Privacy Governance onderzoek Volwassenheid van

www.pwc.nl/privacy
Privacy Governance onderzoek
Volwassenheid van privacybeheersing
binnen Nederlandse organisaties
PwC Nederland
Februari 2015
Inhoudsopgave
Introductie Privacy Health Check
3
Managementsamenvatting6
Resultaten
Overzicht van de resultaten per hoofdstuk
Privacy in uw organisatie
Uw organisatie en het privacyrisico
Privacy en uw leveranciers
Privacy-incidenten en meldingen
Nieuwe privacywetgeving
Stellingen
Over u en uw organisatie
9
10
11
16
17
20
22
26
31
Bijlagen
Bijlage A: Privacy Portfolio van PwC
33
34
Contactgegevens
34
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Inhoudsopgave
2
Introductie Privacy Health Check
De bescherming van persoonsgegevens speelt een steeds belangrijkere rol
in de maatschappij. Technologische ontwikkelingen stellen organisaties,
waaronder die van u, in staat om meer en op uitgebreidere schaal
persoonsgegevens te verzamelen, samen te voegen en op te slaan.
Tegelijkertijd wordt de samenleving en de politiek kritischer over het
gebruik van persoonsgegevens. Dit uit zich in aangescherpte regelgeving
waar ook uw organisatie mee te maken krijgt. Om deze redenen heeft
PwC de Privacy Health Check uitgevoerd.
Wat is het doel van de Privacy Health Check
en hoe kan deze uw organisatie helpen?
De Privacy Health Check verschaft een uniek beeld in hoeverre uw
organisatie klaar is voor de nieuwe Europese Privacy Verordening
(EPV) en in de mate van volwassenheid inzake de bescherming van
persoonsgegevens. Daarnaast biedt het de mogelijkheid om de resultaten
te vergelijken met andere voor u relevante organisaties. De publicatie geeft
daarmee een eerste inzicht in de wijze waarop organisaties in Nederland
omgaan met privacy. Het geeft echter geen oordeel over de privacyprestaties
en compliance van uw organisatie als geheel.
Toegevoegde waarden voor u en uw organisatie zijn de volgende:
• b
eter begrip van de aard en impact van nieuwe privacywetgeving;
• b
alans opmaken van de voor u relevante privacyrisico’s;
• v ergroten van bewustwording;
• p
rivacy governance en resilience van uw eigen organisatie evalueren.
www.pwc.nl/privacy
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Introductie Privacy Health Check
3
Uitsplitsing van de resultaten
In totaal hebben 93 organisaties, uit verschillende sectoren, deelgenomen
aan de Privacy Health Check. De resultaten hiervan zijn grafisch
weergegeven in de volgende hoofdstukken:
• Privacy in uw organisatie;
• Uw organisatie en het privacyrisico;
• Privacy en uw leveranciers;
• Privacy-incidenten en meldingen;
• Nieuwe privacywetgeving;
• Stellingen;
• Over u en uw organisatie.
Hoe de resultaten in te zetten voor uw eigen doeleinden
Op basis van het overall beeld zoals opgenomen in dit rapport adviseren wij om:
1. H
et rapport en de aanbevelingen te bespreken met de
privacyverantwoordelijken binnen uw organisatie om hen in staat te
stellen de strategische richting uit te stippelen;
2. De strategische richting te vertalen in een actieplan dat onder meer moet
leiden tot organisatorische, procedurele en technische maatregelen;
3. P
eriodiek de effectiviteit van deze maatregelen te meten.
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Introductie Privacy Health Check
4
De informatie verkregen via deze survey is uitsluitend gebruikt voor
totstandkoming van dit rapport.
Wij zijn uiteraard bereid om aan de hand van de uitkomsten de privacystatus
van uw organisatie met u te bespreken en u te faciliteren bij de ontwikkeling
van een actieplan die past bij uw organisatie en aandachtsgebieden.
Met vriendelijke groet,
Erwin de Horde
Partner Risk Assurance
Yvette van Gemerden
Partner Legal Services
Adri de Bruijn
Partner Consulting Technology
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Introductie Privacy Health Check
5
Managementsamenvatting
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Managementsamenvatting
6
Belangrijke zaak
Samenspel vereist
72% van de deelnemende
Bij
Het merendeel van
incidenten
de organisaties
%
20
onderkent dat
privacy een
samenspel is tussen
38%
Business, Legal en IT
Ad
(security). Frequentie
hoc
van de afstemming
varieert.
32%
organi­saties zet privacy
hoog op de agenda vanuit
verantwoordelijkheidsgevoel.
20% doet dit primair
vanwege het risico
op reputatieschade of
boetes.
Onderscheidend
vermogen niet benut
Slechts 23% van de deelnemers
geeft aan dat privacy een
onderwerp is waarmee de
organisatie zich actief
profileert en
onderscheidt
in de markt.
Periodiek
Volwassenheid moet groeien
Train uw mensen
Slechts 35% van de deelnemers denkt dat
de eigen organisatie gekwalificeerd is om op
een (zeer) volwassen manier om te gaan met
persoonsgegevens.
Bij 66% van de organisaties heeft
in het afgelopen jaar geen training
voor de medewerkers plaatsgevonden
op het gebied van privacy en
persoonsgegevens.
Bij 17% is de omgang
met persoonsgegevens
onvolwassen.
Bij 48% is de organi­
satie op dit vlak
redelijk volwassen.
Bij 35% is de
omgang volwassen
tot zeer volwassen.
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Ja, e-learnings
Ja, trainingen van minder dan een dagdeel
Ja, trainingen van één dagdeel
Ja, trainingen van meer dan één dagdeel
Nee
Managementsamenvatting
7
Privacy incidenten stabiel
53% geeft aan dat in 2014
geen privacy incidenten hebben
voorgedaan. Bij 22% van de
organisaties is het aantal stabiel
gebleven ten opzichte van 2013.
Toegenomen
Afgenomen
Stabielgebleven
Weet ik niet
Niet van toepassing, er hebben
zich geen incidenten voorgedaan
Klaar voor de toekomst
12% van de deelnemers
is klaar voor de verwachte
32%
privacyregelgeving of
is de wijzigingen aan Wijzigingen al
geïdentificeerd
het implementeren.
Van de resterende
88% heeft een minder­
heid de wijzigingen al
56%
geïdentificeerd.
Wijzigingen niet
geïdentificeerd
Leveranciersafspraken nog
niet voldoende
Begrip van
de risico’s
en impact
43% geeft aan gebruik
52% van de deel­
43%
25% 52%
17%
41%
26%
te maken van bewerkers­
overeenkomsten bij inzet
van leveranciers.
25% sluit geen
bewerkers­overeenkomsten
af met leveranciers.
Privacy Officer
17% van de deelnemers geeft aan
al een privacy Officer (of Functionaris
Gegevensbescherming) te hebben
aangesteld. 41% is van plan een
Privacy Officer te gaan aanstellen,
echter 26% van de organisaties
was zich niet bewust dat dit een
vereiste is in de verwachte privacyregelgeving.
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
nemende organisaties
voert geen risico
analyses (bijvoorbeeld
privacy impact assessments) op het gebied
van privacy uit.
Right-to-be-forgotten
mogelijk maken
82% van de deelnemers heeft
nog geen procedure om verzoeken
tot het wissen van
persoonsgegevens
af te kunnen
handelen.
Managementsamenvatting
8
Resultaten
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Resultaten
9
Privacy in uw organisatie
Slechts 35% van de respondenten geeft aan dat de omgang met
persoonsgegevens binnen de eigen organisatie volwassen tot zeer
volwassen is. Een meerderheid acht de omgang met persoonsgegevens in de eigen organisatie niet volwassen.
Hoe volwassen (ontwikkeld) is naar uw
mening de omgang met persoonsgegevens
binnen uw organisatie (inclusief koppeling
met strategie rapportagevereisten
en privacybeleid)?
Bijna een derde van de organisaties heeft geen formeel privacybeleid.
In 27% van de organisaties is sprake van een apart privacybeleid
terwijl privacy bij 23% van de organisaties onderdeel uitmaakt van het
informatiebeveiligingsbeleid.
Heeft uw organisatie een formeel
privacybeleid geïmplementeerd?
Onvolwassen
Ja, er is een apart
privacybeleid
Redelijk volwassen
Ja, als onderdeel van het
algemene beleid
Volwassen
ja, als onderdeel van het
informatiebeveiligingsbeleid
Zeer volwassen
Nee
Weet ik niet
Anders, graag toelichten
0%
10%
20%
30% 40%
50% 60%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
0% 5% 10% 15% 20% 25% 30% 35%
Privacy in uw organisatie
10
Privacy in uw organisatie
Het blijkt dat organisaties de verantwoordelijkheid voor het
privacybeleid op veel verschillende niveaus neerleggen. In 10% van
de gevallen is niemand hiervoor verantwoordelijk, terwijl ook in
veel gevallen is aangegeven dat de verantwoordelijkheid op
directieniveau ligt.
Wie is er op dit moment binnen uw
organisatie verantwoordelijk voor de
implementatie van het privacybeleid?
De vraag waar de verantwoordelijkheid voor het privacybeleid behoort
te liggen levert eveneens een diffuus beeld op. Bijna een derde geeft
aan dat deze verantwoordelijkheid thuishoort bij de Privacy Officer of
de Functionaris Gegevensbescherming.
Wie zou er naar uw oordeel
verantwoordelijk moeten zijn voor het
privacybeleid binnen uw organisatie?
Chief Information Officer
Chief Information Officer
IT Manager
IT Manager
Privacy Officer
Privacy Officer
Security Officer
Security Officer
Compliance Officer
Functionaris
Gegevensbescherming
Risk Manager
Compliance Officer
Functionaris
Gegevensbescherming
Risk Manager
Hoofd Internal Audit
Hoofd Internal Audit
Legal Counsel
Legal Counsel
Controller
Controller
HR Manager
HR Manager
Niemand
Niemand
Anders, graag toelichten
Anders, graag toelichten
0% 5% 10% 15% 20% 25% 30% 35%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
0%
5%
10%
15%
Privacy in uw organisatie
20%
25%
11
Privacy in uw organisatie
Bij 64% van de deelnemende organisaties is het onderwerp privacy een
samenspel tussen IT (Security), de Business en Legal …
Waar is het onderwerp privacy
binnen uw organisatie primair belegd?
… maar bij slechts een minderheid van de organisaties vindt periodiek
of dagelijks overleg plaats tussen IT (Security), de Business en Legal om
het onderwerp privacy te bespreken.
Hoe vaak komen IT (Security)
Business en Legal bij elkaar om
privacyzaken te bespreken?
Alleen bij incidenten
Ad Hoc (zonder
directe aanleiding)
Privacy is primair een IT
(Security) onderwerp
Periodiek,
minimaal jaarlijks
Privacy is primair een
Business onderwerp
Periodiek, minimaal
eens per kwartaal
Privacy is primair
een Legal onderwerp
Periodiek,
minimaal maandelijks
Privacy is een samenspel
tussen IT (Security),
Business en Legal
IT (Security), Business en
Legal werken dagelijks
intensief samen
Nergens
0% 10% 20% 30% 40% 50% 60% 70%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
0% 5% 10% 15% 20% 25% 30% 35% 40%
Privacy in uw organisatie
12
Privacy in uw organisatie
Bij ongeveer de helft van de organisaties is niet gedocumenteerd
welke persoonsgegevens worden verwerkt. Slechts 16% heeft alle
verwerkingen zowel inzichtelijk als gedocumenteerd.
Bij meer dan de helft van de organisaties vindt beoordeling van
compliance aan de Wet bescherming persoonsgegevens helemaal niet
of uitsluitend op ad hoc basis plaats. Bij 42% van de deelnemende
organisaties is sprake van periodieke beoordeling.
Worden privacy en compliance aan
de Wet bescherming persoonsgegevens
(Wbp) periodiek beoordeeld?
Heeft uw organisatie inzichtelijk en
gedocumenteerd welke persoonsgegevens
worden verwerkt?
Alle verwerkingen
zijn in­zichtelijk en
gedocumenteerd
Ja, als onderdeel van een
reguliere auditcyclus
De meeste verwerkingen
zijn inzichtelijk en
gedocumenteerd
Ja, beoordeling vindt
anderszins periodiek
plaats (geen audit)
De meeste verwerkingen
zijn inzichtelijk, maar niet
gedocumenteerd
Nee, alleen ad hoc
Verwerkingen zijn niet/
slecht inzichtelijk en worden
niet gedocumenteerd
Nee, er vindt geen
beoordeling plaats
Weet ik niet
Weet ik niet
0%
10%
20%
30%
40%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
50%
0%
5% 10% 15% 20% 25% 30% 35%
Privacy in uw organisatie
13
Privacy in uw organisatie
Bijna de helft van de organisaties geeft aan geen of vrijwel geen
verzoeken tot inzage in persoonsgegevens te ontvangen. 40% van de
respondenten geeft aan niet te weten hoe vaak dergelijke verzoeken
worden gedaan.
Ruim een derde van de organisaties geeft aan dat het nog onvoldoende
waarborgen heeft geïmplementeerd om verzoeken tot inzage in
persoonsgegevens adequaat af te kunnen handelen.
Heeft uw organisatie voldoende
waarborgen om verzoeken tot inzage
in persoonsgegevens af te handelen?
Hoe vaak krijgt u
inzageverzoeken op jaarbasis?
0-5
6-20
Ja, wij hebben
voldoende waarborgen
21-50
Nee, maar we zouden
het moeten hebben
>50
Nee, maar we krijgen nooit
dergelijke verzoeken
Weet ik niet
Weet ik niet
0%
10%
20%
30% 40%
50% 60%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
0%
10%
20%
30% 40%
Privacy in uw organisatie
50% 60%
14
Uw organisatie en het privacyrisico
Meer dan de helft van de deelnemende organisaties zegt in het
geheel geen risicoanalyses te hebben uitgevoerd betreffende de
omgang met persoonsgegevens.
Heeft uw organisatie een of meerdere
risicoanalyses uitgevoerd (bijvoorbeeld
Privacy Impact Assessments) in het
kader van omgang met persoonsgegevens?
Bij 66% van de organisaties heeft het personeel in de afgelopen
12 maanden geen training of opleiding op het gebied van
privacy gevolgd.
Hebben u en/of uw collega’s
de afgelopen 12 maanden
privacytrainingen gevolgd?
Ja, e-learnings
Ja, wij hebben meerdere
risicoanalyses uitgevoerd
Ja, trainingen van minder
dan een dagdeel
Ja, wij hebben één risicoanalyse uitgevoerd
Ja, trainingen van minder
dan een dagdeel
Nee, wij hebben
dit niet gedaan
Ja, trainingen van
meer dan één dagdeel
Weet ik niet
Nee
0%
10%
20%
30% 40%
50% 60%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
0% 10% 20% 30% 40% 50% 60% 70%
Uw organisatie en het privacyrisico
15
Privacy en uw leveranciers
In hoeverre is inzichtelijk of er sprake is van datastromen tussen de eigen organisatie en relaties zoals klanten en leveranciers?
Twee derde van de deelnemers antwoordt dat de eigen organisatie niet of slechts redelijk zicht heeft op datastromen naar
externe partijen. 31% geeft zelfs aan daarop wel goed zicht te hebben.
Heeft uw organisatie als geheel vanuit privacy-oogpunt
goed inzicht in de datastromen betreffende persoonsgegevens
tussen uw organisatie en externe partijen (leveranciers
klanten gegevensbewerkers)?
Ja, goed
Ja, redelijk
Nee
Weet ik niet
0%
10%
20%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
30%
40%
50%
60%
Privacy en uw leveranciers
16
Privacy en uw leveranciers
Bijna de helft van de deelnemende organisatie maakt gebruik van
bewerkersovereenkomsten als juridische basis voor de verzending van
persoonsgegevens naar externe partijen. 25% van de organisaties
maakt geen gebruik van bewerkersovereenkomsten.
Maakt u gebruik van
bewerkersovereenkomsten indien
u persoonsgegevens door derden
laat bewerken?
Als reden voor het niet gebruiken van bewerkersovereenkomsten
geeft 59% van de deelnemers aan dat in de bestaande contracten al
de vereiste privacy clausules worden opgenomen. 5% gebruikt geen
bewerkersovereenkomsten omdat dit als te omslachtig wordt ervaren.
Waarom maakt u geen gebruik
van bewerkersovereenkomsten?
Ja
Ik weet niet wat een
bewerkersovereenkomst is
Nee
Ik vind het gebruik
ervan omslachtig
Niet van toepassing
In bestaande contracten
nemen wij de vereiste
privacy clausules op
Weet ik niet
Anders, graag toelichten
0%
10%
20%
30%
40%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
50%
0% 10% 20% 30% 40% 50% 60% 70%
Privacy en uw leveranciers
17
Privacy en uw leveranciers
62% van de respondenten geeft aan dat bewerkersovereenkomsten niet periodiek op naleving worden gecontroleerd.
Bij slechts 27% is wel sprake van periodieke controle.
Controleert u de bewerkersovereenkomsten
periodiek op naleving (of laat u deze
periodiek controleren)?
Ja
Nee
Weet ik niet
0%
10%
20%
30%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
40%
50%
60%
70%
Privacy en uw leveranciers
18
Privacy-incidenten en meldingen
Een meerderheid van de respondenten geeft aan dat er zich bij de
eigen organisatie het afgelopen jaar geen privacy-incidenten hebben
voorgedaan. In 12% van de gevallen is sprake van een toename van
het aantal privacy-incidenten. 13% geeft aan geen zicht te hebben op
mogelijke privacy-incidenten.
Is het aantal privacy-incidenten
voor zover u weet toe- of afgenomen
in het afgelopen jaar?
Bijna de helft van de deelnemers geeft aan dat de eigen organisatie
goed tot zeer goed heeft gereageerd op privacy-incidenten die zich
hebben voorgedaan.
Hoe heeft uw organisatie
naar uw oordeel gereageerd op
de privacy-incidenten?
Slecht/onacceptabel
Toegenomen
Niet goed
Stabiel gebleven
Redelijk (gemiddeld)
Afgenomen
Goed
Niet van toepassing,
er hebben zich geen
incidenten voorgedaan
Zeer goed
Weet ik niet
Weet ik niet
0%
10%
20%
30%
40%
50%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
60%
0% 5% 10% 15% 20% 25% 30% 35% 40%
Privacy-incidenten en meldingen
19
Privacy-incidenten en meldingen
61% van de organisaties analyseert privacy-incidenten met het oog op
voorkoming van toekomstige incidenten. In 23% van de gevallen vindt
geen analyse plaats.
De verantwoordelijkheid voor het analyseren van privacy-incidenten
wordt door organisaties op verschillende niveau’s belegd. In 26% van de
gevallen ligt de primaire verantwoordelijkheid bij de Security Officer.
Worden privacy-incidenten geanalyseerd
om toekomstige privacy-incidenten te voorkomen?
Wie is verantwoordelijk voor het analyseren
van privacy-incidenten?
IT Manager
Privacy Officer
Security Officer
Compliance Officer
Functionaris
gegevensbescherming
Risk Manager
Hoofd Internal Audit
Ja
Nee
Legal Counsel
Controller
HR Manager
Niemand
Weet ik niet
0% 10% 20% 30% 40% 50% 60% 70%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Anders, graag toelichten
0% 5% 10% 15% 20% 25% 30% 35%
Privacy-incidenten en meldingen
20
Nieuwe privacywetgeving
In de toekomst ontstaat voor alle organisaties de verplichting om datalekken binnen zeer korte termijn te melden bij het
College Bescherming Persoonsgegevens (inclusief impact, te nemen maatregelen, etc.) en om betrokkenen hierover te
informeren. Slechts 12% van de deelnemende organisaties geeft aan dat het goed tot zeer goed is voorbereid om aan deze
verplichting te voldoen.
Vindt u dat uw organisatie goed is voorbereid
om aan deze verplichtingen te voldoen?
Slecht/Onacceptabel
Niet goed
Redelijk (gemiddeld)
Goed
Zeer goed
Weet ik niet
0%
5%
10%
15%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
20%
25%
30%
35%
40%
Nieuwe privacywetgeving
21
Nieuwe privacywetgeving
Profiling van persoonsgegevens biedt de mogelijkheid om deze gegevens voor marketing en andere commerciële
doeleinden aan te wenden. Profiling is echter niet ongelimiteerd toegestaan. 36% van de organisaties maakt gebruik
van profiling van persoonsgegevens. In bijna een kwart van de gevallen maakt profiling zelfs onderdeel uit van het
strategisch beleid van de organisatie.
‘Profiling’ omvat het methodisch opstellen van klantprofielen
voor onder meer marketing en andere commerciële doeleinden.
Vindt binnen uw organisatie profiling van persoonsgegevens plaats?
Ja, profiling maakt onderdeel
uit van het strategisch/
commercieel beleid
Ja, profiling vind
sporadisch plaats
Nee
Weet ik niet
0%
10%
20%
30%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
40%
50%
60%
70%
Nieuwe privacywetgeving
22
Nieuwe privacywetgeving
Onder de aanstaande Europese Privacy Verordening wordt het voor
veel organisaties verplicht om een Privacy Officer aan te stellen. Bij
slechts 17% van de deelnemende organisaties is al een Privacy Officer
aangesteld. 41% van de organisaties geeft aan dat er al plannen zijn
om dit te doen.
Heeft uw organisatie al een
Functionaris Gegevensbescherming
of Privacy Officer aangesteld?
Ruim twee derde van de deelnemende organisaties geeft aan dat
er in de eigen organisatie geen procedure bestaat om aan het ‘recht
om vergeten te worden’ te kunnen voldoen door verzoeken om
persoonsgegevens te wissen af te handelen.
De Europese Privacy Verordening kent
het ‘Recht om vergeten te worden’. Heeft
uw organisatie een interne procedure om
verzoeken af te handelen om persoonsgegevens
te wissen?
Ja, deze is al aangesteld
Nee, maar we zijn
het wel van plan
Ja, wij hebben een
dergelijke procedure
geïmplementeerd
Nee, ik wist niet dat dit
een nieuwe regel is
Nee, maar we zijn bezig
deze procedure te
definiëren/implementeren
Niet van toepassing,
wij voldoen niet aan de
criteria zoals gesteld
Nee, wij hebben hiervoor
(nog) geen procedure
gedefinieerd
Weet ik niet
Weet ik niet
0% 5% 10% 15% 20%25%30%35%40%45%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
0% 10% 20% 30% 40% 50% 60% 70%
Nieuwe privacywetgeving
23
Nieuwe privacywetgeving
Een Europese Data Privacy Protection Seal beperkt de risico’s die voor organisaties voortvloeien uit de omgang met
persoonsgegevens. Ruim een derde van de organisaties geeft aan het redelijk tot zeer nuttig te vinden om over een
Europese Data Privacy Protection Seal te beschikken.
Door de Europese Privacy Verordening wordt het mogelijk om
als organisatie een Europese Data Privacy Protection Seal te halen.
Denkt u dat het voor uw organisatie nuttig is om een dergelijk
Data Privacy Protection Seal te halen?
Ja, zeer nuttig
Ja, redelijk nuttig
Nee, niet nuttig
Weet ik niet
0%
5%
10%
15%
20% 25% 30% 35% 40% 45%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Nieuwe privacywetgeving
24
Stellingen
Voor een zeer ruime meerderheid van de organisaties is de bescherming van de persoonsgegevens van klanten,
personeel en andere relaties de belangrijkste reden om het onderwerp privacy hoog op de agenda te zetten. Bij slechts een
gering aantal organisaties is het onder de aanstaande Europese Privacy Verordening sterk verhoogde boeterisico de
belangrijkste reden.
De belangrijkste reden voor onze organisatie
om privacy hoog op de agenda te zetten is:
Het risico op een boete van 5%
van de wereldwijde omzet tot een
maximum van EUR 100.000.000
Wij voelen ons verantwoordelijk
voor de bescherming van persoonsgegevens van onze klanten,
medewerkers en andere relaties
Wij zijn bang voor reputatieschade
ingeval van privacy incidenten
Privacy staat bij ons niet
hoog op de agenda
0%
10%
20%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
30%
40%
50%
60%
70%
80%
Stellingen
25
Stellingen
Een meerderheid van de deelnemende organisaties geeft aan dat het de toekomstige wijzigingen in privacyregelgeving
nog niet heeft geïdentificeerd. 31% van de organisaties geeft aan de wijzigingen wel in beeld te hebben maar nog niet te
zijn begonnen met de implementatie ervan.
Wij zijn klaar voor de wijzigingen in de
privacyregelgeving (Europese Privacy
Verordening/ Wet Meldplicht Datalekken):
Wij zijn er klaar voor
Wij hebben de wijzigingen
geïdentificeerd en zijn bezig
met de implementatie
Wij hebben de wijzigingen
geïdentificeerd, maar zijn nog niet
begonnen met de implementatie
Wij hebben de wijzigingen
nog niet geïdentificeerd
0%
10%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
20%
30%
40%
50%
60%
Stellingen
26
Stellingen
Op basis van de Europese Privacy Verordening wordt het verplicht om bij de ontwikkeling en implementatie van nieuwe
systemen rekening te houden met de privacy van betrokkenen en de bescherming van persoonsgegevens. Van alle
deelnemende organisaties geeft echter 30% aan hier bij de ontwikkeling van nieuwe systemen niet altijd rekening mee
te houden.
Bij implementatie van nieuwe systemen houden wij altijd in een
vroeg stadium rekening met privacy-aspecten en de bescherming
van persoonsgegevens (Privacy by Design principe):
Eens
Oneens
0%
10%
20%
30%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
40%
50%
60%
70%
80%
Stellingen
27
Stellingen
In hoeverre wordt de strikte privacywetgeving ervaren als een rem op de innovatiekracht van ondernemingen? 20%
van de respondenten ervaart privacyregelgeving als belemmerend voor de innovatiemogelijkheden van de organisatie.
80% ziet privacyregelgeving niet als een belemmering voor innovatie.
Privacyregelgeving beperkt onze innovatiemogelijkheden:
Eens
Oneens
0%
10% 20% 30% 40% 50% 60% 70% 80% 90%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Stellingen
28
Stellingen
De wijze van omgang met persoonsgegevens en privacy van relaties kan door organisaties worden gebruikt om zich te
profileren en te onderscheiden van de concurrentie. In hoeverre maken organisaties gebruik van dit onderscheidende
vermogen? Slechts minder dan een kwart van de organisaties benut het privacybeleid om zich te onderscheiden in
de markt.
Wij gebruiken privacy en ons privacybeleid
om ons te profileren en te onderscheiden in de markt:
Eens
Oneens
0%
10% 20% 30% 40% 50% 60% 70% 80% 90%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Stellingen
29
Over u en uw organisatie
De individuele respondenten van de survey zijn werkzaam in een grote
verscheidenheid aan functies.
Welke van deze functietitels beschrijft uw rol het beste?
De deelnemende organisaties zijn actief in een grote verscheidenheid
aan sectoren.
Welke sectorclassificering is het meest van toepassing
op de belangrijkste activiteiten van uw organisatie?
Management Board
Chief Information Officer
IT Manager
Privacy Officer
Security Officer
Industriële sector
Compliance Officer
Detailhandel
Functionaris
Gegevensbescherming
Financiële sector
Energie sector
Risk Manager
Gezondheidszorg
Hoofd Internal Audit
Publieke sector - Regionaal
Legal Counsel
Publieke sector - Nationaal
Controller
HR Manager
Technologie,
Media & Telecom
Anders, graag toelichten
Anders, graag toelichten
0%
5%
10%
15%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
20%
0%
5%
10%
15%
20%
Over u en uw organisatie
25%
30%
30
Over u en uw organisatie
46% van de deelnemende organisaties heeft minder dan 500 werknemers. 28% van de organisaties heeft tussen de
1.000 en 5.000 werknemers en 7% heeft meer dan 50.000 werknemers.
Hoeveel werknemers heeft uw organisatie wereldwijd?
0-500
500-1.000
1.000-5.000
5.000-20.000
20.000-50.000
>50.000
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Over u en uw organisatie
31
Bijlagen
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Bijlagen
32
Bijlage A: Privacy Portfolio van PwC
Strategie
• Ondersteunen bij ontwikkeling algemeen
privacy beleid
• Vormgeven privacy strategie
• Opstellen privacy roadmap
• Verhogen van het privacy
bewustzijn
r
St
Transformatie
management
Nazorg
• Organiseren van workshops om
medewerkers te wijzen op belang
van privacy
• Privacybeleid en de genomen maatregelen
publiceren op Intranet
• Governance beoordelingen
ng
PwC
Privacy
Portfolio
Assurance
Assurance
• A fgeven van Assurance
rapporten
o.b.v. Richtlijn 3600/
SOC2
• A fgeven van privacy
certificering
ie
eg
at
Verkenning
• R isicoanalyse op privacy gevoelige gegevens
• Inzichtelijk maken van de mogelijkheden voor gebruik van persoonsgegevens
• Classificeren van de privacy gevoelige data
Ve
• Uitvoeren van een nulmeting
rk
• Analyse van contractuele structuren rondom de verwerking
en
ni
van persoonsgegevens
Transformatie Management
• Opstellen van een privacy programma
• Inzichtelijk maken van benodigde
veranderingen in IT-systemen
• U
itvoeren GAP-analyses
• Uitvoeren Privacy Impact Assessment
• Uitvoeren Contract assessments
ie
Na
z
or
g
at
nt
e
Im
Implementatie
• Centraal beleggen van verantwoordelijk­heden
mb.t. persoonsgegevens
• I nbedden van privacy maatregelen in het huidige controle raamwerk
• I T-systemen updaten om maatregelen systeemtechnisch af te dwingen
• Meldingen en registraties bij College Bescherming Persoonsgegevens
Analyse en opstellen van privacy policies
m
ple
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Bijlage A
33
Contactgegevens
Meer weten over Privacy Governance onderzoek
en wat PwC voor uw organisatie kan doen? Neem contact op met:
Erwin de Horde
Yvette van Gemerden
Adri de Bruijn
Partner Risk Assurance
+31 (0)88 792 51 85
[email protected]
Partner Legal Services
+31 (0) 88 792 54 42
[email protected]
Partner Consulting Technology
+31 (0) 88 792 65 87
[email protected]
www.pwc.nl/privacy
© 2015 PwC. Alle rechten voorbehouden. Niet bestemd voor verdere openbaarmaking zonder toestemming van PwC.
‘PwC’ is het merk waaronder member firms van PricewaterhouseCoopers International Limited (PwCIL) handelen en diensten verlenen.
Samen vormen deze firms het wereldwijde PwC-netwerk. In dit document wordt met ‘PwC’ gedoeld op het wereldwijde PwC-netwerk of,
als dit uit de context voorvloeit, op individuele member firms van het PwC-netwerk. Elke aangesloten firma is een afzonderlijke juridische entiteit.
Kijk op www.pwc.com/structure voor meer informatie.
PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties
Contactgegevens
34