Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties"

Transcriptie

1 Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties PwC Nederland Februari 2015

2 Inhoudsopgave Introductie Privacy Health Check 3 Managementsamenvatting 6 Resultaten 9 Overzicht van de resultaten per hoofdstuk 10 Privacy in uw organisatie 11 Uw organisatie en het privacyrisico 16 Privacy en uw leveranciers 17 Privacy-incidenten en meldingen 20 Nieuwe privacywetgeving 22 Stellingen 26 Over u en uw organisatie 31 Bijlagen 33 Bijlage A: Privacy Portfolio van PwC 34 Contactgegevens 34 PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Inhoudsopgave 2

3 Introductie Privacy Health Check De bescherming van persoonsgegevens speelt een steeds belangrijkere rol in de maatschappij. Technologische ontwikkelingen stellen organisaties, waaronder die van u, in staat om meer en op uitgebreidere schaal persoonsgegevens te verzamelen, samen te voegen en op te slaan. Tegelijkertijd wordt de samenleving en de politiek kritischer over het gebruik van persoonsgegevens. Dit uit zich in aangescherpte regelgeving waar ook uw organisatie mee te maken krijgt. Om deze redenen heeft PwC de Privacy Health Check uitgevoerd. Wat is het doel van de Privacy Health Check en hoe kan deze uw organisatie helpen? De Privacy Health Check verschaft een uniek beeld in hoeverre uw organisatie klaar is voor de nieuwe Europese Privacy Verordening (EPV) en in de mate van volwassenheid inzake de bescherming van persoonsgegevens. Daarnaast biedt het de mogelijkheid om de resultaten te vergelijken met andere voor u relevante organisaties. De publicatie geeft daarmee een eerste inzicht in de wijze waarop organisaties in Nederland omgaan met privacy. Het geeft echter geen oordeel over de privacyprestaties en compliance van uw organisatie als geheel. Toegevoegde waarden voor u en uw organisatie zijn de volgende: beter begrip van de aard en impact van nieuwe privacywetgeving; balans opmaken van de voor u relevante privacyrisico s; vergroten van bewustwording; privacy governance en resilience van uw eigen organisatie evalueren. PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Introductie Privacy Health Check 3

4 Uitsplitsing van de resultaten In totaal hebben 93 organisaties, uit verschillende sectoren, deelgenomen aan de Privacy Health Check. De resultaten hiervan zijn grafisch weergegeven in de volgende hoofdstukken: Privacy in uw organisatie; Uw organisatie en het privacyrisico; Privacy en uw leveranciers; Privacy-incidenten en meldingen; Nieuwe privacywetgeving; Stellingen; Over u en uw organisatie. Hoe de resultaten in te zetten voor uw eigen doeleinden Op basis van het overall beeld zoals opgenomen in dit rapport adviseren wij om: 1. Het rapport en de aanbevelingen te bespreken met de privacyverantwoordelijken binnen uw organisatie om hen in staat te stellen de strategische richting uit te stippelen; 2. De strategische richting te vertalen in een actieplan dat onder meer moet leiden tot organisatorische, procedurele en technische maatregelen; 3. Periodiek de effectiviteit van deze maatregelen te meten. PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Introductie Privacy Health Check 4

5 De informatie verkregen via deze survey is uitsluitend gebruikt voor totstandkoming van dit rapport. Wij zijn uiteraard bereid om aan de hand van de uitkomsten de privacystatus van uw organisatie met u te bespreken en u te faciliteren bij de ontwikkeling van een actieplan die past bij uw organisatie en aandachtsgebieden. Met vriendelijke groet, Erwin de Horde Partner Risk Assurance Yvette van Gemerden Partner Legal Services Adri de Bruijn Partner Consulting Technology PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Introductie Privacy Health Check 5

6 Managementsamenvatting PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Managementsamenvatting 6

7 Belangrijke zaak 72% van de deelnemende organi saties zet privacy hoog op de agenda vanuit verantwoordelijkheidsgevoel. 20% doet dit primair vanwege het risico op reputatieschade of boetes. Samenspel vereist Het merendeel van de organisaties onderkent dat privacy een samenspel is tussen Business, Legal en IT (security). Frequentie van de afstemming varieert. 20 % 32 % Bij incidenten 38 % Ad hoc Periodiek Onderscheidend vermogen niet benut Slechts 23% van de deelnemers geeft aan dat privacy een onderwerp is waarmee de organisatie zich actief profileert en onderscheidt in de markt. Volwassenheid moet groeien Slechts 35% van de deelnemers denkt dat de eigen organisatie gekwalificeerd is om op een (zeer) volwassen manier om te gaan met persoonsgegevens. Train uw mensen Bij 66% van de organisaties heeft in het afgelopen jaar geen training voor de medewerkers plaatsgevonden op het gebied van privacy en persoonsgegevens. Bij 17% is de omgang met persoonsgegevens onvolwassen. Bij 48% is de organisatie op dit vlak redelijk volwassen. Bij 35% is de omgang volwassen tot zeer volwassen. Ja, e-learnings Ja, trainingen van minder dan een dagdeel Ja, trainingen van één dagdeel Ja, trainingen van meer dan één dagdeel Nee PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Managementsamenvatting 7

8 Privacy incidenten stabiel 53% geeft aan dat in 2014 geen privacy incidenten hebben voorgedaan. Bij 22% van de organisaties is het aantal stabiel gebleven ten opzichte van Leveranciersafspraken nog niet voldoende Begrip van de risico s en impact 52% van de deelnemende organisaties voert geen risico analyses (bijvoorbeeld privacy impact assess- Toegenomen Afgenomen van leveranciers. Stabielgebleven 25% sluit geen 52% bewerkersovereenkomsten ments) op het gebied Niet van toepassing, er hebben zich geen incidenten voorgedaan af met leveranciers. van privacy uit. Klaar voor de toekomst Privacy Officer Right-to-be-forgotten 17% van de deelnemers geeft aan mogelijk maken 32 % al een privacy Officer (of Functionaris 12% van de deelnemers is klaar voor de verwachte privacyregelgeving of is de wijzigingen aan het implementeren. Van de resterende 88% heeft een minderheid de wijzigingen al geïdentificeerd. Wijzigingen al geïdentificeerd 56 % Wijzigingen niet geïdentificeerd 43% geeft aan gebruik te maken van bewerkersovereenkomsten bij inzet 17% Gegevensbescherming) te hebben 41% aangesteld. is van plan een Privacy Officer te gaan aanstellen, echter 26% van de organisaties was zich niet bewust dat dit een vereiste is in 26% de verwachte privacyregelgeving. 82% van de deelnemers heeft nog geen procedure om verzoeken tot het wissen van persoonsgegevens af te kunnen handelen. PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Managementsamenvatting 8

9 Resultaten PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Resultaten 9

10 Privacy in uw organisatie Slechts 35% van de respondenten geeft aan dat de omgang met persoonsgegevens binnen de eigen organisatie volwassen tot zeer volwassen is. Een meerderheid acht de omgang met persoonsgegevens in de eigen organisatie niet volwassen. Bijna een derde van de organisaties heeft geen formeel privacybeleid. In 27% van de organisaties is sprake van een apart privacybeleid terwijl privacy bij 23% van de organisaties onderdeel uitmaakt van het informatiebeveiligingsbeleid. Hoe volwassen (ontwikkeld) is naar uw mening de omgang met persoonsgegevens binnen uw organisatie (inclusief koppeling met strategie rapportagevereisten en privacybeleid)? Heeft uw organisatie een formeel privacybeleid geïmplementeerd? Onvolwassen Redelijk volwassen Volwassen Zeer volwassen Ja, er is een apart privacybeleid Ja, als onderdeel van het algemene beleid ja, als onderdeel van het informatiebeveiligingsbeleid Nee Anders, graag toelichten 0% 10% 20% 30% 40% 50% 60% 0% 5% 10% 15% 20% 25% 30% 35% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy in uw organisatie 10

11 Privacy in uw organisatie Het blijkt dat organisaties de verantwoordelijkheid voor het privacybeleid op veel verschillende niveaus neerleggen. In 10% van de gevallen is niemand hiervoor verantwoordelijk, terwijl ook in veel gevallen is aangegeven dat de verantwoordelijkheid op directieniveau ligt. De vraag waar de verantwoordelijkheid voor het privacybeleid behoort te liggen levert eveneens een diffuus beeld op. Bijna een derde geeft aan dat deze verantwoordelijkheid thuishoort bij de Privacy Officer of de Functionaris Gegevensbescherming. Wie is er op dit moment binnen uw organisatie verantwoordelijk voor de implementatie van het privacybeleid? Wie zou er naar uw oordeel verantwoordelijk moeten zijn voor het privacybeleid binnen uw organisatie? Chief Information Officer IT Manager Privacy Officer Security Officer Compliance Officer Functionaris Gegevensbescherming Risk Manager Hoofd Internal Audit Legal Counsel Controller HR Manager Niemand Anders, graag toelichten Chief Information Officer IT Manager Privacy Officer Security Officer Compliance Officer Functionaris Gegevensbescherming Risk Manager Hoofd Internal Audit Legal Counsel Controller HR Manager Niemand Anders, graag toelichten 0% 5% 10% 15% 20% 25% 30% 35% 0% 5% 10% 15% 20% 25% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy in uw organisatie 11

12 Privacy in uw organisatie Bij 64% van de deelnemende organisaties is het onderwerp privacy een samenspel tussen IT (Security), de Business en Legal maar bij slechts een minderheid van de organisaties vindt periodiek of dagelijks overleg plaats tussen IT (Security), de Business en Legal om het onderwerp privacy te bespreken. Waar is het onderwerp privacy binnen uw organisatie primair belegd? Hoe vaak komen IT (Security) Business en Legal bij elkaar om privacyzaken te bespreken? Privacy is primair een IT (Security) onderwerp Privacy is primair een Business onderwerp Privacy is primair een Legal onderwerp Privacy is een samenspel tussen IT (Security), Business en Legal Nergens Alleen bij incidenten Ad Hoc (zonder directe aanleiding) Periodiek, minimaal jaarlijks Periodiek, minimaal eens per kwartaal Periodiek, minimaal maandelijks IT (Security), Business en Legal werken dagelijks intensief samen 0% 10% 20% 30% 40% 50% 60% 70% 0% 5% 10% 15% 20% 25% 30% 35% 40% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy in uw organisatie 12

13 Privacy in uw organisatie Bij ongeveer de helft van de organisaties is niet gedocumenteerd welke persoonsgegevens worden verwerkt. Slechts 16% heeft alle verwerkingen zowel inzichtelijk als gedocumenteerd. Bij meer dan de helft van de organisaties vindt beoordeling van compliance aan de Wet bescherming persoonsgegevens helemaal niet of uitsluitend op ad hoc basis plaats. Bij 42% van de deelnemende organisaties is sprake van periodieke beoordeling. Heeft uw organisatie inzichtelijk en gedocumenteerd welke persoonsgegevens worden verwerkt? Worden privacy en compliance aan de Wet bescherming persoonsgegevens (Wbp) periodiek beoordeeld? Alle verwerkingen zijn in zichtelijk en gedocumenteerd De meeste verwerkingen zijn inzichtelijk en gedocumenteerd De meeste verwerkingen zijn inzichtelijk, maar niet gedocumenteerd Verwerkingen zijn niet/ slecht inzichtelijk en worden niet gedocumenteerd 0% 10% 20% 30% 40% 50% Ja, als onderdeel van een reguliere auditcyclus Ja, beoordeling vindt anderszins periodiek plaats (geen audit) Nee, alleen ad hoc Nee, er vindt geen beoordeling plaats 0% 5% 10% 15% 20% 25% 30% 35% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy in uw organisatie 13

14 Privacy in uw organisatie Bijna de helft van de organisaties geeft aan geen of vrijwel geen verzoeken tot inzage in persoonsgegevens te ontvangen. 40% van de respondenten geeft aan niet te weten hoe vaak dergelijke verzoeken worden gedaan. Ruim een derde van de organisaties geeft aan dat het nog onvoldoende waarborgen heeft geïmplementeerd om verzoeken tot inzage in persoonsgegevens adequaat af te kunnen handelen. Hoe vaak krijgt u inzageverzoeken op jaarbasis? Heeft uw organisatie voldoende waarborgen om verzoeken tot inzage in persoonsgegevens af te handelen? >50 Ja, wij hebben voldoende waarborgen Nee, maar we zouden het moeten hebben Nee, maar we krijgen nooit dergelijke verzoeken 0% 10% 20% 30% 40% 50% 60% 0% 10% 20% 30% 40% 50% 60% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy in uw organisatie 14

15 Uw organisatie en het privacyrisico Meer dan de helft van de deelnemende organisaties zegt in het geheel geen risicoanalyses te hebben uitgevoerd betreffende de omgang met persoonsgegevens. Bij 66% van de organisaties heeft het personeel in de afgelopen 12 maanden geen training of opleiding op het gebied van privacy gevolgd. Heeft uw organisatie een of meerdere risicoanalyses uitgevoerd (bijvoorbeeld Privacy Impact Assessments) in het kader van omgang met persoonsgegevens? Hebben u en/of uw collega s de afgelopen 12 maanden privacytrainingen gevolgd? Ja, e-learnings Ja, wij hebben meerdere risicoanalyses uitgevoerd Ja, wij hebben één risicoanalyse uitgevoerd Nee, wij hebben dit niet gedaan Ja, trainingen van minder dan een dagdeel Ja, trainingen van minder dan een dagdeel Ja, trainingen van meer dan één dagdeel Nee 0% 10% 20% 30% 40% 50% 60% 0% 10% 20% 30% 40% 50% 60% 70% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Uw organisatie en het privacyrisico 15

16 Privacy en uw leveranciers In hoeverre is inzichtelijk of er sprake is van datastromen tussen de eigen organisatie en relaties zoals klanten en leveranciers? Twee derde van de deelnemers antwoordt dat de eigen organisatie niet of slechts redelijk zicht heeft op datastromen naar externe partijen. 31% geeft zelfs aan daarop wel goed zicht te hebben. Heeft uw organisatie als geheel vanuit privacy-oogpunt goed inzicht in de datastromen betreffende persoonsgegevens tussen uw organisatie en externe partijen (leveranciers klanten gegevensbewerkers)? Ja, goed Ja, redelijk Nee 0% 10% 20% 30% 40% 50% 60% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy en uw leveranciers 16

17 Privacy en uw leveranciers Bijna de helft van de deelnemende organisatie maakt gebruik van bewerkersovereenkomsten als juridische basis voor de verzending van persoonsgegevens naar externe partijen. 25% van de organisaties maakt geen gebruik van bewerkersovereenkomsten. Als reden voor het niet gebruiken van bewerkersovereenkomsten geeft 59% van de deelnemers aan dat in de bestaande contracten al de vereiste privacy clausules worden opgenomen. 5% gebruikt geen bewerkersovereenkomsten omdat dit als te omslachtig wordt ervaren. Maakt u gebruik van bewerkersovereenkomsten indien u persoonsgegevens door derden laat bewerken? Waarom maakt u geen gebruik van bewerkersovereenkomsten? Ja Nee Niet van toepassing Ik weet niet wat een bewerkersovereenkomst is Ik vind het gebruik ervan omslachtig In bestaande contracten nemen wij de vereiste privacy clausules op Anders, graag toelichten 0% 10% 20% 30% 40% 50% 0% 10% 20% 30% 40% 50% 60% 70% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy en uw leveranciers 17

18 Privacy en uw leveranciers 62% van de respondenten geeft aan dat bewerkersovereenkomsten niet periodiek op naleving worden gecontroleerd. Bij slechts 27% is wel sprake van periodieke controle. Controleert u de bewerkersovereenkomsten periodiek op naleving (of laat u deze periodiek controleren)? Ja Nee 0% 10% 20% 30% 40% 50% 60% 70% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy en uw leveranciers 18

19 Privacy-incidenten en meldingen Een meerderheid van de respondenten geeft aan dat er zich bij de eigen organisatie het afgelopen jaar geen privacy-incidenten hebben voorgedaan. In 12% van de gevallen is sprake van een toename van het aantal privacy-incidenten. 13% geeft aan geen zicht te hebben op mogelijke privacy-incidenten. Bijna de helft van de deelnemers geeft aan dat de eigen organisatie goed tot zeer goed heeft gereageerd op privacy-incidenten die zich hebben voorgedaan. Is het aantal privacy-incidenten voor zover u weet toe- of afgenomen in het afgelopen jaar? Hoe heeft uw organisatie naar uw oordeel gereageerd op de privacy-incidenten? Slecht/onacceptabel Toegenomen Niet goed Stabiel gebleven Redelijk (gemiddeld) Afgenomen Niet van toepassing, er hebben zich geen incidenten voorgedaan Goed Zeer goed 0% 10% 20% 30% 40% 50% 60% 0% 5% 10% 15% 20% 25% 30% 35% 40% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy-incidenten en meldingen 19

20 Privacy-incidenten en meldingen 61% van de organisaties analyseert privacy-incidenten met het oog op voorkoming van toekomstige incidenten. In 23% van de gevallen vindt geen analyse plaats. De verantwoordelijkheid voor het analyseren van privacy-incidenten wordt door organisaties op verschillende niveau s belegd. In 26% van de gevallen ligt de primaire verantwoordelijkheid bij de Security Officer. Worden privacy-incidenten geanalyseerd om toekomstige privacy-incidenten te voorkomen? Wie is verantwoordelijk voor het analyseren van privacy-incidenten? IT Manager Privacy Officer Security Officer Ja Nee 0% 10% 20% 30% 40% 50% 60% 70% Compliance Officer Functionaris gegevensbescherming Risk Manager Hoofd Internal Audit Legal Counsel Controller HR Manager Niemand Anders, graag toelichten 0% 5% 10% 15% 20% 25% 30% 35% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy-incidenten en meldingen 20

21 Nieuwe privacywetgeving In de toekomst ontstaat voor alle organisaties de verplichting om datalekken binnen zeer korte termijn te melden bij het College Bescherming Persoonsgegevens (inclusief impact, te nemen maatregelen, etc.) en om betrokkenen hierover te informeren. Slechts 12% van de deelnemende organisaties geeft aan dat het goed tot zeer goed is voorbereid om aan deze verplichting te voldoen. Vindt u dat uw organisatie goed is voorbereid om aan deze verplichtingen te voldoen? Slecht/Onacceptabel Niet goed Redelijk (gemiddeld) Goed Zeer goed 0% 5% 10% 15% 20% 25% 30% 35% 40% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Nieuwe privacywetgeving 21

22 Nieuwe privacywetgeving Profiling van persoonsgegevens biedt de mogelijkheid om deze gegevens voor marketing en andere commerciële doeleinden aan te wenden. Profiling is echter niet ongelimiteerd toegestaan. 36% van de organisaties maakt gebruik van profiling van persoonsgegevens. In bijna een kwart van de gevallen maakt profiling zelfs onderdeel uit van het strategisch beleid van de organisatie. Profiling omvat het methodisch opstellen van klantprofielen voor onder meer marketing en andere commerciële doeleinden. Vindt binnen uw organisatie profiling van persoonsgegevens plaats? Ja, profiling maakt onderdeel uit van het strategisch/ commercieel beleid Ja, profiling vind sporadisch plaats Nee 0% 10% 20% 30% 40% 50% 60% 70% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Nieuwe privacywetgeving 22

23 Nieuwe privacywetgeving Onder de aanstaande Europese Privacy Verordening wordt het voor veel organisaties verplicht om een Privacy Officer aan te stellen. Bij slechts 17% van de deelnemende organisaties is al een Privacy Officer aangesteld. 41% van de organisaties geeft aan dat er al plannen zijn om dit te doen. Ruim twee derde van de deelnemende organisaties geeft aan dat er in de eigen organisatie geen procedure bestaat om aan het recht om vergeten te worden te kunnen voldoen door verzoeken om persoonsgegevens te wissen af te handelen. Heeft uw organisatie al een Functionaris Gegevensbescherming of Privacy Officer aangesteld? De Europese Privacy Verordening kent het Recht om vergeten te worden. Heeft uw organisatie een interne procedure om verzoeken af te handelen om persoonsgegevens te wissen? Ja, deze is al aangesteld Nee, maar we zijn het wel van plan Nee, ik wist niet dat dit een nieuwe regel is Niet van toepassing, wij voldoen niet aan de criteria zoals gesteld Ja, wij hebben een dergelijke procedure geïmplementeerd Nee, maar we zijn bezig deze procedure te definiëren/implementeren Nee, wij hebben hiervoor (nog) geen procedure gedefinieerd 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 0% 10% 20% 30% 40% 50% 60% 70% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Nieuwe privacywetgeving 23

24 Nieuwe privacywetgeving Een Europese Data Privacy Protection Seal beperkt de risico s die voor organisaties voortvloeien uit de omgang met persoonsgegevens. Ruim een derde van de organisaties geeft aan het redelijk tot zeer nuttig te vinden om over een Europese Data Privacy Protection Seal te beschikken. Door de Europese Privacy Verordening wordt het mogelijk om als organisatie een Europese Data Privacy Protection Seal te halen. Denkt u dat het voor uw organisatie nuttig is om een dergelijk Data Privacy Protection Seal te halen? Ja, zeer nuttig Ja, redelijk nuttig Nee, niet nuttig 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Nieuwe privacywetgeving 24

25 Stellingen Voor een zeer ruime meerderheid van de organisaties is de bescherming van de persoonsgegevens van klanten, personeel en andere relaties de belangrijkste reden om het onderwerp privacy hoog op de agenda te zetten. Bij slechts een gering aantal organisaties is het onder de aanstaande Europese Privacy Verordening sterk verhoogde boeterisico de belangrijkste reden. De belangrijkste reden voor onze organisatie om privacy hoog op de agenda te zetten is: Het risico op een boete van 5% van de wereldwijde omzet tot een maximum van EUR Wij voelen ons verantwoordelijk voor de bescherming van persoonsgegevens van onze klanten, medewerkers en andere relaties Wij zijn bang voor reputatieschade ingeval van privacy incidenten Privacy staat bij ons niet hoog op de agenda 0% 10% 20% 30% 40% 50% 60% 70% 80% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Stellingen 25

26 Stellingen Een meerderheid van de deelnemende organisaties geeft aan dat het de toekomstige wijzigingen in privacyregelgeving nog niet heeft geïdentificeerd. 31% van de organisaties geeft aan de wijzigingen wel in beeld te hebben maar nog niet te zijn begonnen met de implementatie ervan. Wij zijn klaar voor de wijzigingen in de privacyregelgeving (Europese Privacy Verordening/ Wet Meldplicht Datalekken): Wij zijn er klaar voor Wij hebben de wijzigingen geïdentificeerd en zijn bezig met de implementatie Wij hebben de wijzigingen geïdentificeerd, maar zijn nog niet begonnen met de implementatie Wij hebben de wijzigingen nog niet geïdentificeerd 0% 10% 20% 30% 40% 50% 60% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Stellingen 26

27 Stellingen Op basis van de Europese Privacy Verordening wordt het verplicht om bij de ontwikkeling en implementatie van nieuwe systemen rekening te houden met de privacy van betrokkenen en de bescherming van persoonsgegevens. Van alle deelnemende organisaties geeft echter 30% aan hier bij de ontwikkeling van nieuwe systemen niet altijd rekening mee te houden. Bij implementatie van nieuwe systemen houden wij altijd in een vroeg stadium rekening met privacy-aspecten en de bescherming van persoonsgegevens (Privacy by Design principe): Eens Oneens 0% 10% 20% 30% 40% 50% 60% 70% 80% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Stellingen 27

28 Stellingen In hoeverre wordt de strikte privacywetgeving ervaren als een rem op de innovatiekracht van ondernemingen? 20% van de respondenten ervaart privacyregelgeving als belemmerend voor de innovatiemogelijkheden van de organisatie. 80% ziet privacyregelgeving niet als een belemmering voor innovatie. Privacyregelgeving beperkt onze innovatiemogelijkheden: Eens Oneens 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Stellingen 28

29 Stellingen De wijze van omgang met persoonsgegevens en privacy van relaties kan door organisaties worden gebruikt om zich te profileren en te onderscheiden van de concurrentie. In hoeverre maken organisaties gebruik van dit onderscheidende vermogen? Slechts minder dan een kwart van de organisaties benut het privacybeleid om zich te onderscheiden in de markt. Wij gebruiken privacy en ons privacybeleid om ons te profileren en te onderscheiden in de markt: Eens Oneens 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Stellingen 29

30 Over u en uw organisatie De individuele respondenten van de survey zijn werkzaam in een grote verscheidenheid aan functies. De deelnemende organisaties zijn actief in een grote verscheidenheid aan sectoren. Welke van deze functietitels beschrijft uw rol het beste? Welke sectorclassificering is het meest van toepassing op de belangrijkste activiteiten van uw organisatie? Management Board Chief Information Officer IT Manager Privacy Officer Security Officer Compliance Officer Functionaris Gegevensbescherming Risk Manager Hoofd Internal Audit Legal Counsel Controller HR Manager Anders, graag toelichten Industriële sector Detailhandel Financiële sector Energie sector Gezondheidszorg Publieke sector - Regionaal Publieke sector - Nationaal Technologie, Media & Telecom Anders, graag toelichten 0% 5% 10% 15% 20% 0% 5% 10% 15% 20% 25% 30% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Over u en uw organisatie 30

31 Over u en uw organisatie 46% van de deelnemende organisaties heeft minder dan 500 werknemers. 28% van de organisaties heeft tussen de en werknemers en 7% heeft meer dan werknemers. Hoeveel werknemers heeft uw organisatie wereldwijd? > % 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Over u en uw organisatie 31

32 Bijlagen PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Bijlagen 32

33 Bijlage A: Privacy Portfolio van PwC Strategie Ondersteunen bij ontwikkeling algemeen privacy beleid Vormgeven privacy strategie Opstellen privacy roadmap Verhogen van het privacy bewustzijn Strategie Verkenning Risicoanalyse op privacy gevoelige gegevens Inzichtelijk maken van de mogelijkheden voor gebruik van persoonsgegevens Classificeren van de privacy gevoelige data Uitvoeren van een nulmeting Analyse van contractuele structuren rondom de verwerking van persoonsgegevens Verkenning Assurance Afgeven van Assurance rapporten o.b.v. Richtlijn 3600/ SOC2 Afgeven van privacy certificering Assurance PwC Privacy Portfolio Transformatie management Transformatie Management Opstellen van een privacy programma Inzichtelijk maken van benodigde veranderingen in IT-systemen Uitvoeren GAP-analyses Uitvoeren Privacy Impact Assessment Uitvoeren Contract assessments Nazorg Organiseren van workshops om medewerkers te wijzen op belang van privacy Privacybeleid en de genomen maatregelen publiceren op Intranet Governance beoordelingen Nazorg Implementatie Centraal beleggen van verantwoordelijk heden mb.t. persoonsgegevens Inbedden van privacy maatregelen in het huidige controle raamwerk IT-systemen updaten om maatregelen systeemtechnisch af te dwingen Meldingen en registraties bij College Bescherming Persoonsgegevens Analyse en opstellen van privacy policies Implementatie PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Bijlage A 33

34 Contactgegevens Meer weten over Privacy Governance onderzoek en wat PwC voor uw organisatie kan doen? Neem contact op met: Erwin de Horde Partner Risk Assurance +31 (0) Yvette van Gemerden Partner Legal Services +31 (0) Adri de Bruijn Partner Consulting Technology +31 (0) PwC. Alle rechten voorbehouden. Niet bestemd voor verdere openbaarmaking zonder toestemming van PwC. PwC is het merk waaronder member firms van PricewaterhouseCoopers International Limited (PwCIL) handelen en diensten verlenen. Samen vormen deze firms het wereldwijde PwC-netwerk. In dit document wordt met PwC gedoeld op het wereldwijde PwC-netwerk of, als dit uit de context voorvloeit, op individuele member firms van het PwC-netwerk. Elke aangesloten firma is een afzonderlijke juridische entiteit. Kijk op voor meer informatie. PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Contactgegevens 34

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties www.pwc.nl/privacy Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties PwC Nederland januari 2016 Introductie Management Samenvatting Resultaten Inhoudsopgave

Nadere informatie

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties www.pwc.nl/privacy Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties PwC Nederland januari 2017 Introductie Managementsamenvatting Resultaten Inhoudsopgave

Nadere informatie

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties

Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties www.pwc.nl/privacy Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties PwC Nederland Juni 2017 Introductie Managementsamenvatting Resultaten Bijlagen Contactgegevens

Nadere informatie

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin www.pwc.nl Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin Even voorstellen Maurice Steffin Maurice is Manager Privacy binnen het Privacy team. Hij combineert zijn privacy kennis

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Algemene Verordening Gegevensbescherming

Algemene Verordening Gegevensbescherming Algemene Verordening Gegevensbescherming Stelling De Algemene Verordening Gegevensbescherming wijkt niet sterk af van de Wet Bescherming Persoonsgegevens. Toestemming Toestemming van betrokkene moet uitdrukkelijk

Nadere informatie

Aon Global Risk Consulting Cyber Practice Privacy Services

Aon Global Risk Consulting Cyber Practice Privacy Services Aon Global Risk Consulting Cyber Practice Privacy Services Bent u klaar voor de Europese Privacy Verordening? Wat de verzwaring van de privacywetgeving betekent voor uw organisatie en welke acties u moet

Nadere informatie

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017 Algemene Verordening Gegevensbescherming Alex Commandeur Den Haag 6 juni 2017 Vanaf 25 mei 2018 Algemene Verordening Gegevensbescherming Kern van de AVG Sterkere en uitgebreidere privacyrechten Meer verantwoordelijkheden

Nadere informatie

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017 Algemene verordening gegevensbescherming Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017 Waarom en wanneer Kern van de AVG Guidance Functionaris gegevensbescherming Leidende autoriteit Dataportabiliteit

Nadere informatie

AVG EN DE IMPACT OP UW BUSINESS

AVG EN DE IMPACT OP UW BUSINESS AVG EN DE IMPACT OP UW BUSINESS AVG De AVG, de Algemene Verordening Gegevensbescherming of de Europese Privacy Verordening, hanteert dezelfde principes en kernbegrippen als haar voorganger de Europese

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

AVG Routeplanner voor woningcorporaties

AVG Routeplanner voor woningcorporaties AVG Routeplanner voor woningcorporaties 24 oktober 2017 Versie 1.0 24 oktober 2017 0 Inleiding Aedes wil haar leden ondersteunen bij de implementatie van de privacywetgeving. Daarvoor biedt zij onder andere

Nadere informatie

NVIA Data Modellen Privacy. PIM POPPE September 2017

NVIA Data Modellen Privacy. PIM POPPE September 2017 NVIA Data Modellen Privacy PIM POPPE September 2017 Wat aan de orde komt 1. Introductie 2. Algemene verordening gegevensbescherming (AVG) 3. Belangrijkste Implicaties 4. Lessen van andere veranderingen

Nadere informatie

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG) WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG) In business for people. Contents 3 Wat is de AVG? 4 Verwerkersovereenkomst 6 Roadmap naar de nieuwe verwerkersovereenkomst

Nadere informatie

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen: RI&E Privacy Introductie Vanaf 25 mei 2018 wordt de nieuwe Europese privacywetgeving (GDPR) gehandhaafd. Dit heeft belangrijke gevolgen voor het bedrijfsleven. Er is onder andere een meldplicht voor datalekken

Nadere informatie

De nieuwe privacywetgeving:

De nieuwe privacywetgeving: De nieuwe privacywetgeving:..wat moet u regelen? Door: Roxanne Kroes en Martin Rozeboom De AVG: wat moet u dáár nu mee?! Agenda 1. Waarom de AVG en belangrijkste wijzigingen? 2. Waarom krijgen tandartsen

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening? Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening? Inhoud 1. Introductie 2. Informatieveiligheid en privacy van alle kanten bedreigd 3. Het belang van privacy

Nadere informatie

Privacy & Data event Johan Rambi 18 Mei 2017

Privacy & Data event Johan Rambi 18 Mei 2017 Privacy & Data event 2017 Johan Rambi 18 Mei 2017 Alliander is een data gedreven netbeheerder (DSO) Wat is Privacy? Wat is Privacy? Eerbiediging van de persoonlijke levenssfeer Ook wel: het recht

Nadere informatie

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017 1 Algemene verordening gegevensbescherming en veranderingen voor gemeenten Alex Commandeur 21 april 2017 Overzicht Wat doet de Autoriteit Persoonsgegevens 2018: nieuwe Europese privacywetgeving (AVG) Accountability

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

Handboek IBP. Overzicht-projectplan privacy SOML. Oktober Versienummer: 0.2

Handboek IBP. Overzicht-projectplan privacy SOML. Oktober Versienummer: 0.2 Handboek IBP Overzicht-projectplan privacy SOML Oktober 2017 Versienummer: 0.2 Inleiding In het verleden zijn er Nederlandse privacywetten (WBP) ingevoerd vanaf 1995. In 2016 kwam de Meldplicht Datalekken

Nadere informatie

DPO Opleiding Considerati

DPO Opleiding Considerati DPO Opleiding Considerati De DPO opleiding richt zich op de twee volgende kennisgebieden en biedt de cursist de mogelijkheid hierin blijvende inzichten te verkrijgen. Kennisgebied De Algemene Verordening

Nadere informatie

Data Protection Officer

Data Protection Officer Data Protection Officer Met ingang van 25 mei 2016 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Een van de wijzigingen is het verplicht aanstellen van een Data Protection Officer.

Nadere informatie

Deloitte privacy team Privacy dienstverlening. www.prepareforprivacy.nl

Deloitte privacy team Privacy dienstverlening. www.prepareforprivacy.nl Deloitte privacy team Privacy dienstverlening www.prepareforprivacy.nl Voorwoord Privacy staat al enige tijd in de schijnwerpers en zal in de nabije toekomst alleen maar belangrijker worden. Niet alleen

Nadere informatie

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie

Nadere informatie

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht 15 november 2017 Silvia Vinken CIPP/E Onderwerpen De AVG in het kort Van Wbp naar AVG: wat blijft hetzelfde?

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Wat moet je weten over... privacy en passend onderwijs?

Wat moet je weten over... privacy en passend onderwijs? Erik van Roekel Wat moet je weten over... privacy en passend onderwijs? Job Vos (adviseur privacy) 7 december 2017, Eindhoven Er is al langere tijd voor privacy in het onderwijs Aandacht voor privacy niet

Nadere informatie

Naar een nieuw Privacy Control Framework (PCF)

Naar een nieuw Privacy Control Framework (PCF) Naar een nieuw Privacy Control Framework (PCF) Ed Ridderbeekx 22 november 2017 Een stukje geschiedenis 2001: Raamwerk Privacy Audit (door Samenwerkingsverband Audit Aanpak onder verantwoordelijkheid CPB)

Nadere informatie

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding Raadsbesluit Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/574466 1. Inleiding Aanleiding Privacy is een onderwerp dat de laatste jaren veel in de belangstelling staat. Data zijn hot en worden het

Nadere informatie

Privacy in de afvalbranche

Privacy in de afvalbranche Privacy in de afvalbranche Regelgeving en risico s Monique Hennekens 14 februari 2017 Inhoud Privacy in de afvalbranche Privacyregelgeving Persoonsgegeven en verwerking Algemene Verordening Gegevensbescherming

Nadere informatie

Nieuwe privacyregels: Eitje of zwarte zwaan?

Nieuwe privacyregels: Eitje of zwarte zwaan? 1 Nieuwe privacyregels: Eitje of zwarte zwaan? Jaarvergadering Ledengroep Intern en Overheidsaccountants Nederlandse Beroepsorganisatie van Accountants Donderdag 14 september 2013 Wolter Karssenberg RE

Nadere informatie

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl Aanscherping WBP Meldplicht datalekken Mr S.H. Katus, CIPM Partner sergej.katus@pmpartners.nl www.pmpartners.nl PMP in het kort Privacy Management Partners Het eerste DPO-bureau van Nederland Data Protection

Nadere informatie

Privacy: Compliance en Governance Hoe kan privacy binnen de organisatie worden geoptimaliseerd?

Privacy: Compliance en Governance Hoe kan privacy binnen de organisatie worden geoptimaliseerd? Privacy: Compliance en Governance Hoe kan privacy binnen de organisatie worden geoptimaliseerd? Mei 2014 I. Privacy als risico voor uw organisatie Veel bedrijven verwerken persoonsgegevens om bepaalde

Nadere informatie

ECIB/U201501573 Lbr. 15/079

ECIB/U201501573 Lbr. 15/079 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 uw kenmerk bijlage(n) betreft Privacy: de Europese Algemene Verordening Gegevensbescherming & de Meldplicht Datalekken

Nadere informatie

sociaal domein privacy impact assessment

sociaal domein privacy impact assessment compliance @ sociaal domein privacy impact assessment Matias Kruyen De urgentie Toezichtsarrangement AP significant uitgebreid Bestuursrechtelijke sancties van materieel belang Accountant materialiseert

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

In 10 stappen voorbereid op de AVG

In 10 stappen voorbereid op de AVG In 10 stappen voorbereid op de AVG 10 STAPPEN TER VOORBEREIDING OP DE ALGEMENE VERORDENING GEGEVENS BESCHERMING (AVG) Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing.

Nadere informatie

Dienst Uitvoering Onderwijs (DUO)

Dienst Uitvoering Onderwijs (DUO) Dienst Uitvoering Onderwijs (DUO) Privacytoezicht in de praktijk Aramis Jean Pierre Functionaris gegevensbescherming (FG) DUO/OCW Aramis.jeanpierre@duo.nl Functionaris voor de gegevensbescherming (FG)

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

Auteurs: Edwin Adams Tangram

Auteurs: Edwin Adams Tangram Toepassing GDPR (AVG) binnen de recruitmentprocessen Wat is de impact van de Algemene Verordening Gegevensbescherming (AVG) op uw recruitmentproces en organisatie Auteurs: Edwin Adams Tangram Juli 2017

Nadere informatie

INFORMATIEBIJEENKOMST 20 september 2016

INFORMATIEBIJEENKOMST 20 september 2016 INFORMATIEBIJEENKOMST 20 september 2016 Programma 19.00 uur Ontvangst en welkom 19.15 uur Welkomstwoord - Arjen Buit 19.30 uur Wet bescherming persoonsgegevens en meldplicht datalekken - Lucas Vousten

Nadere informatie

Datalekken (en privacy!)

Datalekken (en privacy!) Datalekken (en privacy!) Anita van Nieuwenborg Strategisch adviseur Privacy Gerard Heimans Adviseur Informatiebeveiliging 2 En wat is privacy? - Persoonlijke vrijheid - Recht op een persoonlijke levenssfeer

Nadere informatie

In 15 stappen op weg naar 2018

In 15 stappen op weg naar 2018 Op 25 mei 2018 nemen we afscheid van de Wet bescherming persoonsgegevens. Vanaf deze datum zullen organisaties moeten voldoen aan de bepalingen uit de uit de Algemene verordening gegevensbescherming (AVG)

Nadere informatie

Post doctorale Specialisatiecursus Privacy en Persoonsgegevens

Post doctorale Specialisatiecursus Privacy en Persoonsgegevens Post doctorale Specialisatiecursus Privacy en Persoonsgegevens Docenten: Corien Prins (Tilburg University), Lokke Moerel (De Brauw Blackstone Westbroek/Tilburg University), Peter van Schelven (Nederland

Nadere informatie

Mirabeau Academy LEGAL COMPLIANCE & SECURITY Training

Mirabeau Academy LEGAL COMPLIANCE & SECURITY Training Mirabeau Academy LEGAL COMPLIANCE & SECURITY Training LEGAL COMPLIANCE & SECURITY Wet- en regelgeving bepaalt steeds nadrukkelijker de grenzen waarbinnen digitale dienstverlening zich mag bewegen. De regels

Nadere informatie

Vragenlijst onderzoek

Vragenlijst onderzoek Vragenlijst onderzoek Compliance in de zorg KPMG, VCZ en Erasmus Februari 06. HOEVEEL MEDEWERKERS (FTE) TELT HET ZIEKENHUIS?. IN WAT VOOR TYPE ZIEKENHUIS BENT U WERKZAAM? Algemeen 9 Topklinisch 50-000

Nadere informatie

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen. FUNCTIEPROFIEL Opdrachtgever: Functienaam: BKR Compliance Officer Security & Risk BKR is een onafhankelijke stichting met een maatschappelijk doel. BKR streeft sinds 1965, zonder winstoogmerk, een financieel

Nadere informatie

LEGAL MEETUP ALGEMENE VERORDENING GEGEVENSBESCHERMING.

LEGAL MEETUP ALGEMENE VERORDENING GEGEVENSBESCHERMING. LEGAL MEETUP ALGEMENE VERORDENING GEGEVENSBESCHERMING www.boutadvocaten.nl 06-04-2017 Introductie Bout Advocaten Allround kantoor 21 advocaten 5 branches: agrarisch, zorg, onderwijs, bouw en ICT & IE Tim

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

12 mei 2016. www.infotraining.nl. ééndaagse workshop. Nieuwe eisen omtrent databescherming! Ontdek alle ins & outs op deze praktijkgerichte workshop

12 mei 2016. www.infotraining.nl. ééndaagse workshop. Nieuwe eisen omtrent databescherming! Ontdek alle ins & outs op deze praktijkgerichte workshop ééndaagse workshop 12 mei 2016 POSTILLION HOTEL BUNNIK Nieuwe eisen omtrent databescherming! Ontdek alle ins & outs op deze praktijkgerichte workshop www.infotraining.nl Is uw databeleid gereed voor 2016?

Nadere informatie

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken 04-11-2013 Bieneke Braat Alle rechten voorbehouden, niet openbaar maken zonder toestemming. 1 Legaltree: Advocatenkantoor

Nadere informatie

Cursus privacyrecht Jeroen Naves 7 september 2017

Cursus privacyrecht Jeroen Naves 7 september 2017 Cursus privacyrecht Jeroen Naves 7 september 2017 Juridisch kader 1. Relationele privacy: eer en goede naam (grondwet/evrm), portretrecht (Auteurswet), gezinsleven (EVRM) 2. Communicatie-privacy: briefgeheim

Nadere informatie

De Master spreekt Privacywetgeving 2018 (AVG)

De Master spreekt Privacywetgeving 2018 (AVG) De Master spreekt Privacywetgeving 2018 (AVG) De Privacy Test Wat is uw privacy IQ? Surf naar de website kahoot.it om mee te doen! Privacy Privacy terecht een veelbesproken thema Privacy bij herziening

Nadere informatie

De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje

De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje 1. 25 mei 2018: GDPR treedt in voege Over iets minder dan een jaar, op 25 mei 2018, verkrijgt de General Data Protection

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

Vita Zwaan, 16 november 2017

Vita Zwaan, 16 november 2017 Vita Zwaan, 16 november 2017 1 Het bb-privacy team Christiaan Alberdingk Thijm Vita Zwaan Caroline de Vries Lex Keukens Silvia van Schaik Marieke Berghuis Oskar Mulder Esther Janssen 2 Inleiding privacyrecht

Nadere informatie

The Right to be Forgotten

The Right to be Forgotten The Right to be Forgotten Een fundamenteel recht of fictie? 27-10-2014 Boukje Stoelinga ING Bank Data Protection Officer Agenda 1. Context: heden versus toekomst 2. De Google case 3. Verwijderen of vergeten;

Nadere informatie

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene

Nadere informatie

Privacy in de eerstelijnspraktijk Checklist & tips

Privacy in de eerstelijnspraktijk Checklist & tips www.zorgvoorprivacy.nl info@zorgvoorprivacy.nl Privacy in de eerstelijnspraktijk Checklist & tips Zorg om privacy Het werk als zorgaanbieder verandert snel. Door automatisering en digitalisering kunnen

Nadere informatie

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken De Wbp is al sinds 1 september 2001 van kracht en bevat bepalingen omtrent het rechtmatig omgaan met persoonsgegevens. Op 1 januari

Nadere informatie

Hulpverleningszones: tijd voor een zonaal verhaal 21 november 2016

Hulpverleningszones: tijd voor een zonaal verhaal 21 november 2016 Hulpverleningszones: tijd voor een zonaal verhaal 21 november 2016 #vvsgbwcongres Hoe omgaan met privacygevoelige gegevens? peter@berghmans.org - 0475951516 #vvsgbwcongres dank aan Sabine Van Dooren Katrien

Nadere informatie

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? 1 Onderwerpen Wat zegt de huidige wet en de komende Europese Privacy

Nadere informatie

Nieuwe privacy verordening raakt ook de pensioensector

Nieuwe privacy verordening raakt ook de pensioensector Tekst Monique Harmsen 14 september 2017 Nieuwe privacy verordening raakt ook de pensioensector De nieuwe Europese privacy verordening die eind mei 2018 van kracht wordt, heeft ook impact op pensioenfondsen.

Nadere informatie

Post doctorale Specialisatiecursus Privacy en Persoonsgegevens 2015

Post doctorale Specialisatiecursus Privacy en Persoonsgegevens 2015 Post doctorale Specialisatiecursus Privacy en Persoonsgegevens 2015 Docenten: Corien Prins (Tilburg University), Lokke Moerel (Morrison Foerster/Tilburg University), Peter van Schelven (voormalig hoofd

Nadere informatie

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

Werkgroep Privacy en Testdata. Thema-avond: Workshop wetgeving en bewustwording

Werkgroep Privacy en Testdata. Thema-avond: Workshop wetgeving en bewustwording Werkgroep Privacy en Testdata Thema-avond: Workshop wetgeving en bewustwording Doelstelling Werkgroep Vergroten bewustwording bij gebruik productiedata (met persoonsgegevens) voor testers en opdrachtgevers

Nadere informatie

Is uw bibliotheek klaar voor de nieuwe privacywetgeving?

Is uw bibliotheek klaar voor de nieuwe privacywetgeving? OCLC Contactdag 12 oktober 2017 Is uw bibliotheek klaar voor de nieuwe privacywetgeving? Mirjam Elferink Advocaat Partner Elferink & Kortier Advocaten Elferink & Kortier Advocaten Specialisten in intellectuele

Nadere informatie

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances? De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances? Hans van Impelen Privacyfunctionaris/ Functionaris voor de Gegevensbescherming (FG) De start in Utrecht

Nadere informatie

NVBI. Proposal General Data Protection Regulation. Eva N.M. Visser. IT Advocaat Bestuurslid Vereniging Privacy Recht

NVBI. Proposal General Data Protection Regulation. Eva N.M. Visser. IT Advocaat Bestuurslid Vereniging Privacy Recht Studiebijeenkomst 18 december 2012 NVBI Proposal General Data Protection Regulation Eva N.M. Visser IT Advocaat Bestuurslid Vereniging Privacy Recht Inhoud 1. Huidig juridisch kader 2. Doelstellingen

Nadere informatie

Europese Privacy Verordening (EPV) Een wet met Tanden

Europese Privacy Verordening (EPV) Een wet met Tanden Europese Privacy Verordening (EPV) Een wet met Tanden WBP en EPV grote verschillen? WBP Transparantie X X Proportionaliteit X X Doelbinding X X Subsidiariteit X X Accountability en auditability Boetes

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u?

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Inleiding De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van kracht is voor het beschermen van de privacy

Nadere informatie

Is uw onderneming privacy proof?

Is uw onderneming privacy proof? Is uw onderneming privacy proof? Seminar Privacy 6 november 2014 Floor de Roos Advocaat handelsrecht 1 De Wet bescherming persoonsgegevens in vogelvlucht 2 1. Is sprake van persoonsgegevens? Ruim begrip:

Nadere informatie

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Uw tandartspraktijk. Een goudmijn voor internetcriminelen Uw tandartspraktijk Een goudmijn voor internetcriminelen Wat gaan we doen? De digitale data-explosie Nieuwe privacywetgeving (a giant leap for mankind) Wat wilt u onze hacker vragen? Help! Uw praktijk

Nadere informatie

Belastingen en gegevens Hoe, wat, waar en waarom? Femke Salverda Hans Versteeg

Belastingen en gegevens Hoe, wat, waar en waarom? Femke Salverda Hans Versteeg Belastingen en gegevens Hoe, wat, waar en waarom? Femke Salverda Hans Versteeg Wat gaan we doen? 1. De achtergrond: algemene principes privacy 2. De organisatie: privacy borgen in de organisatie 3. De

Nadere informatie

Privacybeeld CIP-Netwerk en suggesties voor versterking Privacy Governance

Privacybeeld CIP-Netwerk en suggesties voor versterking Privacy Governance Privacybeeld CIP-Netwerk en suggesties voor versterking Privacy Governance Versie: 1. Auteur Opdrachtgever CIP A. Reuijl Classificatie Publiek Status Afgerond Datum 5 januari 216 Filenaam 21615 Privacy

Nadere informatie

Data Quality Een vereiste voor elke datagedreven organisatie

Data Quality Een vereiste voor elke datagedreven organisatie 2-daagse training Data Quality Een vereiste voor elke datagedreven organisatie Initiatief en organisatie In samenwerking met Wat leert u in deze training? De eisen die de GDPR aan uw datakwaliteit stelt;

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Privacy Impact Assessment

Privacy Impact Assessment De NOREA-PIA Wolter Karssenberg RE 24 juni 2014 Privacy Impact Assessment Agenda 1. Achtergrond 2. Inhoud 3. Ervaring 4. Vragen Agenda 1. Achtergrond 2. Inhoud 3. Ervaring 4. Vragen (Big) Data & Privacy:

Nadere informatie

Meldplicht datalekken

Meldplicht datalekken Meldplicht datalekken Peter Westerveld Directeur en principal security consultant Sincerus consultancy Sincerus Cybermonitor Opgericht in 2004 20 medewerkers Informatiebeveiliging Zwolle en Enschede 15-02-16

Nadere informatie

AVG GAP Analyse. En verwerkingsregistratie. security management audits advies - ethisch hacken netwerkscans

AVG GAP Analyse. En verwerkingsregistratie. security management audits advies - ethisch hacken netwerkscans AVG GAP Analyse En verwerkingsregistratie Classificatie Gegenereerd door Vertrouwelijk De onderwerpen in deze GAP Analyse zijn afgeleid van de Algemene Verordening Gegevensbescherming (AVG), welke op 25

Nadere informatie

Security manager van de toekomst. Bent u klaar voor de convergentie?

Security manager van de toekomst. Bent u klaar voor de convergentie? Security manager van de toekomst Bent u klaar voor de convergentie? Agenda Introductie Convergentie - De rol en positie van Security in beweging - Wat zien we in de praktijk? - Waar gaat het naar toe?

Nadere informatie

SURFmarket O365 propositie

SURFmarket O365 propositie SURFmarket O365 propositie MAART 2017 Carl Reitsma, O365 Service Deliver Manager Agenda 1. Ambitie SURFmarket 2. Regie 3. Groeipad 4. Dienstbeschrijving 5. Ontwikkelscenario 6. Vragen/feedback Ambitie

Nadere informatie

WHITEPAPER PRAKTISCHE HANDREIKING VOOR DE ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG)

WHITEPAPER PRAKTISCHE HANDREIKING VOOR DE ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) WHITEPAPER PRAKTISCHE HANDREIKING VOOR DE ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) Hoewel het nog een jaar duurt, is er geen ontkomen meer aan: de Europese privacyverordening gaat ook u raken en

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Open Data bij de Vlaamse overheid. 19 juni 2015

Open Data bij de Vlaamse overheid. 19 juni 2015 Open Data bij de Vlaamse overheid 19 juni 2015 Open Data in Vlaanderen Anno 2015 Strategisch Inhoudelijk Open Data Raamwerk 4 sporen Juridisch Technisch 2012 2013 2014 2015 2016 VIP projecten Coördinatiecomité

Nadere informatie

Privacy dit moet je weten over de wet

Privacy dit moet je weten over de wet Privacy dit moet je weten over de wet Om de privacy van leerlingen en medewerkers optimaal te beschermen, is het belangrijk om te weten wat er precies in de wet staat. In Nederland is de privacybescherming

Nadere informatie

Europese privacywet mogelijk nóg strenger

Europese privacywet mogelijk nóg strenger December 2013, Auteur: mr. J.J. Braat M +31 633 97 09 55 Europese privacywet mogelijk nóg strenger In Brussel ligt momenteel een wetsvoorstel voor een Europa-brede privacywet. De eerste aanzet voor het

Nadere informatie

Een Information Security Management System: iedereen moet het, niemand doet het.

Een Information Security Management System: iedereen moet het, niemand doet het. ADVIESRAPPORT Een Information Security Management System: iedereen moet het, niemand doet het. Een onderzoek naar de betekenis van het ISMS ter borging van de Baseline Informatiebeveiliging Nederlandse

Nadere informatie

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts) Dinsdag 13 december 2016, 16.00 18.00 uur Rowena van den Boogert (Eldermans Geerts) Nu: Richtlijn 95/46/EG Straks: Verordening 2016/679 Implementatiewet AVG en Veegwet AVG (beleidsneutrale implementatie)

Nadere informatie

PLATFORM IZO 21 OKTOBER 2016

PLATFORM IZO 21 OKTOBER 2016 PLATFORM IZO 21 OKTOBER 2016 Wat is er aan de hand? Actualiteit, media, politiek Calamiteiten Te weinig samenwerking en informatiedeling door professionals roep om meer regie (Heerlen) Juridische kritiek

Nadere informatie

Waarom privacy een relevant thema is En wat u morgen kunt doen

Waarom privacy een relevant thema is En wat u morgen kunt doen Waarom privacy een relevant thema is En wat u morgen kunt doen Voorstellen Frank van Vonderen audit, informatiebeveiliging & privacy Management Consultant Adviseur én in de modder 20 jaar in 5 stappen:

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Document nummer ISMS 2 Versie 1.4 Auteur M. Konersmann Goedgekeurd door J. Meijer Datum 30-08-2017 Classificatie Openbaar Versie Datum Reden voor Aangepast door opmaak 1.0

Nadere informatie

Het Europese privacyrecht in beweging

Het Europese privacyrecht in beweging Presentatie van de NOREA-publicatie Het Europese privacyrecht in beweging Opsteller: Mr. dr. A.W. (Anne-Wil) Duthler NOREA, Duthler Associates Amsterdam, 13 december 2012 Agenda Inhoud Europese privacyverordening

Nadere informatie

Privacy aspecten van apps

Privacy aspecten van apps Privacy aspecten van apps mr. Peter van der Veen Senior juridisch adviseur e: vanderveen@considerati.com t : @pvdveee Over Considerati Considerati is een juridisch adviesbureau gespecialiseerd in ICT-recht

Nadere informatie