uw organisatie mee te maken krijgt. Om deze redenen heeft PwC de Privacy Health Check uitgevoerd.

Wat is het doel van de Privacy Health Check en hoe kan deze uw organisatie helpen? De Privacy Health Check verschaft een uniek beeld in hoeverre uw organisatie klaar is voor de nieuwe Europese Privacy Verordening (EPV) en in de mate van volwassenheid inzake de bescherming van persoonsgegevens. Daarnaast biedt het de mogelijkheid om de resultaten te vergelijken met andere voor u relevante organisaties. De publicatie geeft daarmee een eerste inzicht in de wijze waarop organisaties in Nederland omgaan met privacy. Het geeft echter geen oordeel over de privacyprestaties en compliance van uw organisatie als geheel. Toegevoegde waarden voor u en uw organisatie zijn de volgende: • b eter begrip van de aard en impact van nieuwe privacywetgeving; • b alans opmaken van de voor u relevante privacyrisico’s; • v ergroten van bewustwording; • p rivacy governance en resilience van uw eigen organisatie evalueren.

www.pwc.nl/privacy


Introductie Privacy Health Check

3

Uitsplitsing van de resultaten In totaal hebben 93 organisaties, uit verschillende sectoren, deelgenomen aan de Privacy Health Check. De resultaten hiervan zijn grafisch weergegeven in de volgende hoofdstukken: • Privacy in uw organisatie; • Uw organisatie en het privacyrisico; • Privacy en uw leveranciers; • Privacy-incidenten en meldingen; • Nieuwe privacywetgeving; • Stellingen; • Over u en uw organisatie. Hoe de resultaten in te zetten voor uw eigen doeleinden Op basis van het overall beeld zoals opgenomen in dit rapport adviseren wij om: 1. H et rapport en de aanbevelingen te bespreken met de privacyverantwoordelijken binnen uw organisatie om hen in staat te stellen de strategische richting uit te stippelen; 2. De strategische richting te vertalen in een actieplan dat onder meer moet leiden tot organisatorische, procedurele en technische maatregelen; 3. P eriodiek de effectiviteit van deze maatregelen te meten.



4

De informatie verkregen via deze survey is uitsluitend gebruikt voor totstandkoming van dit rapport. Wij zijn uiteraard bereid om aan de hand van de uitkomsten de privacystatus van uw organisatie met u te bespreken en u te faciliteren bij de ontwikkeling van een actieplan die past bij uw organisatie en aandachtsgebieden. Met vriendelijke groet,

Erwin de Horde Partner Risk Assurance Yvette van Gemerden Partner Legal Services Adri de Bruijn Partner Consulting Technology



5

Managementsamenvatting



6

Belangrijke zaak

Samenspel vereist

72% van de deelnemende

Bij Het merendeel van incidenten de organisaties % 20 onderkent dat privacy een samenspel is tussen 38% Business, Legal en IT Ad (security). Frequentie hoc van de afstemming varieert. 32%

organisaties zet privacy hoog op de agenda vanuit verantwoordelijkheidsgevoel.

20% doet dit primair

vanwege het risico op reputatieschade of boetes.

Onderscheidend vermogen niet benut Slechts 23% van de deelnemers geeft aan dat privacy een onderwerp is waarmee de organisatie zich actief profileert en onderscheidt in de markt.

Periodiek

Volwassenheid moet groeien

Train uw mensen

Slechts 35% van de deelnemers denkt dat de eigen organisatie gekwalificeerd is om op een (zeer) volwassen manier om te gaan met persoonsgegevens.

Bij 66% van de organisaties heeft in het afgelopen jaar geen training voor de medewerkers plaatsgevonden op het gebied van privacy en persoonsgegevens.

Bij 17% is de omgang met persoonsgegevens onvolwassen.

Bij 48% is de organi satie op dit vlak redelijk volwassen.

Bij 35% is de omgang volwassen tot zeer volwassen.


Ja, e-learnings Ja, trainingen van minder dan een dagdeel Ja, trainingen van één dagdeel Ja, trainingen van meer dan één dagdeel Nee


7

Privacy incidenten stabiel 53% geeft aan dat in 2014

geen privacy incidenten hebben voorgedaan. Bij 22% van de organisaties is het aantal stabiel gebleven ten opzichte van 2013. Toegenomen Afgenomen Stabielgebleven Weet ik niet Niet van toepassing, er hebben zich geen incidenten voorgedaan

Klaar voor de toekomst 12% van de deelnemers

is klaar voor de verwachte 32% privacyregelgeving of is de wijzigingen aan Wijzigingen al geïdentificeerd het implementeren. Van de resterende 88% heeft een minder heid de wijzigingen al 56% geïdentificeerd. Wijzigingen niet geïdentificeerd

Leveranciersafspraken nog niet voldoende

Begrip van de risico’s en impact

43% geeft aan gebruik

52% van de deel

43% 25% 52% 17% 41% 26% te maken van bewerkers overeenkomsten bij inzet van leveranciers. 25% sluit geen bewerkersovereenkomsten af met leveranciers.

Privacy Officer

17% van de deelnemers geeft aan

al een privacy Officer (of Functionaris Gegevensbescherming) te hebben aangesteld. 41% is van plan een Privacy Officer te gaan aanstellen, echter 26% van de organisaties was zich niet bewust dat dit een vereiste is in de verwachte privacyregelgeving.


nemende organisaties voert geen risico analyses (bijvoorbeeld privacy impact assessments) op het gebied van privacy uit.

Right-to-be-forgotten mogelijk maken

82% van de deelnemers heeft

nog geen procedure om verzoeken tot het wissen van persoonsgegevens af te kunnen handelen.


8

Resultaten


Resultaten

9

Privacy in uw organisatie Slechts 35% van de respondenten geeft aan dat de omgang met persoonsgegevens binnen de eigen organisatie volwassen tot zeer volwassen is. Een meerderheid acht de omgang met persoonsgegevens in de eigen organisatie niet volwassen.

Hoe volwassen (ontwikkeld) is naar uw mening de omgang met persoonsgegevens binnen uw organisatie (inclusief koppeling met strategie rapportagevereisten en privacybeleid)?

Bijna een derde van de organisaties heeft geen formeel privacybeleid. In 27% van de organisaties is sprake van een apart privacybeleid terwijl privacy bij 23% van de organisaties onderdeel uitmaakt van het informatiebeveiligingsbeleid.

Heeft uw organisatie een formeel privacybeleid geïmplementeerd?

Onvolwassen

Ja, er is een apart privacybeleid

Redelijk volwassen

Ja, als onderdeel van het algemene beleid

Volwassen

ja, als onderdeel van het informatiebeveiligingsbeleid

Zeer volwassen

Nee

Weet ik niet

Anders, graag toelichten

0%

10%

20%

30% 40%

50% 60%


0% 5% 10% 15% 20% 25% 30% 35%

Privacy in uw organisatie

10

Privacy in uw organisatie Het blijkt dat organisaties de verantwoordelijkheid voor het privacybeleid op veel verschillende niveaus neerleggen. In 10% van de gevallen is niemand hiervoor verantwoordelijk, terwijl ook in veel gevallen is aangegeven dat de verantwoordelijkheid op directieniveau ligt.

Wie is er op dit moment binnen uw organisatie verantwoordelijk voor de implementatie van het privacybeleid?

De vraag waar de verantwoordelijkheid voor het privacybeleid behoort te liggen levert eveneens een diffuus beeld op. Bijna een derde geeft aan dat deze verantwoordelijkheid thuishoort bij de Privacy Officer of de Functionaris Gegevensbescherming.

Wie zou er naar uw oordeel verantwoordelijk moeten zijn voor het privacybeleid binnen uw organisatie?

Chief Information Officer

Chief Information Officer

IT Manager

IT Manager

Privacy Officer

Privacy Officer

Security Officer

Security Officer

Compliance Officer Functionaris Gegevensbescherming Risk Manager

Compliance Officer Functionaris Gegevensbescherming Risk Manager

Hoofd Internal Audit


Legal Counsel

Legal Counsel

Controller

Controller

HR Manager

HR Manager

Niemand

Niemand



0% 5% 10% 15% 20% 25% 30% 35%


0%

5%

10%

15%


20%

25%

11

Privacy in uw organisatie Bij 64% van de deelnemende organisaties is het onderwerp privacy een samenspel tussen IT (Security), de Business en Legal …

Waar is het onderwerp privacy binnen uw organisatie primair belegd?

… maar bij slechts een minderheid van de organisaties vindt periodiek of dagelijks overleg plaats tussen IT (Security), de Business en Legal om het onderwerp privacy te bespreken.

Hoe vaak komen IT (Security) Business en Legal bij elkaar om privacyzaken te bespreken?

Alleen bij incidenten Ad Hoc (zonder directe aanleiding)

Privacy is primair een IT (Security) onderwerp

Periodiek, minimaal jaarlijks

Privacy is primair een Business onderwerp

Periodiek, minimaal eens per kwartaal

Privacy is primair een Legal onderwerp

Periodiek, minimaal maandelijks

Privacy is een samenspel tussen IT (Security), Business en Legal

IT (Security), Business en Legal werken dagelijks intensief samen

Nergens

0% 10% 20% 30% 40% 50% 60% 70%


0% 5% 10% 15% 20% 25% 30% 35% 40%


12

Privacy in uw organisatie Bij ongeveer de helft van de organisaties is niet gedocumenteerd welke persoonsgegevens worden verwerkt. Slechts 16% heeft alle verwerkingen zowel inzichtelijk als gedocumenteerd.

Bij meer dan de helft van de organisaties vindt beoordeling van compliance aan de Wet bescherming persoonsgegevens helemaal niet of uitsluitend op ad hoc basis plaats. Bij 42% van de deelnemende organisaties is sprake van periodieke beoordeling.

Worden privacy en compliance aan de Wet bescherming persoonsgegevens (Wbp) periodiek beoordeeld?

Heeft uw organisatie inzichtelijk en gedocumenteerd welke persoonsgegevens worden verwerkt?

Alle verwerkingen zijn inzichtelijk en gedocumenteerd

Ja, als onderdeel van een reguliere auditcyclus

De meeste verwerkingen zijn inzichtelijk en gedocumenteerd

Ja, beoordeling vindt anderszins periodiek plaats (geen audit)

De meeste verwerkingen zijn inzichtelijk, maar niet gedocumenteerd

Nee, alleen ad hoc

Verwerkingen zijn niet/ slecht inzichtelijk en worden niet gedocumenteerd

Nee, er vindt geen beoordeling plaats

Weet ik niet

Weet ik niet

0%

10%

20%

30%

40%


50%

0%

5% 10% 15% 20% 25% 30% 35%


13

Privacy in uw organisatie Bijna de helft van de organisaties geeft aan geen of vrijwel geen verzoeken tot inzage in persoonsgegevens te ontvangen. 40% van de respondenten geeft aan niet te weten hoe vaak dergelijke verzoeken worden gedaan.

Ruim een derde van de organisaties geeft aan dat het nog onvoldoende waarborgen heeft geïmplementeerd om verzoeken tot inzage in persoonsgegevens adequaat af te kunnen handelen.

Heeft uw organisatie voldoende waarborgen om verzoeken tot inzage in persoonsgegevens af te handelen?

Hoe vaak krijgt u inzageverzoeken op jaarbasis?

0-5 6-20

Ja, wij hebben voldoende waarborgen

21-50

Nee, maar we zouden het moeten hebben

>50

Nee, maar we krijgen nooit dergelijke verzoeken

Weet ik niet

Weet ik niet

0%

10%

20%

30% 40%

50% 60%


0%

10%

20%

30% 40%


50% 60%

14

Uw organisatie en het privacyrisico Meer dan de helft van de deelnemende organisaties zegt in het geheel geen risicoanalyses te hebben uitgevoerd betreffende de omgang met persoonsgegevens.

Heeft uw organisatie een of meerdere risicoanalyses uitgevoerd (bijvoorbeeld Privacy Impact Assessments) in het kader van omgang met persoonsgegevens?

Bij 66% van de organisaties heeft het personeel in de afgelopen 12 maanden geen training of opleiding op het gebied van privacy gevolgd.

Hebben u en/of uw collega’s de afgelopen 12 maanden privacytrainingen gevolgd?

Ja, e-learnings Ja, wij hebben meerdere risicoanalyses uitgevoerd

Ja, trainingen van minder dan een dagdeel

Ja, wij hebben één risicoanalyse uitgevoerd

Ja, trainingen van minder dan een dagdeel

Nee, wij hebben dit niet gedaan

Ja, trainingen van meer dan één dagdeel

Weet ik niet

Nee

0%

10%

20%

30% 40%

50% 60%


0% 10% 20% 30% 40% 50% 60% 70%

Uw organisatie en het privacyrisico

15

Privacy en uw leveranciers In hoeverre is inzichtelijk of er sprake is van datastromen tussen de eigen organisatie en relaties zoals klanten en leveranciers? Twee derde van de deelnemers antwoordt dat de eigen organisatie niet of slechts redelijk zicht heeft op datastromen naar externe partijen. 31% geeft zelfs aan daarop wel goed zicht te hebben.

Heeft uw organisatie als geheel vanuit privacy-oogpunt goed inzicht in de datastromen betreffende persoonsgegevens tussen uw organisatie en externe partijen (leveranciers klanten gegevensbewerkers)?

Ja, goed Ja, redelijk Nee Weet ik niet

0%

10%

20%


30%

40%

50%

60%

Privacy en uw leveranciers

16

Privacy en uw leveranciers Bijna de helft van de deelnemende organisatie maakt gebruik van bewerkersovereenkomsten als juridische basis voor de verzending van persoonsgegevens naar externe partijen. 25% van de organisaties maakt geen gebruik van bewerkersovereenkomsten.

Maakt u gebruik van bewerkersovereenkomsten indien u persoonsgegevens door derden laat bewerken?

Als reden voor het niet gebruiken van bewerkersovereenkomsten geeft 59% van de deelnemers aan dat in de bestaande contracten al de vereiste privacy clausules worden opgenomen. 5% gebruikt geen bewerkersovereenkomsten omdat dit als te omslachtig wordt ervaren.

Waarom maakt u geen gebruik van bewerkersovereenkomsten?

Ja

Ik weet niet wat een bewerkersovereenkomst is

Nee

Ik vind het gebruik ervan omslachtig

Niet van toepassing

In bestaande contracten nemen wij de vereiste privacy clausules op

Weet ik niet


0%

10%

20%

30%

40%


50%

0% 10% 20% 30% 40% 50% 60% 70%


17

Privacy en uw leveranciers 62% van de respondenten geeft aan dat bewerkersovereenkomsten niet periodiek op naleving worden gecontroleerd. Bij slechts 27% is wel sprake van periodieke controle.

Controleert u de bewerkersovereenkomsten periodiek op naleving (of laat u deze periodiek controleren)?

Ja Nee Weet ik niet

0%

10%

20%

30%


40%

50%

60%

70%


18

Privacy-incidenten en meldingen Een meerderheid van de respondenten geeft aan dat er zich bij de eigen organisatie het afgelopen jaar geen privacy-incidenten hebben voorgedaan. In 12% van de gevallen is sprake van een toename van het aantal privacy-incidenten. 13% geeft aan geen zicht te hebben op mogelijke privacy-incidenten.

Is het aantal privacy-incidenten voor zover u weet toe- of afgenomen in het afgelopen jaar?

Bijna de helft van de deelnemers geeft aan dat de eigen organisatie goed tot zeer goed heeft gereageerd op privacy-incidenten die zich hebben voorgedaan.

Hoe heeft uw organisatie naar uw oordeel gereageerd op de privacy-incidenten?

Slecht/onacceptabel Toegenomen

Niet goed

Stabiel gebleven

Redelijk (gemiddeld)

Afgenomen

Goed

Niet van toepassing, er hebben zich geen incidenten voorgedaan

Zeer goed

Weet ik niet

Weet ik niet

0%

10%

20%

30%

40%

50%


60%

0% 5% 10% 15% 20% 25% 30% 35% 40%

Privacy-incidenten en meldingen

19

Privacy-incidenten en meldingen 61% van de organisaties analyseert privacy-incidenten met het oog op voorkoming van toekomstige incidenten. In 23% van de gevallen vindt geen analyse plaats.

De verantwoordelijkheid voor het analyseren van privacy-incidenten wordt door organisaties op verschillende niveau’s belegd. In 26% van de gevallen ligt de primaire verantwoordelijkheid bij de Security Officer.

Worden privacy-incidenten geanalyseerd om toekomstige privacy-incidenten te voorkomen?

Wie is verantwoordelijk voor het analyseren van privacy-incidenten?

IT Manager Privacy Officer Security Officer Compliance Officer Functionaris gegevensbescherming Risk Manager Hoofd Internal Audit Ja Nee

Legal Counsel Controller HR Manager Niemand

Weet ik niet

0% 10% 20% 30% 40% 50% 60% 70%



0% 5% 10% 15% 20% 25% 30% 35%

Privacy-incidenten en meldingen

20

Nieuwe privacywetgeving In de toekomst ontstaat voor alle organisaties de verplichting om datalekken binnen zeer korte termijn te melden bij het College Bescherming Persoonsgegevens (inclusief impact, te nemen maatregelen, etc.) en om betrokkenen hierover te informeren. Slechts 12% van de deelnemende organisaties geeft aan dat het goed tot zeer goed is voorbereid om aan deze verplichting te voldoen.

Vindt u dat uw organisatie goed is voorbereid om aan deze verplichtingen te voldoen?

Slecht/Onacceptabel Niet goed Redelijk (gemiddeld) Goed Zeer goed Weet ik niet

0%

5%

10%

15%


20%

25%

30%

35%

40%

Nieuwe privacywetgeving

21

Nieuwe privacywetgeving Profiling van persoonsgegevens biedt de mogelijkheid om deze gegevens voor marketing en andere commerciële doeleinden aan te wenden. Profiling is echter niet ongelimiteerd toegestaan. 36% van de organisaties maakt gebruik van profiling van persoonsgegevens. In bijna een kwart van de gevallen maakt profiling zelfs onderdeel uit van het strategisch beleid van de organisatie.

‘Profiling’ omvat het methodisch opstellen van klantprofielen voor onder meer marketing en andere commerciële doeleinden. Vindt binnen uw organisatie profiling van persoonsgegevens plaats?

Ja, profiling maakt onderdeel uit van het strategisch/ commercieel beleid Ja, profiling vind sporadisch plaats Nee Weet ik niet

0%

10%

20%

30%


40%

50%

60%

70%


22

Nieuwe privacywetgeving Onder de aanstaande Europese Privacy Verordening wordt het voor veel organisaties verplicht om een Privacy Officer aan te stellen. Bij slechts 17% van de deelnemende organisaties is al een Privacy Officer aangesteld. 41% van de organisaties geeft aan dat er al plannen zijn om dit te doen.

Heeft uw organisatie al een Functionaris Gegevensbescherming of Privacy Officer aangesteld?

Ruim twee derde van de deelnemende organisaties geeft aan dat er in de eigen organisatie geen procedure bestaat om aan het ‘recht om vergeten te worden’ te kunnen voldoen door verzoeken om persoonsgegevens te wissen af te handelen.

De Europese Privacy Verordening kent het ‘Recht om vergeten te worden’. Heeft uw organisatie een interne procedure om verzoeken af te handelen om persoonsgegevens te wissen?

Ja, deze is al aangesteld Nee, maar we zijn het wel van plan

Ja, wij hebben een dergelijke procedure geïmplementeerd

Nee, ik wist niet dat dit een nieuwe regel is

Nee, maar we zijn bezig deze procedure te definiëren/implementeren

Niet van toepassing, wij voldoen niet aan de criteria zoals gesteld

Nee, wij hebben hiervoor (nog) geen procedure gedefinieerd

Weet ik niet

Weet ik niet

0% 5% 10% 15% 20%25%30%35%40%45%


0% 10% 20% 30% 40% 50% 60% 70%


23

Nieuwe privacywetgeving Een Europese Data Privacy Protection Seal beperkt de risico’s die voor organisaties voortvloeien uit de omgang met persoonsgegevens. Ruim een derde van de organisaties geeft aan het redelijk tot zeer nuttig te vinden om over een Europese Data Privacy Protection Seal te beschikken.

Door de Europese Privacy Verordening wordt het mogelijk om als organisatie een Europese Data Privacy Protection Seal te halen. Denkt u dat het voor uw organisatie nuttig is om een dergelijk Data Privacy Protection Seal te halen?

Ja, zeer nuttig

Ja, redelijk nuttig Nee, niet nuttig Weet ik niet

0%

5%

10%

15%

20% 25% 30% 35% 40% 45%



24

Stellingen Voor een zeer ruime meerderheid van de organisaties is de bescherming van de persoonsgegevens van klanten, personeel en andere relaties de belangrijkste reden om het onderwerp privacy hoog op de agenda te zetten. Bij slechts een gering aantal organisaties is het onder de aanstaande Europese Privacy Verordening sterk verhoogde boeterisico de belangrijkste reden.

De belangrijkste reden voor onze organisatie om privacy hoog op de agenda te zetten is:

Het risico op een boete van 5% van de wereldwijde omzet tot een maximum van EUR 100.000.000 Wij voelen ons verantwoordelijk voor de bescherming van persoonsgegevens van onze klanten, medewerkers en andere relaties Wij zijn bang voor reputatieschade ingeval van privacy incidenten Privacy staat bij ons niet hoog op de agenda

0%

10%

20%


30%

40%

50%

60%

70%

80%

Stellingen

25

Stellingen Een meerderheid van de deelnemende organisaties geeft aan dat het de toekomstige wijzigingen in privacyregelgeving nog niet heeft geïdentificeerd. 31% van de organisaties geeft aan de wijzigingen wel in beeld te hebben maar nog niet te zijn begonnen met de implementatie ervan.

Wij zijn klaar voor de wijzigingen in de privacyregelgeving (Europese Privacy Verordening/ Wet Meldplicht Datalekken):

Wij zijn er klaar voor Wij hebben de wijzigingen geïdentificeerd en zijn bezig met de implementatie Wij hebben de wijzigingen geïdentificeerd, maar zijn nog niet begonnen met de implementatie Wij hebben de wijzigingen nog niet geïdentificeerd

0%

10%


20%

30%

40%

50%

60%

Stellingen

26

Stellingen Op basis van de Europese Privacy Verordening wordt het verplicht om bij de ontwikkeling en implementatie van nieuwe systemen rekening te houden met de privacy van betrokkenen en de bescherming van persoonsgegevens. Van alle deelnemende organisaties geeft echter 30% aan hier bij de ontwikkeling van nieuwe systemen niet altijd rekening mee te houden.

Bij implementatie van nieuwe systemen houden wij altijd in een vroeg stadium rekening met privacy-aspecten en de bescherming van persoonsgegevens (Privacy by Design principe):

Eens Oneens

0%

10%

20%

30%


40%

50%

60%

70%

80%

Stellingen

27

Stellingen In hoeverre wordt de strikte privacywetgeving ervaren als een rem op de innovatiekracht van ondernemingen? 20% van de respondenten ervaart privacyregelgeving als belemmerend voor de innovatiemogelijkheden van de organisatie. 80% ziet privacyregelgeving niet als een belemmering voor innovatie.

Privacyregelgeving beperkt onze innovatiemogelijkheden:

Eens Oneens

0%

10% 20% 30% 40% 50% 60% 70% 80% 90%


Stellingen

28

Stellingen De wijze van omgang met persoonsgegevens en privacy van relaties kan door organisaties worden gebruikt om zich te profileren en te onderscheiden van de concurrentie. In hoeverre maken organisaties gebruik van dit onderscheidende vermogen? Slechts minder dan een kwart van de organisaties benut het privacybeleid om zich te onderscheiden in de markt.

Wij gebruiken privacy en ons privacybeleid om ons te profileren en te onderscheiden in de markt:

Eens Oneens

0%

10% 20% 30% 40% 50% 60% 70% 80% 90%


Stellingen

29

Over u en uw organisatie De individuele respondenten van de survey zijn werkzaam in een grote verscheidenheid aan functies.

Welke van deze functietitels beschrijft uw rol het beste?

De deelnemende organisaties zijn actief in een grote verscheidenheid aan sectoren.

Welke sectorclassificering is het meest van toepassing op de belangrijkste activiteiten van uw organisatie?

Management Board Chief Information Officer IT Manager Privacy Officer Security Officer

Industriële sector

Compliance Officer

Detailhandel

Functionaris Gegevensbescherming

Financiële sector Energie sector

Risk Manager

Gezondheidszorg


Publieke sector - Regionaal

Legal Counsel

Publieke sector - Nationaal

Controller HR Manager

Technologie, Media & Telecom



0%

5%

10%

15%


20%

0%

5%

10%

15%

20%

Over u en uw organisatie

25%

30%

30

Over u en uw organisatie 46% van de deelnemende organisaties heeft minder dan 500 werknemers. 28% van de organisaties heeft tussen de 1.000 en 5.000 werknemers en 7% heeft meer dan 50.000 werknemers.

Hoeveel werknemers heeft uw organisatie wereldwijd?

0-500

500-1.000 1.000-5.000 5.000-20.000 20.000-50.000 >50.000

0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%


Over u en uw organisatie

31

Bijlagen


Bijlagen

32

Bijlage A: Privacy Portfolio van PwC Strategie • Ondersteunen bij ontwikkeling algemeen privacy beleid • Vormgeven privacy strategie • Opstellen privacy roadmap • Verhogen van het privacy bewustzijn

r St

Transformatie management

Nazorg • Organiseren van workshops om medewerkers te wijzen op belang van privacy • Privacybeleid en de genomen maatregelen publiceren op Intranet • Governance beoordelingen

ng

PwC Privacy Portfolio

Assurance

Assurance • A fgeven van Assurance rapporten o.b.v. Richtlijn 3600/ SOC2 • A fgeven van privacy certificering

ie

eg at

Verkenning • R isicoanalyse op privacy gevoelige gegevens • Inzichtelijk maken van de mogelijkheden voor gebruik van persoonsgegevens • Classificeren van de privacy gevoelige data Ve • Uitvoeren van een nulmeting rk • Analyse van contractuele structuren rondom de verwerking en ni van persoonsgegevens

Transformatie Management • Opstellen van een privacy programma • Inzichtelijk maken van benodigde veranderingen in IT-systemen • U itvoeren GAP-analyses • Uitvoeren Privacy Impact Assessment • Uitvoeren Contract assessments

ie

Na z

or

g

at nt

e

Im

Implementatie • Centraal beleggen van verantwoordelijkheden mb.t. persoonsgegevens • I nbedden van privacy maatregelen in het huidige controle raamwerk • I T-systemen updaten om maatregelen systeemtechnisch af te dwingen • Meldingen en registraties bij College Bescherming Persoonsgegevens Analyse en opstellen van privacy policies

m ple


Bijlage A

33

Contactgegevens

Meer weten over Privacy Governance onderzoek en wat PwC voor uw organisatie kan doen? Neem contact op met:

Erwin de Horde

Yvette van Gemerden

Adri de Bruijn

Partner Risk Assurance +31 (0)88 792 51 85 [email protected]

Partner Legal Services +31 (0) 88 792 54 42 [email protected]

Partner Consulting Technology +31 (0) 88 792 65 87 [email protected]

www.pwc.nl/privacy © 2015 PwC. Alle rechten voorbehouden. Niet bestemd voor verdere openbaarmaking zonder toestemming van PwC. ‘PwC’ is het merk waaronder member firms van PricewaterhouseCoopers International Limited (PwCIL) handelen en diensten verlenen. Samen vormen deze firms het wereldwijde PwC-netwerk. In dit document wordt met ‘PwC’ gedoeld op het wereldwijde PwC-netwerk of, als dit uit de context voorvloeit, op individuele member firms van het PwC-netwerk. Elke aangesloten firma is een afzonderlijke juridische entiteit. Kijk op www.pwc.com/structure voor meer informatie.


Contactgegevens

34

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties

Recommend Documents