Hoe privacyvolwassen is mijn organisatie? - KPMG Nederland
close
Share with your friends
Hoe privacyvolwassen is mijn organisatie?

Hoe privacyvolwassen is mijn organisatie?

Hoe privacyvolwassen is mijn organisatie?

Hoe privacyvolwassen is mijn organisatie?

U besteedt aandacht aan privacy binnen uw organisatie. Is dit voor uw klanten óók voldoende? De maatschappij is bijzonder kritisch geworden op de omgang met persoonsgegevens. Een goed privacybeleid is nu een licence to operate. Uw klant verwacht dat u zich privacyvolwassen gedraagt. Maar wat is dat? Hoe meet u het én hoe groeit u in volwassenheid? Wij bieden inzicht.

In onze visie op privacyvolwassenheid zijn er vijf niveaus waarop een organisatie zich kan bevinden (zie het kader onderaan deze pagina). Het ideaalbeeld is dat uw organisatie doorgroeit naar het vijfde niveau. Daar liggen de grootste kansen voor het versterken van uw reputatie. Of u dit echt wilt, bepaalt u aan de hand van de benodigde investeringen, ingeschatte risico’s en verwachte opbrengsten. Privacyvolwassenheid is geen natuurlijk proces, maar een bewuste keuze waarbij de nodige stappen genomen dienen te worden. Het moet passen bij uw organisatie en omgeving.

Meten van uw privacyvolwassenheidsniveau

Wij helpen organisaties bij het meten van hun privacyvolwassenheid. Dat doen we systematisch aan de hand van een door ons internationaal ontwikkeld en toegepast raamwerk. Voorbeelden van punten die we beoordelen:

  • Welk type persoonsgegevens wordt verwerkt; zijn dit gevoelige gegevens?
  • Op welke schaal worden persoonsgegevens verwerkt?
  • In hoeverre zijn privacyrisico’s beoordeeld en geborgd?
  • Liggen de taken en verantwoordelijkheden voor privacywaarborging vast?
  • Zijn er overeenkomsten met partijen waarmee persoonsgegevens worden gedeeld?
  • Hoe is het privacybewustzijn van medewerkers binnen de organisatie?
  • Op welke manier voldoet de organisatie aan de eisen van de AVG zoals transparantie, kwaliteit en bescherming van gegevens en verantwoordingsplicht?
  • Op welke manier zijn de privacyprocessen en -procedures binnen de organisatie geoptimaliseerd en herhaalbaar, bijvoorbeeld op het gebied van datalekken, verzoeken van betrokkenen of toezichthouders en dataretentie? 

Welk niveau past bij uw ambitie?

Is uw huidige volwassenheidsniveau passend, of ligt uw ambitie hoger? Indien dit laatste het geval is, dan is het tijd om te bepalen welke stappen nodig zijn om door te groeien. Wij kunnen u hierin begeleiden. Zo hebben we in veel sectoren best practices, die u concreet inzicht geven in de mogelijkheden. 

Stappen maken

Zodra door de meting uw volwassenheidsniveau en ambitie bekend zijn, hebt u inzicht in het verschil tussen beide en in de benodigde stappen. Nu gaat het om concrete maatregelen en acties. Deze kunnen bijvoorbeeld op het vlak liggen van cultuur of cybersecurity. KPMG adviseert ook over tools die u helpen grip te krijgen op privacy. Bijvoorbeeld door meer inzicht in de persoonsgegevens die verwerkt worden. En door het automatiseren van het beheer van privacymaatregelen en ondersteunen van de workflow van medewerkers op het vlak van privacy. Met name deze tooling helpt organisaties om met relatief weinig capaciteit grote stappen te zetten naar een hoger volwassenheidsniveau.

U doet het niet alleen

KPMG begeleidt u bij de beoordeling van uw privacyvolwassenheidsniveau en stelt graag samen met u vast wat uw ambitie op het vlak van privacy is. Onze Data Privacy-specialisten begeleiden u vervolgens bij het bepalen en nemen van de juiste stappen op weg naar een hoger niveau. Bijvoorbeeld door de invoering van slimme tooling of met een traject gericht op een hoger privacybewustzijn. 

Daarom KPMG

Privacy is een kernactiviteit van ons multidisciplinair Cyber Security & Data Privacy team. Dit team begeleidt continu organisaties op het vlak van privacy en gegevensbescherming. Met een aanpak en tools die op basis van jarenlange ervaring goed aansluiten bij de praktijk van onze klanten. Een zeker en vertrouwd gevoel. Samen met u zorgen wij ervoor dat borging van privacy wel een kernactiviteit wordt! 

Meer weten?

Maak nu een afspraak voor een vrijblijvend adviesgesprek met Chantal Rademaker de Ridder, partner Cyber Security & Data Privacy. Zij bespreekt graag uw vraag en geeft inzicht in onze oplossingen. 

 De vijf volwassenheidsniveaus voor privacy

1. Ad hoc

  • Er is geen documentatie of standaardisatie van privacyprocessen.
  • Er wordt ad hoc gewerkt op een case-by-case en individualistische basis; verantwoordelijkheden zijn met name op individueel niveau.  
  • Er wordt in hoge mate gesteund op de kennis van individuen, waardoor fouten waarschijnlijk zijn. Er wordt reactief gereageerd op fouten en incidenten.
  • Compliancy met privacy wet- en regelgeving is incidenteel en niet structureel geborgd binnen de organisatie.

2. Herhaalbaar, maar intuïtief

  • Er is algemeen beleid of beleid voor belangrijke delen, maar niet noodzakelijk formeel vastgelegd. De minimale documentatie (bijvoorbeeld beleid, richtlijnen of werkinstructies) is veelal alleen per organisatieonderdeel in plaats van organisatiebreed.
  • De implementatie en/of naleving van het privacybeleid kan verschillen per afdeling. Compliancy met privacy wet- en regelgeving verschilt daarom ook per organisatieonderdeel.
  • Er zijn beheersmaatregelen, maar risico’s zijn niet overal afgedekt en gedocumenteerd.
  • Er is vaak wel rapportage over de bescherming van persoonsgegevens op afdelingsniveau of projectniveau, maar vaak niet structureel richting het hogere management. Het hogere management kan dit per organisatieonderdeel eventueel wel opvragen.

3. Gedefinieerd

  • De belangrijkste processen zijn gestandaardiseerd, gedefinieerd en voorzien van bijpassende beheersmaatregelen.
  • De gedocumenteerde standaardprocedures en werkinstructies worden organisatiebreed gecommuniceerd en getraind. Er bestaat organisatiebrede sturing op de naleving van deze procedures en werkinstructies.
  • Er zijn formele maatregelen die ervoor zorgen dat procedures effectief werken.
  • Privacywerkwijzen worden consistent uitgevoerd binnen de sleutelfuncties en de verschillende organisatieonderdelen.  
  • Er wordt proactief nagedacht over kritieke privacyfouten of incidenten die zich kunnen voordoen, zodat er kan worden nagedacht over het voorkomen en oplossen ervan.
  • Procesverbetering vindt plaats op basis van een kwalitatieve analyse.
  • Er is organisatiebreed (minimale) compliancy met privacy wet- en regelgeving.

4. Beheerst en meetbaar

  • Formele processen met review en goedkeuring zijn ingebouwd en waar nodig worden deze consistent gecommuniceerd door de hele organisatie.
  • Activiteiten zijn consistent en worden goed gecommuniceerd binnen de organisatie.
  • Er is een onafhankelijke audit- of assessment unit om te monitoren of processen, maatregelen en werkinstructies effectief werken.
  • De effectiviteit van de beheersmaatregelen wordt periodiek geëvalueerd en kwantitatief gecontroleerd.
  • Er wordt proactief nagedacht over het voorkomen van zo veel mogelijk privacy- fouten en -incidenten. Er zijn adequate procedures opgesteld om fouten en incidenten zo veel mogelijk te voorkomen en indien nodig, hier zo adequaat mogelijk op te reageren.

5. Geoptimaliseerd

  • Het bestuur van de organisatie heeft continu inzicht in de stand van zaken met betrekking tot de bescherming van persoonsgegevens en kan dit vergelijken met die van de branche.
  • De privacy-aanpak van de organisatie kan gebruikt worden als unique selling point en maakt derhalve deel uit van de waardepropositie naar klanten.
  • De effectiviteit en de uitvoering van het privacybeleid worden voortdurend gemonitord en bijgesteld waar nodig.
  • Systematische procesverbetering op basis van metingen is onderdeel geworden van de bedrijfsvoering.  
  • Het privacybeleid en de operationele uitvoering van de organisatie is effectief en veerkrachtig. Hierdoor kan de organisatie het beleid en bijbehorende werkwijzen gemakkelijk aanpassen indien ervaringen en prognoses binnen en buiten de organisatie hierom vragen. Ook kunnen externe ontwikkelingen, zoals veranderde wet- en regelgeving of maatschappelijke ontwikkelingen, snel en effectief worden vertaald naar een vernieuwd privacybeleid en/of een vernieuwde aanpak.