www.pwc.nl/privacy Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties PwC Nederland Februari 2015 Inhoudsopgave Introductie Privacy Health Check 3 Managementsamenvatting6 Resultaten Overzicht van de resultaten per hoofdstuk Privacy in uw organisatie Uw organisatie en het privacyrisico Privacy en uw leveranciers Privacy-incidenten en meldingen Nieuwe privacywetgeving Stellingen Over u en uw organisatie 9 10 11 16 17 20 22 26 31 Bijlagen Bijlage A: Privacy Portfolio van PwC 33 34 Contactgegevens 34 PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Inhoudsopgave 2 Introductie Privacy Health Check De bescherming van persoonsgegevens speelt een steeds belangrijkere rol in de maatschappij. Technologische ontwikkelingen stellen organisaties, waaronder die van u, in staat om meer en op uitgebreidere schaal persoonsgegevens te verzamelen, samen te voegen en op te slaan. Tegelijkertijd wordt de samenleving en de politiek kritischer over het gebruik van persoonsgegevens. Dit uit zich in aangescherpte regelgeving waar ook uw organisatie mee te maken krijgt. Om deze redenen heeft PwC de Privacy Health Check uitgevoerd. Wat is het doel van de Privacy Health Check en hoe kan deze uw organisatie helpen? De Privacy Health Check verschaft een uniek beeld in hoeverre uw organisatie klaar is voor de nieuwe Europese Privacy Verordening (EPV) en in de mate van volwassenheid inzake de bescherming van persoonsgegevens. Daarnaast biedt het de mogelijkheid om de resultaten te vergelijken met andere voor u relevante organisaties. De publicatie geeft daarmee een eerste inzicht in de wijze waarop organisaties in Nederland omgaan met privacy. Het geeft echter geen oordeel over de privacyprestaties en compliance van uw organisatie als geheel. Toegevoegde waarden voor u en uw organisatie zijn de volgende: • b eter begrip van de aard en impact van nieuwe privacywetgeving; • b alans opmaken van de voor u relevante privacyrisico’s; • v ergroten van bewustwording; • p rivacy governance en resilience van uw eigen organisatie evalueren. www.pwc.nl/privacy PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Introductie Privacy Health Check 3 Uitsplitsing van de resultaten In totaal hebben 93 organisaties, uit verschillende sectoren, deelgenomen aan de Privacy Health Check. De resultaten hiervan zijn grafisch weergegeven in de volgende hoofdstukken: • Privacy in uw organisatie; • Uw organisatie en het privacyrisico; • Privacy en uw leveranciers; • Privacy-incidenten en meldingen; • Nieuwe privacywetgeving; • Stellingen; • Over u en uw organisatie. Hoe de resultaten in te zetten voor uw eigen doeleinden Op basis van het overall beeld zoals opgenomen in dit rapport adviseren wij om: 1. H et rapport en de aanbevelingen te bespreken met de privacyverantwoordelijken binnen uw organisatie om hen in staat te stellen de strategische richting uit te stippelen; 2. De strategische richting te vertalen in een actieplan dat onder meer moet leiden tot organisatorische, procedurele en technische maatregelen; 3. P eriodiek de effectiviteit van deze maatregelen te meten. PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Introductie Privacy Health Check 4 De informatie verkregen via deze survey is uitsluitend gebruikt voor totstandkoming van dit rapport. Wij zijn uiteraard bereid om aan de hand van de uitkomsten de privacystatus van uw organisatie met u te bespreken en u te faciliteren bij de ontwikkeling van een actieplan die past bij uw organisatie en aandachtsgebieden. Met vriendelijke groet, Erwin de Horde Partner Risk Assurance Yvette van Gemerden Partner Legal Services Adri de Bruijn Partner Consulting Technology PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Introductie Privacy Health Check 5 Managementsamenvatting PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Managementsamenvatting 6 Belangrijke zaak Samenspel vereist 72% van de deelnemende Bij Het merendeel van incidenten de organisaties % 20 onderkent dat privacy een samenspel is tussen 38% Business, Legal en IT Ad (security). Frequentie hoc van de afstemming varieert. 32% organisaties zet privacy hoog op de agenda vanuit verantwoordelijkheidsgevoel. 20% doet dit primair vanwege het risico op reputatieschade of boetes. Onderscheidend vermogen niet benut Slechts 23% van de deelnemers geeft aan dat privacy een onderwerp is waarmee de organisatie zich actief profileert en onderscheidt in de markt. Periodiek Volwassenheid moet groeien Train uw mensen Slechts 35% van de deelnemers denkt dat de eigen organisatie gekwalificeerd is om op een (zeer) volwassen manier om te gaan met persoonsgegevens. Bij 66% van de organisaties heeft in het afgelopen jaar geen training voor de medewerkers plaatsgevonden op het gebied van privacy en persoonsgegevens. Bij 17% is de omgang met persoonsgegevens onvolwassen. Bij 48% is de organi satie op dit vlak redelijk volwassen. Bij 35% is de omgang volwassen tot zeer volwassen. PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Ja, e-learnings Ja, trainingen van minder dan een dagdeel Ja, trainingen van één dagdeel Ja, trainingen van meer dan één dagdeel Nee Managementsamenvatting 7 Privacy incidenten stabiel 53% geeft aan dat in 2014 geen privacy incidenten hebben voorgedaan. Bij 22% van de organisaties is het aantal stabiel gebleven ten opzichte van 2013. Toegenomen Afgenomen Stabielgebleven Weet ik niet Niet van toepassing, er hebben zich geen incidenten voorgedaan Klaar voor de toekomst 12% van de deelnemers is klaar voor de verwachte 32% privacyregelgeving of is de wijzigingen aan Wijzigingen al geïdentificeerd het implementeren. Van de resterende 88% heeft een minder heid de wijzigingen al 56% geïdentificeerd. Wijzigingen niet geïdentificeerd Leveranciersafspraken nog niet voldoende Begrip van de risico’s en impact 43% geeft aan gebruik 52% van de deel 43% 25% 52% 17% 41% 26% te maken van bewerkers overeenkomsten bij inzet van leveranciers. 25% sluit geen bewerkersovereenkomsten af met leveranciers. Privacy Officer 17% van de deelnemers geeft aan al een privacy Officer (of Functionaris Gegevensbescherming) te hebben aangesteld. 41% is van plan een Privacy Officer te gaan aanstellen, echter 26% van de organisaties was zich niet bewust dat dit een vereiste is in de verwachte privacyregelgeving. PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties nemende organisaties voert geen risico analyses (bijvoorbeeld privacy impact assessments) op het gebied van privacy uit. Right-to-be-forgotten mogelijk maken 82% van de deelnemers heeft nog geen procedure om verzoeken tot het wissen van persoonsgegevens af te kunnen handelen. Managementsamenvatting 8 Resultaten PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Resultaten 9 Privacy in uw organisatie Slechts 35% van de respondenten geeft aan dat de omgang met persoonsgegevens binnen de eigen organisatie volwassen tot zeer volwassen is. Een meerderheid acht de omgang met persoonsgegevens in de eigen organisatie niet volwassen. Hoe volwassen (ontwikkeld) is naar uw mening de omgang met persoonsgegevens binnen uw organisatie (inclusief koppeling met strategie rapportagevereisten en privacybeleid)? Bijna een derde van de organisaties heeft geen formeel privacybeleid. In 27% van de organisaties is sprake van een apart privacybeleid terwijl privacy bij 23% van de organisaties onderdeel uitmaakt van het informatiebeveiligingsbeleid. Heeft uw organisatie een formeel privacybeleid geïmplementeerd? Onvolwassen Ja, er is een apart privacybeleid Redelijk volwassen Ja, als onderdeel van het algemene beleid Volwassen ja, als onderdeel van het informatiebeveiligingsbeleid Zeer volwassen Nee Weet ik niet Anders, graag toelichten 0% 10% 20% 30% 40% 50% 60% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 0% 5% 10% 15% 20% 25% 30% 35% Privacy in uw organisatie 10 Privacy in uw organisatie Het blijkt dat organisaties de verantwoordelijkheid voor het privacybeleid op veel verschillende niveaus neerleggen. In 10% van de gevallen is niemand hiervoor verantwoordelijk, terwijl ook in veel gevallen is aangegeven dat de verantwoordelijkheid op directieniveau ligt. Wie is er op dit moment binnen uw organisatie verantwoordelijk voor de implementatie van het privacybeleid? De vraag waar de verantwoordelijkheid voor het privacybeleid behoort te liggen levert eveneens een diffuus beeld op. Bijna een derde geeft aan dat deze verantwoordelijkheid thuishoort bij de Privacy Officer of de Functionaris Gegevensbescherming. Wie zou er naar uw oordeel verantwoordelijk moeten zijn voor het privacybeleid binnen uw organisatie? Chief Information Officer Chief Information Officer IT Manager IT Manager Privacy Officer Privacy Officer Security Officer Security Officer Compliance Officer Functionaris Gegevensbescherming Risk Manager Compliance Officer Functionaris Gegevensbescherming Risk Manager Hoofd Internal Audit Hoofd Internal Audit Legal Counsel Legal Counsel Controller Controller HR Manager HR Manager Niemand Niemand Anders, graag toelichten Anders, graag toelichten 0% 5% 10% 15% 20% 25% 30% 35% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 0% 5% 10% 15% Privacy in uw organisatie 20% 25% 11 Privacy in uw organisatie Bij 64% van de deelnemende organisaties is het onderwerp privacy een samenspel tussen IT (Security), de Business en Legal … Waar is het onderwerp privacy binnen uw organisatie primair belegd? … maar bij slechts een minderheid van de organisaties vindt periodiek of dagelijks overleg plaats tussen IT (Security), de Business en Legal om het onderwerp privacy te bespreken. Hoe vaak komen IT (Security) Business en Legal bij elkaar om privacyzaken te bespreken? Alleen bij incidenten Ad Hoc (zonder directe aanleiding) Privacy is primair een IT (Security) onderwerp Periodiek, minimaal jaarlijks Privacy is primair een Business onderwerp Periodiek, minimaal eens per kwartaal Privacy is primair een Legal onderwerp Periodiek, minimaal maandelijks Privacy is een samenspel tussen IT (Security), Business en Legal IT (Security), Business en Legal werken dagelijks intensief samen Nergens 0% 10% 20% 30% 40% 50% 60% 70% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 0% 5% 10% 15% 20% 25% 30% 35% 40% Privacy in uw organisatie 12 Privacy in uw organisatie Bij ongeveer de helft van de organisaties is niet gedocumenteerd welke persoonsgegevens worden verwerkt. Slechts 16% heeft alle verwerkingen zowel inzichtelijk als gedocumenteerd. Bij meer dan de helft van de organisaties vindt beoordeling van compliance aan de Wet bescherming persoonsgegevens helemaal niet of uitsluitend op ad hoc basis plaats. Bij 42% van de deelnemende organisaties is sprake van periodieke beoordeling. Worden privacy en compliance aan de Wet bescherming persoonsgegevens (Wbp) periodiek beoordeeld? Heeft uw organisatie inzichtelijk en gedocumenteerd welke persoonsgegevens worden verwerkt? Alle verwerkingen zijn inzichtelijk en gedocumenteerd Ja, als onderdeel van een reguliere auditcyclus De meeste verwerkingen zijn inzichtelijk en gedocumenteerd Ja, beoordeling vindt anderszins periodiek plaats (geen audit) De meeste verwerkingen zijn inzichtelijk, maar niet gedocumenteerd Nee, alleen ad hoc Verwerkingen zijn niet/ slecht inzichtelijk en worden niet gedocumenteerd Nee, er vindt geen beoordeling plaats Weet ik niet Weet ik niet 0% 10% 20% 30% 40% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 50% 0% 5% 10% 15% 20% 25% 30% 35% Privacy in uw organisatie 13 Privacy in uw organisatie Bijna de helft van de organisaties geeft aan geen of vrijwel geen verzoeken tot inzage in persoonsgegevens te ontvangen. 40% van de respondenten geeft aan niet te weten hoe vaak dergelijke verzoeken worden gedaan. Ruim een derde van de organisaties geeft aan dat het nog onvoldoende waarborgen heeft geïmplementeerd om verzoeken tot inzage in persoonsgegevens adequaat af te kunnen handelen. Heeft uw organisatie voldoende waarborgen om verzoeken tot inzage in persoonsgegevens af te handelen? Hoe vaak krijgt u inzageverzoeken op jaarbasis? 0-5 6-20 Ja, wij hebben voldoende waarborgen 21-50 Nee, maar we zouden het moeten hebben >50 Nee, maar we krijgen nooit dergelijke verzoeken Weet ik niet Weet ik niet 0% 10% 20% 30% 40% 50% 60% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 0% 10% 20% 30% 40% Privacy in uw organisatie 50% 60% 14 Uw organisatie en het privacyrisico Meer dan de helft van de deelnemende organisaties zegt in het geheel geen risicoanalyses te hebben uitgevoerd betreffende de omgang met persoonsgegevens. Heeft uw organisatie een of meerdere risicoanalyses uitgevoerd (bijvoorbeeld Privacy Impact Assessments) in het kader van omgang met persoonsgegevens? Bij 66% van de organisaties heeft het personeel in de afgelopen 12 maanden geen training of opleiding op het gebied van privacy gevolgd. Hebben u en/of uw collega’s de afgelopen 12 maanden privacytrainingen gevolgd? Ja, e-learnings Ja, wij hebben meerdere risicoanalyses uitgevoerd Ja, trainingen van minder dan een dagdeel Ja, wij hebben één risicoanalyse uitgevoerd Ja, trainingen van minder dan een dagdeel Nee, wij hebben dit niet gedaan Ja, trainingen van meer dan één dagdeel Weet ik niet Nee 0% 10% 20% 30% 40% 50% 60% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 0% 10% 20% 30% 40% 50% 60% 70% Uw organisatie en het privacyrisico 15 Privacy en uw leveranciers In hoeverre is inzichtelijk of er sprake is van datastromen tussen de eigen organisatie en relaties zoals klanten en leveranciers? Twee derde van de deelnemers antwoordt dat de eigen organisatie niet of slechts redelijk zicht heeft op datastromen naar externe partijen. 31% geeft zelfs aan daarop wel goed zicht te hebben. Heeft uw organisatie als geheel vanuit privacy-oogpunt goed inzicht in de datastromen betreffende persoonsgegevens tussen uw organisatie en externe partijen (leveranciers klanten gegevensbewerkers)? Ja, goed Ja, redelijk Nee Weet ik niet 0% 10% 20% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 30% 40% 50% 60% Privacy en uw leveranciers 16 Privacy en uw leveranciers Bijna de helft van de deelnemende organisatie maakt gebruik van bewerkersovereenkomsten als juridische basis voor de verzending van persoonsgegevens naar externe partijen. 25% van de organisaties maakt geen gebruik van bewerkersovereenkomsten. Maakt u gebruik van bewerkersovereenkomsten indien u persoonsgegevens door derden laat bewerken? Als reden voor het niet gebruiken van bewerkersovereenkomsten geeft 59% van de deelnemers aan dat in de bestaande contracten al de vereiste privacy clausules worden opgenomen. 5% gebruikt geen bewerkersovereenkomsten omdat dit als te omslachtig wordt ervaren. Waarom maakt u geen gebruik van bewerkersovereenkomsten? Ja Ik weet niet wat een bewerkersovereenkomst is Nee Ik vind het gebruik ervan omslachtig Niet van toepassing In bestaande contracten nemen wij de vereiste privacy clausules op Weet ik niet Anders, graag toelichten 0% 10% 20% 30% 40% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 50% 0% 10% 20% 30% 40% 50% 60% 70% Privacy en uw leveranciers 17 Privacy en uw leveranciers 62% van de respondenten geeft aan dat bewerkersovereenkomsten niet periodiek op naleving worden gecontroleerd. Bij slechts 27% is wel sprake van periodieke controle. Controleert u de bewerkersovereenkomsten periodiek op naleving (of laat u deze periodiek controleren)? Ja Nee Weet ik niet 0% 10% 20% 30% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 40% 50% 60% 70% Privacy en uw leveranciers 18 Privacy-incidenten en meldingen Een meerderheid van de respondenten geeft aan dat er zich bij de eigen organisatie het afgelopen jaar geen privacy-incidenten hebben voorgedaan. In 12% van de gevallen is sprake van een toename van het aantal privacy-incidenten. 13% geeft aan geen zicht te hebben op mogelijke privacy-incidenten. Is het aantal privacy-incidenten voor zover u weet toe- of afgenomen in het afgelopen jaar? Bijna de helft van de deelnemers geeft aan dat de eigen organisatie goed tot zeer goed heeft gereageerd op privacy-incidenten die zich hebben voorgedaan. Hoe heeft uw organisatie naar uw oordeel gereageerd op de privacy-incidenten? Slecht/onacceptabel Toegenomen Niet goed Stabiel gebleven Redelijk (gemiddeld) Afgenomen Goed Niet van toepassing, er hebben zich geen incidenten voorgedaan Zeer goed Weet ik niet Weet ik niet 0% 10% 20% 30% 40% 50% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 60% 0% 5% 10% 15% 20% 25% 30% 35% 40% Privacy-incidenten en meldingen 19 Privacy-incidenten en meldingen 61% van de organisaties analyseert privacy-incidenten met het oog op voorkoming van toekomstige incidenten. In 23% van de gevallen vindt geen analyse plaats. De verantwoordelijkheid voor het analyseren van privacy-incidenten wordt door organisaties op verschillende niveau’s belegd. In 26% van de gevallen ligt de primaire verantwoordelijkheid bij de Security Officer. Worden privacy-incidenten geanalyseerd om toekomstige privacy-incidenten te voorkomen? Wie is verantwoordelijk voor het analyseren van privacy-incidenten? IT Manager Privacy Officer Security Officer Compliance Officer Functionaris gegevensbescherming Risk Manager Hoofd Internal Audit Ja Nee Legal Counsel Controller HR Manager Niemand Weet ik niet 0% 10% 20% 30% 40% 50% 60% 70% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Anders, graag toelichten 0% 5% 10% 15% 20% 25% 30% 35% Privacy-incidenten en meldingen 20 Nieuwe privacywetgeving In de toekomst ontstaat voor alle organisaties de verplichting om datalekken binnen zeer korte termijn te melden bij het College Bescherming Persoonsgegevens (inclusief impact, te nemen maatregelen, etc.) en om betrokkenen hierover te informeren. Slechts 12% van de deelnemende organisaties geeft aan dat het goed tot zeer goed is voorbereid om aan deze verplichting te voldoen. Vindt u dat uw organisatie goed is voorbereid om aan deze verplichtingen te voldoen? Slecht/Onacceptabel Niet goed Redelijk (gemiddeld) Goed Zeer goed Weet ik niet 0% 5% 10% 15% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 20% 25% 30% 35% 40% Nieuwe privacywetgeving 21 Nieuwe privacywetgeving Profiling van persoonsgegevens biedt de mogelijkheid om deze gegevens voor marketing en andere commerciële doeleinden aan te wenden. Profiling is echter niet ongelimiteerd toegestaan. 36% van de organisaties maakt gebruik van profiling van persoonsgegevens. In bijna een kwart van de gevallen maakt profiling zelfs onderdeel uit van het strategisch beleid van de organisatie. ‘Profiling’ omvat het methodisch opstellen van klantprofielen voor onder meer marketing en andere commerciële doeleinden. Vindt binnen uw organisatie profiling van persoonsgegevens plaats? Ja, profiling maakt onderdeel uit van het strategisch/ commercieel beleid Ja, profiling vind sporadisch plaats Nee Weet ik niet 0% 10% 20% 30% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 40% 50% 60% 70% Nieuwe privacywetgeving 22 Nieuwe privacywetgeving Onder de aanstaande Europese Privacy Verordening wordt het voor veel organisaties verplicht om een Privacy Officer aan te stellen. Bij slechts 17% van de deelnemende organisaties is al een Privacy Officer aangesteld. 41% van de organisaties geeft aan dat er al plannen zijn om dit te doen. Heeft uw organisatie al een Functionaris Gegevensbescherming of Privacy Officer aangesteld? Ruim twee derde van de deelnemende organisaties geeft aan dat er in de eigen organisatie geen procedure bestaat om aan het ‘recht om vergeten te worden’ te kunnen voldoen door verzoeken om persoonsgegevens te wissen af te handelen. De Europese Privacy Verordening kent het ‘Recht om vergeten te worden’. Heeft uw organisatie een interne procedure om verzoeken af te handelen om persoonsgegevens te wissen? Ja, deze is al aangesteld Nee, maar we zijn het wel van plan Ja, wij hebben een dergelijke procedure geïmplementeerd Nee, ik wist niet dat dit een nieuwe regel is Nee, maar we zijn bezig deze procedure te definiëren/implementeren Niet van toepassing, wij voldoen niet aan de criteria zoals gesteld Nee, wij hebben hiervoor (nog) geen procedure gedefinieerd Weet ik niet Weet ik niet 0% 5% 10% 15% 20%25%30%35%40%45% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 0% 10% 20% 30% 40% 50% 60% 70% Nieuwe privacywetgeving 23 Nieuwe privacywetgeving Een Europese Data Privacy Protection Seal beperkt de risico’s die voor organisaties voortvloeien uit de omgang met persoonsgegevens. Ruim een derde van de organisaties geeft aan het redelijk tot zeer nuttig te vinden om over een Europese Data Privacy Protection Seal te beschikken. Door de Europese Privacy Verordening wordt het mogelijk om als organisatie een Europese Data Privacy Protection Seal te halen. Denkt u dat het voor uw organisatie nuttig is om een dergelijk Data Privacy Protection Seal te halen? Ja, zeer nuttig Ja, redelijk nuttig Nee, niet nuttig Weet ik niet 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Nieuwe privacywetgeving 24 Stellingen Voor een zeer ruime meerderheid van de organisaties is de bescherming van de persoonsgegevens van klanten, personeel en andere relaties de belangrijkste reden om het onderwerp privacy hoog op de agenda te zetten. Bij slechts een gering aantal organisaties is het onder de aanstaande Europese Privacy Verordening sterk verhoogde boeterisico de belangrijkste reden. De belangrijkste reden voor onze organisatie om privacy hoog op de agenda te zetten is: Het risico op een boete van 5% van de wereldwijde omzet tot een maximum van EUR 100.000.000 Wij voelen ons verantwoordelijk voor de bescherming van persoonsgegevens van onze klanten, medewerkers en andere relaties Wij zijn bang voor reputatieschade ingeval van privacy incidenten Privacy staat bij ons niet hoog op de agenda 0% 10% 20% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 30% 40% 50% 60% 70% 80% Stellingen 25 Stellingen Een meerderheid van de deelnemende organisaties geeft aan dat het de toekomstige wijzigingen in privacyregelgeving nog niet heeft geïdentificeerd. 31% van de organisaties geeft aan de wijzigingen wel in beeld te hebben maar nog niet te zijn begonnen met de implementatie ervan. Wij zijn klaar voor de wijzigingen in de privacyregelgeving (Europese Privacy Verordening/ Wet Meldplicht Datalekken): Wij zijn er klaar voor Wij hebben de wijzigingen geïdentificeerd en zijn bezig met de implementatie Wij hebben de wijzigingen geïdentificeerd, maar zijn nog niet begonnen met de implementatie Wij hebben de wijzigingen nog niet geïdentificeerd 0% 10% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 20% 30% 40% 50% 60% Stellingen 26 Stellingen Op basis van de Europese Privacy Verordening wordt het verplicht om bij de ontwikkeling en implementatie van nieuwe systemen rekening te houden met de privacy van betrokkenen en de bescherming van persoonsgegevens. Van alle deelnemende organisaties geeft echter 30% aan hier bij de ontwikkeling van nieuwe systemen niet altijd rekening mee te houden. Bij implementatie van nieuwe systemen houden wij altijd in een vroeg stadium rekening met privacy-aspecten en de bescherming van persoonsgegevens (Privacy by Design principe): Eens Oneens 0% 10% 20% 30% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 40% 50% 60% 70% 80% Stellingen 27 Stellingen In hoeverre wordt de strikte privacywetgeving ervaren als een rem op de innovatiekracht van ondernemingen? 20% van de respondenten ervaart privacyregelgeving als belemmerend voor de innovatiemogelijkheden van de organisatie. 80% ziet privacyregelgeving niet als een belemmering voor innovatie. Privacyregelgeving beperkt onze innovatiemogelijkheden: Eens Oneens 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Stellingen 28 Stellingen De wijze van omgang met persoonsgegevens en privacy van relaties kan door organisaties worden gebruikt om zich te profileren en te onderscheiden van de concurrentie. In hoeverre maken organisaties gebruik van dit onderscheidende vermogen? Slechts minder dan een kwart van de organisaties benut het privacybeleid om zich te onderscheiden in de markt. Wij gebruiken privacy en ons privacybeleid om ons te profileren en te onderscheiden in de markt: Eens Oneens 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Stellingen 29 Over u en uw organisatie De individuele respondenten van de survey zijn werkzaam in een grote verscheidenheid aan functies. Welke van deze functietitels beschrijft uw rol het beste? De deelnemende organisaties zijn actief in een grote verscheidenheid aan sectoren. Welke sectorclassificering is het meest van toepassing op de belangrijkste activiteiten van uw organisatie? Management Board Chief Information Officer IT Manager Privacy Officer Security Officer Industriële sector Compliance Officer Detailhandel Functionaris Gegevensbescherming Financiële sector Energie sector Risk Manager Gezondheidszorg Hoofd Internal Audit Publieke sector - Regionaal Legal Counsel Publieke sector - Nationaal Controller HR Manager Technologie, Media & Telecom Anders, graag toelichten Anders, graag toelichten 0% 5% 10% 15% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties 20% 0% 5% 10% 15% 20% Over u en uw organisatie 25% 30% 30 Over u en uw organisatie 46% van de deelnemende organisaties heeft minder dan 500 werknemers. 28% van de organisaties heeft tussen de 1.000 en 5.000 werknemers en 7% heeft meer dan 50.000 werknemers. Hoeveel werknemers heeft uw organisatie wereldwijd? 0-500 500-1.000 1.000-5.000 5.000-20.000 20.000-50.000 >50.000 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Over u en uw organisatie 31 Bijlagen PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Bijlagen 32 Bijlage A: Privacy Portfolio van PwC Strategie • Ondersteunen bij ontwikkeling algemeen privacy beleid • Vormgeven privacy strategie • Opstellen privacy roadmap • Verhogen van het privacy bewustzijn r St Transformatie management Nazorg • Organiseren van workshops om medewerkers te wijzen op belang van privacy • Privacybeleid en de genomen maatregelen publiceren op Intranet • Governance beoordelingen ng PwC Privacy Portfolio Assurance Assurance • A fgeven van Assurance rapporten o.b.v. Richtlijn 3600/ SOC2 • A fgeven van privacy certificering ie eg at Verkenning • R isicoanalyse op privacy gevoelige gegevens • Inzichtelijk maken van de mogelijkheden voor gebruik van persoonsgegevens • Classificeren van de privacy gevoelige data Ve • Uitvoeren van een nulmeting rk • Analyse van contractuele structuren rondom de verwerking en ni van persoonsgegevens Transformatie Management • Opstellen van een privacy programma • Inzichtelijk maken van benodigde veranderingen in IT-systemen • U itvoeren GAP-analyses • Uitvoeren Privacy Impact Assessment • Uitvoeren Contract assessments ie Na z or g at nt e Im Implementatie • Centraal beleggen van verantwoordelijkheden mb.t. persoonsgegevens • I nbedden van privacy maatregelen in het huidige controle raamwerk • I T-systemen updaten om maatregelen systeemtechnisch af te dwingen • Meldingen en registraties bij College Bescherming Persoonsgegevens Analyse en opstellen van privacy policies m ple PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Bijlage A 33 Contactgegevens Meer weten over Privacy Governance onderzoek en wat PwC voor uw organisatie kan doen? Neem contact op met: Erwin de Horde Yvette van Gemerden Adri de Bruijn Partner Risk Assurance +31 (0)88 792 51 85 [email protected] Partner Legal Services +31 (0) 88 792 54 42 [email protected] Partner Consulting Technology +31 (0) 88 792 65 87 [email protected] www.pwc.nl/privacy © 2015 PwC. Alle rechten voorbehouden. Niet bestemd voor verdere openbaarmaking zonder toestemming van PwC. ‘PwC’ is het merk waaronder member firms van PricewaterhouseCoopers International Limited (PwCIL) handelen en diensten verlenen. Samen vormen deze firms het wereldwijde PwC-netwerk. In dit document wordt met ‘PwC’ gedoeld op het wereldwijde PwC-netwerk of, als dit uit de context voorvloeit, op individuele member firms van het PwC-netwerk. Elke aangesloten firma is een afzonderlijke juridische entiteit. Kijk op www.pwc.com/structure voor meer informatie. PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Contactgegevens 34
© Copyright 2024 ExpyDoc