Privacybeeld CIP-Netwerk en suggesties voor versterking Privacy Governance

Vergelijkbare documenten
DPO Opleiding Considerati

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Privacyverordening gemeente Utrecht. Utrecht.nl

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

ECIB/U Lbr. 15/079

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding

Samen werken aan informatieveiligheid & Privacy. 9 november 2017 PvIB

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Algemene Verordening Gegevensbescherming

AVG Routeplanner voor woningcorporaties

ALGEMENE VERORDENING GEGEVENSBESCHERMING

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Stappenplan naar GDPR compliance

Samen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen

Privacy & online. 9iC9I

Documentnummer: : Eindnotitie implementatie privacy

Privacybeleid gemeente Wierden

Belastingen en gegevens Hoe, wat, waar en waarom? Femke Salverda Hans Versteeg

Privacy Impact Assessment

De app wordt volwassen kansen en valkuilen. Opening en voorstelronde Overzicht CIP CIP en NORA CIP FG-enquête Ontwikkelingen app

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Algemene verordening gegevensbescherming

Plan

Privacy wetgeving: Wat verandert er in 2018?

Wettelijke kaders voor de omgang met gegevens

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Datalekken (en privacy!)

Voorbereid op de nieuwe privacywet in 10 stappen

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Functieprofiel Functionaris Gegevensbescherming

PLATFORM IZO 21 OKTOBER 2016

Wie is er bang voor de privacywetgeving? CIP voor NORA 17 januari

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Gegevensbescherming/Privacy

staat is om de AVG na te komen.

Stappenplan naar GDPR compliance

Wat heb je nodig op 25 mei?

NVIA Data Modellen Privacy. PIM POPPE September 2017

De Algemene Verordening Gegevensbescherming

WET MELDPLICHT DATALEKKEN

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Aon Global Risk Consulting Cyber Practice Privacy Services

1. Bent u bekend met de uitzending van Nieuwsuur d.d over meer meldingen van datalekken door gemeenten?

CONTOUREN voor COMPLIANCE. Overzicht van de Zelfreguleringsproducten

Nieuwe privacy verordening raakt ook de pensioensector

Algemeen privacybeleid gemeente Asten 2018

Vraag 1 Kan aangegeven worden welke acties tot nu toe zijn ondernomen en welke acties nog op de planning staan om aan de AVG te voldoen?

Rapportage Verkennend onderzoek Gegevensbeschermingsbeleid

EINDE DALING CONSUMENTENVERTROUWEN, LICHTE STIJGING DONATEURSVERTROUWEN

PRIVACYBELEID CONVENIENT FASTGUIDE BV

Congres: de AVG bent u er klaar voor? Workshop privacy en Sociaal Domein

Toepassing Algemene Verordening Gegevensbescherming (AVG) bij de Stichting Voedseltuin Villanueva 1

Algemene Verordening Gegevensbescherming

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

Data Protection Officer

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

Agenda. De AVG: wat nu?

Aan welke eisen moet het beveiligingsplan voldoen?

Privacy Verklaring 2018 Versie 1.0. Onderdeel van

Het Europese privacyrecht in beweging

In 10 stappen voorbereid op de AVG


algemene verordening gegevensbescherming (avg) & datalekken

Audit Meldplicht datalekken

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner.

AVG EN DE IMPACT OP UW BUSINESS

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

De grootste veranderingen in hoofdlijnen

AVG GAP Analyse. En verwerkingsregistratie. security management audits advies - ethisch hacken netwerkscans

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Dit betekent dat u op 25 mei 2018 wettelijk verplicht bent om ten minste aan de volgende zes AVGmaatregelen

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

De nieuwe privacywetgeving:

De bescherming van persoonsgegevens

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Inleiding. Praktijk. Aan: Gemeenteraad. Van: College van burgemeester en wethouders. Datum: 05/09/17

Veranderingen privacy wet- en regelgeving

Privacy Maturity Scan (PMS)

Borging privacy op P4 data ODA zomersessie 7 juli 2017

Auteurs: Edwin Adams Tangram

Informatiebeveiliging en Privacy; beleid CHD

Wat betekent de AVG voor mij als ondernemer? Juni 2018

Privacy in het jeugddomein

Privacyverklaring. Rekenkamercommissie Dordrecht

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

- in te stemmen de checklist voorbereiding AVG stavaza 1sep17 als bijlage mee te sturen bij RIB met de beantwoording van de art.40-vragen.

In 15 stappen op weg naar 2018

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

IBP-rollen en functies: functionaris gegevensbescherming (FG) Magdalena Magala en Job Vos

Algemene verordening gegevensbescherming (AVG)

Transcriptie:

Privacybeeld CIP-Netwerk en suggesties voor versterking Privacy Governance Versie: 1. Auteur Opdrachtgever CIP A. Reuijl Classificatie Publiek Status Afgerond Datum 5 januari 216 Filenaam 21615 Privacy Enquete Analyse-Suggesties/pdf

Inleiding In november 215 heeft het CIP, onder zowel overheidsorganisaties als marktpartijen binnen het CIP-netwerk, een enquête uitgezet met vragen over de wijze waarop het thema privacybescherming gestalte krijgt. Het doel was een beeld op te bouwen van de huidige stand van zaken wat betreft de maatregelen rond de bescherming van persoonsgegevens bij de organisaties in ons netwerk. De uitvraag was daarnaast ook bedoeld om een beeld te krijgen van de behoefte aan de CIPproducten/handreikingen binnen Grip-op- Privacy, zodat daarmee in de jaarplanning rekening kan worden gehouden. Ca. 4 van de aangeschreven organisaties deden mee: 89 vulden de enquête in (64 overheidsorganisaties en 25 marktpartijen). De invullingen zijn gedaan door organisaties in verschillende sectoren. Zie het diagram hiernaast voor de aantallen. 3 25 2 15 1 5 Aantal organisaties naar sector Elke respondent hanteert bij het invullen, vanuit de eigen functie en de eigen bedrijfscultuur cq. waardenpatroon zijn eigen referentiekader. De resultaten van de enquête kunnen daardoor niet zo maar op een hoop worden gegooid. Uitspraken met een statistisch onderbouwde pretentie zijn dan ook niet mogelijk. Uit de antwoorden kan echter wél een algemeen beeld van de situatie worden opgemaakt. En uit dit beeld kunnen ook suggesties worden ontleend om de governance op privacy te verbeteren binnen de eigen organisatie. Hieronder volgt dan ook per hoofdthema van de enquête een korte duiding van de cijfers en suggesties voor aanvullende maatregelen t.b.v. de versterking van de privacy-governance. De kwantitatieve uitkomsten van de enquête zijn als overzicht van cijfers en grafieken in de bijlage opgenomen. Daarin zijn overheid en markt steeds apart zichtbaar. Bestuurlijk bewustzijn en Privacybeleid. Dit hoofdthema betreft een aantal vragen over de verankering van privacy in het beleid en verantwoording. Wat opvalt, is dat marktorganisaties vaker dan overheidsorganisaties aangeven dat privacy een plaats heeft in beleid en de vertaling naar acties/maatregelen. Bij de vraag naar het gebruik van normenkaders of gedragscodes, valt op dat vrijwel alle organisaties ofwel volstaan met een verwijzing naar de Wbp, ofwel een eigen normenkader gebruiken. Onder degenen die aangeven een branche-specifieke gedragscode te hanteren (11 stuks) verwijzen de meesten naar kaders als BIR en BIG. Feitelijk zijn dat geen kaders met duidelijke privacy-richtlijnen. De feitelijke afwezigheid van breder bruikbare kaders, wordt weerspiegeld in de behoefte daaraan, zoals blijkt in de laatste vraagcategorie: de peiling naar de behoefte aan ondersteuning. Uitzonderlijk weinig organisaties besteden aandacht aan Privacy in hun jaarverslag. Ook verantwoording naar de toezichthouder gebeurt slechts in een derde van de situaties. Privacybeeld CIP-Netwerk. En suggesties voor versterking Privacy Governance 5-1-215 Pagina 2 van 5

Wel volgt bijna iedereen de ontwikkelingen in de wetgeving. Uit het totaalbeeld valt echter op te maken dat de vertaling naar zichtbare concrete maatregelen in veel gevallen achter blijft. Suggesties Voor het zichtbaar maken adviseren we de verantwoordelijkheid op te hangen in één van de bestuursportefeuilles. Ook het opnemen in het jaarverslag van een paragraaf, over hoe aandacht wordt gegeven aan de bescherming van persoonsgegevens, draagt hieraan bij. Voor het privacy-bewust handelen is het nodig om van het privacy-beleid vertalingen te maken voor de mensen die daar elke dag mee te maken hebben. Weliswaar wordt de wetgeving juridisch op de voet gevolgd, de vertaling naar en sturing op het handelen in de organisatie kan in veel gevallen nog verbeteren. CIP-handvatten die om niet gebruikt kunnen worden zijn: Privacy Baseline; Meldplicht Datalekken; Enkele practices over hoe meldplicht in de organisatie te regelen. Veranker de verantwoordelijkheid voor privacy in één van de bestuursportefeuilles. Neem een paragraaf over privacy op in het jaarverslag. Maak privacy hanteerbaar door concrete vertalingen van privacy-beleid te gebruiken. Beschikbare handvatten van CIP: Privacy Baseline Meldplicht Datalekken. Privacy-organisatie Ca. 4 van de geeft aan dat een privacy-organisatie is ingericht met vastgelegde verantwoordelijkheden. Een Functionaris Gegevensbescherming is slechts bij 29 van de 89 aangesteld. In overheid en markt is deze verhouding ongeveer gelijk. Slechts een kwart van de geeft aan dat er gerapporteerd wordt of voldaan wordt aan een normenkader voor de verwerking van persoonsgegevens. De voorzichtige conclusie mag getrokken worden dat de governance op privacy bij het overgrote deel van de organisaties nog niet werkend is ingericht. Suggesties Nu de wet meldplicht datalekken in werking in gegaan en ook tot de Europese Algemene Verordening Gegevensbescherming (AVG) is besloten, nemen de risico s van nalatig handelen drastisch toe. De boetes zijn aanzienlijk en kunnen bij bekendwording ook tot behoorlijke imagoschade leiden. Het komt erop aan privacy te gaan beschouwen als een expliciet te managen thema. Zorgvuldig handelen vereist een goed 'Privacy Management. Een datalek is op zichzelf niet boetewaardig, maar onzorgvuldig handelen, kan snel de vraag naar verwijtbaarheid doen rijzen. We raden dus aan om zowel een zichtbare privacy-organisatie in te richten als ook het toezicht intern te verankeren, bij voorkeur door het benoemen van een Functionaris Gegevensbescherming (in AVG-termen: een Privacy Officer) en het vaststellen en hanteren van een normenkader. Privacybeeld CIP-Netwerk. En suggesties voor versterking Privacy Governance 5-1-215 Pagina 3 van 5

Richt een zichtbare privacy-organisatie in en veranker het toezicht, bij voorkeur door het benoemen van een Functionaris Gegevensbescherming (Privacy Officer) en het vaststellen en hanteren van een normenkader. Hiervoor kan de Privacy Baseline dienst doen of als basis gehanteerd worden. Risicomanagement, incident- en crisisbeheersing. Ruim 6 van de geeft aan dat bewuste risico-afwegingen worden gemaakt d.m.v. inzet van PIA s en - meer algemeen bij de beleidsvorming. Crisisplannen zijn er bij iets minder dan de helft van de. De oefening met die plannen vindt slechts plaats bij een kwart van de organisaties. Suggesties We raden aan om privacy uitdrukkelijk mee te nemen in bestaande crisisplannen/crisisorganisaties. Bijvoorbeeld die van Business Continuity of Cyber Security. Die zullen in veel gevallen wel moeten worden uitgebreid. Regelmatig oefenen is nodig om te kunnen schakelen bij crisis. Voorkomen moet worden dat er dan allerlei onduidelijkheden blijken. CIP heeft hiervoor een handzame Serious Game ontwikkeld, die om niet gebruikt kan worden. Neem privacy mee in bestaande crisisplannen/crisisorganisaties Oefen regelmatig. Voor een laagdrempelige oefening: CIP-Serious Game Crisis. Leren en ontwikkelen 55% van de overheidsorganisaties geeft aan in te zetten op leren en ontwikkelen. organisaties scoren deze vraag aanmerkelijk positiever: ca. 85% geeft aan te investeren in leren en ontwikkelen. De werkvormen in volgorde van meest frequent gebruikt (overheid en markt samen). 1. Publicaties (42 keer genoemd) 2. Meenemen in het werkoverleg (4 keer genoemd) 3. Trainingen (24 keer genoemd) 4. Workshops (23 keer genoemd) 5. E-Learning (18 keer genoemd). Suggesties Middelen als workshops, werkoverleg en training (dus met direct, persoonlijk contact) zien we als het effectiefst. Zaken als publicaties en e-learning zijn vooral nuttig in combinatie met meer persoonlijke interventies. De effectiviteit van de ingezette middelen, kan verder versterkt worden als het thema privacy ook wordt geadresseerd in de HR-/Beoordelingscyclus. Daarmee houdt je het ook individueel op de agenda. Kies zoveel mogelijk voor leerinterventies met persoonlijke impact en ondersteun die met schriftelijk materiaal. Neem Privacy-bewust handelen op als beoordelingscriterium in de HR-Cyclus. Privacybeeld CIP-Netwerk. En suggesties voor versterking Privacy Governance 5-1-215 Pagina 4 van 5

Inhoudelijke ondersteuning In deze vraagcategorie wordt de behoefte aan reeds aanwezige of toekomstige CIP-producten gepeild. De beantwoording maakt duidelijk dat de producten wel in de behoefte van een flink deel van de organisaties voorzien. Ca. 6 geeft aan een normenkader en een handreiking voor privacy governance te wensen; 65% geeft aan behoefte te hebben aan een handreiking Privacy by Design. Meer dan 8 van de ziet een vraagbaakfunctie als welkome dienst. Een kleine 4 geeft aan daar ook wel op beperkte schaal aan te willen meewerken. Het voornemen van CIP is dan ook dat wij doorgaan met de genoemde producten en diensten. In 216 zullen wij ook de nodige sessies beleggen om deze onder de aandacht te brengen. Privacybeeld CIP-Netwerk. En suggesties voor versterking Privacy Governance 5-1-215 Pagina 5 van 5

Bijlage: Privacy Enquête / Cijfers en grafieken BESTUURLIJK BEWUSTZIJN / PRIVACYBELEID Maakt privacy onderdeel deel uit van de missie, visie en het beleid van uw organisatie? 67 16 7 42 15 7 25 1 5 Heeft uw organisatie een plan opgesteld waarin het privacybeleid wordt geconcretiseerd in te nemen maatregelen, met tijdspad, benodigde middelen, etc? 47 36 7 28 3 6 19 6 1 5 Hanteert uw organisatie een normenkader of gedragscode, waarin de Wet bescherming persoonsgegevens nader is gespecificeerd voor uw branche of organisatie? Ja,branche-specifieke gedragscode 12 11 1 Ja, eigen normenkader 31 17 14 Nee, alleen verwijzing naar de Wbp 35 27 8 Nee, wij hanteren geen privacy-vereisten 5 2 3 Onbekend 6 6 4 3 2 1 respon-denten Ja,branche-specifieke gedragscode Ja, eigen normenkader Nee, alleen verwijzing naar de Wbp Nee, wij hanteren geen privacy-vereisten Onbekend

Is privacy expliciet belegd in een van de bestuursportefeuilles? 4 29 18 26 21 14 14 8 4 8 6 4 2 Heeft uw organisatie in het jaarverslag een paragraaf aangaande privacy opgenomen? 17 5 23 5 12 34 18 5 16 5 Komt privacy als thema aan de orde in de afstemming met het departement of toezichthouder? 5 29 35 26 23 18 23 6 17 3

Worden de (juridische) ontwikkelingen op het gebied van privacy gevolgd (zoals de Meldplicht Datalekken en de Europese Algemene Verordening Gegevensbescherming) en wordt hier op geanticipeerd? Grafiektitel 82 4 4 58 3 3 24 1 1 1 8 6 4 2 PRIVACY ORGANISATIE Heeft uw organisatie een privacy-organisatie ingericht, waarbinnen de verantwoordelijkheden voor privacy vastliggen? 8 39 42 4 26 3 4 13 12 6 4 2 Heeft uw organisatie een Functionaris Gegevensbescherming aangesteld? 29 53 3 2 37 3 9 16 8 6 4 2

Heeft uw organisatie vastgelegd hoe moet worden omgegaan met privacyvraagstukken bij het ontwerp van de gegevensverwerking? 42 33 1 27 24 9 15 9 1 8 6 4 2 Rapporteren de verantwoordelijken voor de verwerking van persoonsgegevens over hoe persoonsgegevens (conform een normenkader) verwerkt worden? respondent en Ja, daarbij wordt aangegeven of aan het normenkader wordt voldaan. 22 13 9 Ja, maar zonder aan te geven tegen welk normenkader dit gebeurt. 2 15 5 Nee 29 21 8 Onbekend 14 11 3 4 3 2 1 Ja, daarbij wordt aangegeven of aan het normenkader wordt voldaan. Ja, maar zonder aan te geven tegen welk normenkader dit gebeurt. Nee Onbekend

RISICOMANAGEMENT, INCIDENT- EN CRISISBEHEERSING Baseert uw organisatie zich bij de bescherming van privacy op bewuste risicoafwe gingen? respondent en Ja, alleen in de vorm van PIA s (Privacy Impact Assessment) 13 12 1 Ja, zowel in de vorm van PIA s als bij de beleidsvorming 42 26 16 Nee 24 17 7 Onbekend 1 8 2 1 8 6 4 2 Onbekend Nee Ja, zowel in de vorm van PIA s als bij de beleidsvorming Ja, alleen in de vorm van PIA s (Privacy Impact Assessment) Heeft uw organisatie een crisisplan ingericht om calamiteiten op het gebied van privacy (zoals datalekken) het hoofd te kunnen bieden? 43 39 3 28 3 2 15 9 1 8 6 4 2 Worden crisisplannen op het gebied van privacy periodiek getoetst en geoefend? 19 53 13 7 42 11 12 11 2 8 6 4 2

LEREN EN ONTWIKKELEN Zet uw organisatie in op blijvend privacy-bewustzijn bij haar medewerkers door middel van leren en ontwikkelen? 55 25 5 33 22 5 22 3 8 6 4 2 Onder de middelen die organisaties hierbij inzetten, zijn publicaties en werkoverleggen duidelijk favoriet: respondent en Publicaties 42 24 18 Trainingen 24 11 13 e-learning 18 9 9 Beleggen van Workshops 23 16 7 Meenemen in het werkoverleg 4 21 19 16 14 12 1 8 6 4 2 Publicaties e-learning Meenemen in het werkoverleg Trainingen Beleggen van Workshops

INHOUDELIJKE ONDERSTEUNING Heeft uw organisatie behoefte aan een normenkader, waarbij de Wet bescherming persoonsgegevens eenvoudiger toegankelijk is? 45 26 8 31 16 7 14 1 1 8 6 4 2 Heeft uw organisatie behoefte aan een handreiking Privacy by Design (om privacy mee te nemen bij de ontwikkeling van gegevensverwerkingen)? 5 22 7 36 13 5 14 9 2 8 6 4 2 Heeft uw organisatie behoefte aan een handreiking om de governance op privacy binnen de organisatie in te richten? 45 29 5 34 16 4 8 6 4 11 13 1 2

Hanteert u binnen uw organisatie best practices (bijv. op het gebied van privacybeleid, normenkaders, organisatorische maatregelen) die u wilt delen met anderen in de CIP gemeenschap? respondent en Ja, kunnen als best practice gepubliceerd worden 4 3 1 Ja, input voor een best practice 6 2 4 Ja, geschreven best practices te delen in interview 6 4 2 Ongeschreven best practices, te delen in interview 6 3 3 Nee 57 42 15 1 8 6 4 2 Nee Ongeschreven best practices, te delen in interview Ja, geschreven best practices te delen in interview Ja, input voor een best practice Ja, kunnen als best practice gepubliceerd worden Het CIP neemt zich voor een vraagbaakfunctie in te richten waar CIP-deelnemers terecht kunnen met vragen op het gebied van privacy. De opzet die ons voor ogen staat is de volgende. Iedereen in het CIP-netwerk kan vragen stellen; wij zorgen ervoor dat de vragen beantwoord worden door gebruikmaking van kennis die in datzelfde netwerk voorhanden is. respondent en Geen behoefte aan 12 8 5 Welkome functie; niet zelf bijdragen 36 2 16 Welkome functie; wij kunnen ook zelf bijdragen 3 16 14 1 8 6 4 2 Welkome functie; wij kunnen ook zelf bijdragen Welkome functie; niet zelf bijdragen Geen behoefte aan

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback