Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties

www.pwc.nl/privacy Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties PwC Nederland Februari 2015

Inhoudsopgave Introductie Privacy Health Check 3 Managementsamenvatting 6 Resultaten 9 Overzicht van de resultaten per hoofdstuk 10 Privacy in uw organisatie 11 Uw organisatie en het privacyrisico 16 Privacy en uw leveranciers 17 Privacy-incidenten en meldingen 20 Nieuwe privacywetgeving 22 Stellingen 26 Over u en uw organisatie 31 Bijlagen 33 Bijlage A: Privacy Portfolio van PwC 34 Contactgegevens 34 PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Inhoudsopgave 2

Introductie Privacy Health Check De bescherming van persoonsgegevens speelt een steeds belangrijkere rol in de maatschappij. Technologische ontwikkelingen stellen organisaties, waaronder die van u, in staat om meer en op uitgebreidere schaal persoonsgegevens te verzamelen, samen te voegen en op te slaan. Tegelijkertijd wordt de samenleving en de politiek kritischer over het gebruik van persoonsgegevens. Dit uit zich in aangescherpte regelgeving waar ook uw organisatie mee te maken krijgt. Om deze redenen heeft PwC de Privacy Health Check uitgevoerd. Wat is het doel van de Privacy Health Check en hoe kan deze uw organisatie helpen? De Privacy Health Check verschaft een uniek beeld in hoeverre uw organisatie klaar is voor de nieuwe Europese Privacy Verordening (EPV) en in de mate van volwassenheid inzake de bescherming van persoonsgegevens. Daarnaast biedt het de mogelijkheid om de resultaten te vergelijken met andere voor u relevante organisaties. De publicatie geeft daarmee een eerste inzicht in de wijze waarop organisaties in Nederland omgaan met privacy. Het geeft echter geen oordeel over de privacyprestaties en compliance van uw organisatie als geheel. Toegevoegde waarden voor u en uw organisatie zijn de volgende: beter begrip van de aard en impact van nieuwe privacywetgeving; balans opmaken van de voor u relevante privacyrisico s; vergroten van bewustwording; privacy governance en resilience van uw eigen organisatie evalueren. www.pwc.nl/privacy PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Introductie Privacy Health Check 3

Uitsplitsing van de resultaten In totaal hebben 93 organisaties, uit verschillende sectoren, deelgenomen aan de Privacy Health Check. De resultaten hiervan zijn grafisch weergegeven in de volgende hoofdstukken: Privacy in uw organisatie; Uw organisatie en het privacyrisico; Privacy en uw leveranciers; Privacy-incidenten en meldingen; Nieuwe privacywetgeving; Stellingen; Over u en uw organisatie. Hoe de resultaten in te zetten voor uw eigen doeleinden Op basis van het overall beeld zoals opgenomen in dit rapport adviseren wij om: 1. Het rapport en de aanbevelingen te bespreken met de privacyverantwoordelijken binnen uw organisatie om hen in staat te stellen de strategische richting uit te stippelen; 2. De strategische richting te vertalen in een actieplan dat onder meer moet leiden tot organisatorische, procedurele en technische maatregelen; 3. Periodiek de effectiviteit van deze maatregelen te meten. PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Introductie Privacy Health Check 4

De informatie verkregen via deze survey is uitsluitend gebruikt voor totstandkoming van dit rapport. Wij zijn uiteraard bereid om aan de hand van de uitkomsten de privacystatus van uw organisatie met u te bespreken en u te faciliteren bij de ontwikkeling van een actieplan die past bij uw organisatie en aandachtsgebieden. Met vriendelijke groet, Erwin de Horde Partner Risk Assurance Yvette van Gemerden Partner Legal Services Adri de Bruijn Partner Consulting Technology PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Introductie Privacy Health Check 5

Managementsamenvatting PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Managementsamenvatting 6

Belangrijke zaak 72% van de deelnemende organi saties zet privacy hoog op de agenda vanuit verantwoordelijkheidsgevoel. 20% doet dit primair vanwege het risico op reputatieschade of boetes. Samenspel vereist Het merendeel van de organisaties onderkent dat privacy een samenspel is tussen Business, Legal en IT (security). Frequentie van de afstemming varieert. 20 % 32 % Bij incidenten 38 % Ad hoc Periodiek Onderscheidend vermogen niet benut Slechts 23% van de deelnemers geeft aan dat privacy een onderwerp is waarmee de organisatie zich actief profileert en onderscheidt in de markt. Volwassenheid moet groeien Slechts 35% van de deelnemers denkt dat de eigen organisatie gekwalificeerd is om op een (zeer) volwassen manier om te gaan met persoonsgegevens. Train uw mensen Bij 66% van de organisaties heeft in het afgelopen jaar geen training voor de medewerkers plaatsgevonden op het gebied van privacy en persoonsgegevens. Bij 17% is de omgang met persoonsgegevens onvolwassen. Bij 48% is de organisatie op dit vlak redelijk volwassen. Bij 35% is de omgang volwassen tot zeer volwassen. Ja, e-learnings Ja, trainingen van minder dan een dagdeel Ja, trainingen van één dagdeel Ja, trainingen van meer dan één dagdeel Nee PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Managementsamenvatting 7

Privacy incidenten stabiel 53% geeft aan dat in 2014 geen privacy incidenten hebben voorgedaan. Bij 22% van de organisaties is het aantal stabiel gebleven ten opzichte van 2013. Leveranciersafspraken nog niet voldoende Begrip van de risico s en impact 52% van de deelnemende organisaties voert geen risico analyses (bijvoorbeeld privacy impact assess- Toegenomen Afgenomen van leveranciers. Stabielgebleven 25% sluit geen 52% bewerkersovereenkomsten ments) op het gebied Niet van toepassing, er hebben zich geen incidenten voorgedaan af met leveranciers. van privacy uit. Klaar voor de toekomst Privacy Officer Right-to-be-forgotten 17% van de deelnemers geeft aan mogelijk maken 32 % al een privacy Officer (of Functionaris 12% van de deelnemers is klaar voor de verwachte privacyregelgeving of is de wijzigingen aan het implementeren. Van de resterende 88% heeft een minderheid de wijzigingen al geïdentificeerd. Wijzigingen al geïdentificeerd 56 % Wijzigingen niet geïdentificeerd 43% geeft aan gebruik te maken van bewerkersovereenkomsten bij inzet 17% Gegevensbescherming) te hebben 41% aangesteld. is van plan een Privacy Officer te gaan aanstellen, echter 26% van de organisaties was zich niet bewust dat dit een vereiste is in 26% de verwachte privacyregelgeving. 82% van de deelnemers heeft nog geen procedure om verzoeken tot het wissen van persoonsgegevens af te kunnen handelen. PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Managementsamenvatting 8

Resultaten PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Resultaten 9

Privacy in uw organisatie Slechts 35% van de respondenten geeft aan dat de omgang met persoonsgegevens binnen de eigen organisatie volwassen tot zeer volwassen is. Een meerderheid acht de omgang met persoonsgegevens in de eigen organisatie niet volwassen. Bijna een derde van de organisaties heeft geen formeel privacybeleid. In 27% van de organisaties is sprake van een apart privacybeleid terwijl privacy bij 23% van de organisaties onderdeel uitmaakt van het informatiebeveiligingsbeleid. Hoe volwassen (ontwikkeld) is naar uw mening de omgang met persoonsgegevens binnen uw organisatie (inclusief koppeling met strategie rapportagevereisten en privacybeleid)? Heeft uw organisatie een formeel privacybeleid geïmplementeerd? Onvolwassen Redelijk volwassen Volwassen Zeer volwassen Ja, er is een apart privacybeleid Ja, als onderdeel van het algemene beleid ja, als onderdeel van het informatiebeveiligingsbeleid Nee Anders, graag toelichten 0% 10% 20% 30% 40% 50% 60% 0% 5% 10% 15% 20% 25% 30% 35% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy in uw organisatie 10

Privacy in uw organisatie Het blijkt dat organisaties de verantwoordelijkheid voor het privacybeleid op veel verschillende niveaus neerleggen. In 10% van de gevallen is niemand hiervoor verantwoordelijk, terwijl ook in veel gevallen is aangegeven dat de verantwoordelijkheid op directieniveau ligt. De vraag waar de verantwoordelijkheid voor het privacybeleid behoort te liggen levert eveneens een diffuus beeld op. Bijna een derde geeft aan dat deze verantwoordelijkheid thuishoort bij de Privacy Officer of de Functionaris Gegevensbescherming. Wie is er op dit moment binnen uw organisatie verantwoordelijk voor de implementatie van het privacybeleid? Wie zou er naar uw oordeel verantwoordelijk moeten zijn voor het privacybeleid binnen uw organisatie? Chief Information Officer IT Manager Privacy Officer Security Officer Compliance Officer Functionaris Gegevensbescherming Risk Manager Hoofd Internal Audit Legal Counsel Controller HR Manager Niemand Anders, graag toelichten Chief Information Officer IT Manager Privacy Officer Security Officer Compliance Officer Functionaris Gegevensbescherming Risk Manager Hoofd Internal Audit Legal Counsel Controller HR Manager Niemand Anders, graag toelichten 0% 5% 10% 15% 20% 25% 30% 35% 0% 5% 10% 15% 20% 25% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy in uw organisatie 11

Privacy in uw organisatie Bij 64% van de deelnemende organisaties is het onderwerp privacy een samenspel tussen IT (Security), de Business en Legal maar bij slechts een minderheid van de organisaties vindt periodiek of dagelijks overleg plaats tussen IT (Security), de Business en Legal om het onderwerp privacy te bespreken. Waar is het onderwerp privacy binnen uw organisatie primair belegd? Hoe vaak komen IT (Security) Business en Legal bij elkaar om privacyzaken te bespreken? Privacy is primair een IT (Security) onderwerp Privacy is primair een Business onderwerp Privacy is primair een Legal onderwerp Privacy is een samenspel tussen IT (Security), Business en Legal Nergens Alleen bij incidenten Ad Hoc (zonder directe aanleiding) Periodiek, minimaal jaarlijks Periodiek, minimaal eens per kwartaal Periodiek, minimaal maandelijks IT (Security), Business en Legal werken dagelijks intensief samen 0% 10% 20% 30% 40% 50% 60% 70% 0% 5% 10% 15% 20% 25% 30% 35% 40% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy in uw organisatie 12

Privacy in uw organisatie Bij ongeveer de helft van de organisaties is niet gedocumenteerd welke persoonsgegevens worden verwerkt. Slechts 16% heeft alle verwerkingen zowel inzichtelijk als gedocumenteerd. Bij meer dan de helft van de organisaties vindt beoordeling van compliance aan de Wet bescherming persoonsgegevens helemaal niet of uitsluitend op ad hoc basis plaats. Bij 42% van de deelnemende organisaties is sprake van periodieke beoordeling. Heeft uw organisatie inzichtelijk en gedocumenteerd welke persoonsgegevens worden verwerkt? Worden privacy en compliance aan de Wet bescherming persoonsgegevens (Wbp) periodiek beoordeeld? Alle verwerkingen zijn in zichtelijk en gedocumenteerd De meeste verwerkingen zijn inzichtelijk en gedocumenteerd De meeste verwerkingen zijn inzichtelijk, maar niet gedocumenteerd Verwerkingen zijn niet/ slecht inzichtelijk en worden niet gedocumenteerd 0% 10% 20% 30% 40% 50% Ja, als onderdeel van een reguliere auditcyclus Ja, beoordeling vindt anderszins periodiek plaats (geen audit) Nee, alleen ad hoc Nee, er vindt geen beoordeling plaats 0% 5% 10% 15% 20% 25% 30% 35% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy in uw organisatie 13

Privacy in uw organisatie Bijna de helft van de organisaties geeft aan geen of vrijwel geen verzoeken tot inzage in persoonsgegevens te ontvangen. 40% van de respondenten geeft aan niet te weten hoe vaak dergelijke verzoeken worden gedaan. Ruim een derde van de organisaties geeft aan dat het nog onvoldoende waarborgen heeft geïmplementeerd om verzoeken tot inzage in persoonsgegevens adequaat af te kunnen handelen. Hoe vaak krijgt u inzageverzoeken op jaarbasis? Heeft uw organisatie voldoende waarborgen om verzoeken tot inzage in persoonsgegevens af te handelen? 0-5 6-20 21-50 >50 Ja, wij hebben voldoende waarborgen Nee, maar we zouden het moeten hebben Nee, maar we krijgen nooit dergelijke verzoeken 0% 10% 20% 30% 40% 50% 60% 0% 10% 20% 30% 40% 50% 60% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy in uw organisatie 14

Uw organisatie en het privacyrisico Meer dan de helft van de deelnemende organisaties zegt in het geheel geen risicoanalyses te hebben uitgevoerd betreffende de omgang met persoonsgegevens. Bij 66% van de organisaties heeft het personeel in de afgelopen 12 maanden geen training of opleiding op het gebied van privacy gevolgd. Heeft uw organisatie een of meerdere risicoanalyses uitgevoerd (bijvoorbeeld Privacy Impact Assessments) in het kader van omgang met persoonsgegevens? Hebben u en/of uw collega s de afgelopen 12 maanden privacytrainingen gevolgd? Ja, e-learnings Ja, wij hebben meerdere risicoanalyses uitgevoerd Ja, wij hebben één risicoanalyse uitgevoerd Nee, wij hebben dit niet gedaan Ja, trainingen van minder dan een dagdeel Ja, trainingen van minder dan een dagdeel Ja, trainingen van meer dan één dagdeel Nee 0% 10% 20% 30% 40% 50% 60% 0% 10% 20% 30% 40% 50% 60% 70% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Uw organisatie en het privacyrisico 15

Privacy en uw leveranciers In hoeverre is inzichtelijk of er sprake is van datastromen tussen de eigen organisatie en relaties zoals klanten en leveranciers? Twee derde van de deelnemers antwoordt dat de eigen organisatie niet of slechts redelijk zicht heeft op datastromen naar externe partijen. 31% geeft zelfs aan daarop wel goed zicht te hebben. Heeft uw organisatie als geheel vanuit privacy-oogpunt goed inzicht in de datastromen betreffende persoonsgegevens tussen uw organisatie en externe partijen (leveranciers klanten gegevensbewerkers)? Ja, goed Ja, redelijk Nee 0% 10% 20% 30% 40% 50% 60% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy en uw leveranciers 16

Privacy en uw leveranciers Bijna de helft van de deelnemende organisatie maakt gebruik van bewerkersovereenkomsten als juridische basis voor de verzending van persoonsgegevens naar externe partijen. 25% van de organisaties maakt geen gebruik van bewerkersovereenkomsten. Als reden voor het niet gebruiken van bewerkersovereenkomsten geeft 59% van de deelnemers aan dat in de bestaande contracten al de vereiste privacy clausules worden opgenomen. 5% gebruikt geen bewerkersovereenkomsten omdat dit als te omslachtig wordt ervaren. Maakt u gebruik van bewerkersovereenkomsten indien u persoonsgegevens door derden laat bewerken? Waarom maakt u geen gebruik van bewerkersovereenkomsten? Ja Nee Niet van toepassing Ik weet niet wat een bewerkersovereenkomst is Ik vind het gebruik ervan omslachtig In bestaande contracten nemen wij de vereiste privacy clausules op Anders, graag toelichten 0% 10% 20% 30% 40% 50% 0% 10% 20% 30% 40% 50% 60% 70% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy en uw leveranciers 17

Privacy en uw leveranciers 62% van de respondenten geeft aan dat bewerkersovereenkomsten niet periodiek op naleving worden gecontroleerd. Bij slechts 27% is wel sprake van periodieke controle. Controleert u de bewerkersovereenkomsten periodiek op naleving (of laat u deze periodiek controleren)? Ja Nee 0% 10% 20% 30% 40% 50% 60% 70% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy en uw leveranciers 18

Privacy-incidenten en meldingen Een meerderheid van de respondenten geeft aan dat er zich bij de eigen organisatie het afgelopen jaar geen privacy-incidenten hebben voorgedaan. In 12% van de gevallen is sprake van een toename van het aantal privacy-incidenten. 13% geeft aan geen zicht te hebben op mogelijke privacy-incidenten. Bijna de helft van de deelnemers geeft aan dat de eigen organisatie goed tot zeer goed heeft gereageerd op privacy-incidenten die zich hebben voorgedaan. Is het aantal privacy-incidenten voor zover u weet toe- of afgenomen in het afgelopen jaar? Hoe heeft uw organisatie naar uw oordeel gereageerd op de privacy-incidenten? Slecht/onacceptabel Toegenomen Niet goed Stabiel gebleven Redelijk (gemiddeld) Afgenomen Niet van toepassing, er hebben zich geen incidenten voorgedaan Goed Zeer goed 0% 10% 20% 30% 40% 50% 60% 0% 5% 10% 15% 20% 25% 30% 35% 40% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy-incidenten en meldingen 19

Privacy-incidenten en meldingen 61% van de organisaties analyseert privacy-incidenten met het oog op voorkoming van toekomstige incidenten. In 23% van de gevallen vindt geen analyse plaats. De verantwoordelijkheid voor het analyseren van privacy-incidenten wordt door organisaties op verschillende niveau s belegd. In 26% van de gevallen ligt de primaire verantwoordelijkheid bij de Security Officer. Worden privacy-incidenten geanalyseerd om toekomstige privacy-incidenten te voorkomen? Wie is verantwoordelijk voor het analyseren van privacy-incidenten? IT Manager Privacy Officer Security Officer Ja Nee 0% 10% 20% 30% 40% 50% 60% 70% Compliance Officer Functionaris gegevensbescherming Risk Manager Hoofd Internal Audit Legal Counsel Controller HR Manager Niemand Anders, graag toelichten 0% 5% 10% 15% 20% 25% 30% 35% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Privacy-incidenten en meldingen 20

Nieuwe privacywetgeving In de toekomst ontstaat voor alle organisaties de verplichting om datalekken binnen zeer korte termijn te melden bij het College Bescherming Persoonsgegevens (inclusief impact, te nemen maatregelen, etc.) en om betrokkenen hierover te informeren. Slechts 12% van de deelnemende organisaties geeft aan dat het goed tot zeer goed is voorbereid om aan deze verplichting te voldoen. Vindt u dat uw organisatie goed is voorbereid om aan deze verplichtingen te voldoen? Slecht/Onacceptabel Niet goed Redelijk (gemiddeld) Goed Zeer goed 0% 5% 10% 15% 20% 25% 30% 35% 40% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Nieuwe privacywetgeving 21

Nieuwe privacywetgeving Profiling van persoonsgegevens biedt de mogelijkheid om deze gegevens voor marketing en andere commerciële doeleinden aan te wenden. Profiling is echter niet ongelimiteerd toegestaan. 36% van de organisaties maakt gebruik van profiling van persoonsgegevens. In bijna een kwart van de gevallen maakt profiling zelfs onderdeel uit van het strategisch beleid van de organisatie. Profiling omvat het methodisch opstellen van klantprofielen voor onder meer marketing en andere commerciële doeleinden. Vindt binnen uw organisatie profiling van persoonsgegevens plaats? Ja, profiling maakt onderdeel uit van het strategisch/ commercieel beleid Ja, profiling vind sporadisch plaats Nee 0% 10% 20% 30% 40% 50% 60% 70% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Nieuwe privacywetgeving 22

Nieuwe privacywetgeving Onder de aanstaande Europese Privacy Verordening wordt het voor veel organisaties verplicht om een Privacy Officer aan te stellen. Bij slechts 17% van de deelnemende organisaties is al een Privacy Officer aangesteld. 41% van de organisaties geeft aan dat er al plannen zijn om dit te doen. Ruim twee derde van de deelnemende organisaties geeft aan dat er in de eigen organisatie geen procedure bestaat om aan het recht om vergeten te worden te kunnen voldoen door verzoeken om persoonsgegevens te wissen af te handelen. Heeft uw organisatie al een Functionaris Gegevensbescherming of Privacy Officer aangesteld? De Europese Privacy Verordening kent het Recht om vergeten te worden. Heeft uw organisatie een interne procedure om verzoeken af te handelen om persoonsgegevens te wissen? Ja, deze is al aangesteld Nee, maar we zijn het wel van plan Nee, ik wist niet dat dit een nieuwe regel is Niet van toepassing, wij voldoen niet aan de criteria zoals gesteld Ja, wij hebben een dergelijke procedure geïmplementeerd Nee, maar we zijn bezig deze procedure te definiëren/implementeren Nee, wij hebben hiervoor (nog) geen procedure gedefinieerd 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 0% 10% 20% 30% 40% 50% 60% 70% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Nieuwe privacywetgeving 23

Nieuwe privacywetgeving Een Europese Data Privacy Protection Seal beperkt de risico s die voor organisaties voortvloeien uit de omgang met persoonsgegevens. Ruim een derde van de organisaties geeft aan het redelijk tot zeer nuttig te vinden om over een Europese Data Privacy Protection Seal te beschikken. Door de Europese Privacy Verordening wordt het mogelijk om als organisatie een Europese Data Privacy Protection Seal te halen. Denkt u dat het voor uw organisatie nuttig is om een dergelijk Data Privacy Protection Seal te halen? Ja, zeer nuttig Ja, redelijk nuttig Nee, niet nuttig 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Nieuwe privacywetgeving 24

Stellingen Voor een zeer ruime meerderheid van de organisaties is de bescherming van de persoonsgegevens van klanten, personeel en andere relaties de belangrijkste reden om het onderwerp privacy hoog op de agenda te zetten. Bij slechts een gering aantal organisaties is het onder de aanstaande Europese Privacy Verordening sterk verhoogde boeterisico de belangrijkste reden. De belangrijkste reden voor onze organisatie om privacy hoog op de agenda te zetten is: Het risico op een boete van 5% van de wereldwijde omzet tot een maximum van EUR 100.000.000 Wij voelen ons verantwoordelijk voor de bescherming van persoonsgegevens van onze klanten, medewerkers en andere relaties Wij zijn bang voor reputatieschade ingeval van privacy incidenten Privacy staat bij ons niet hoog op de agenda 0% 10% 20% 30% 40% 50% 60% 70% 80% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Stellingen 25

Stellingen Een meerderheid van de deelnemende organisaties geeft aan dat het de toekomstige wijzigingen in privacyregelgeving nog niet heeft geïdentificeerd. 31% van de organisaties geeft aan de wijzigingen wel in beeld te hebben maar nog niet te zijn begonnen met de implementatie ervan. Wij zijn klaar voor de wijzigingen in de privacyregelgeving (Europese Privacy Verordening/ Wet Meldplicht Datalekken): Wij zijn er klaar voor Wij hebben de wijzigingen geïdentificeerd en zijn bezig met de implementatie Wij hebben de wijzigingen geïdentificeerd, maar zijn nog niet begonnen met de implementatie Wij hebben de wijzigingen nog niet geïdentificeerd 0% 10% 20% 30% 40% 50% 60% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Stellingen 26

Stellingen Op basis van de Europese Privacy Verordening wordt het verplicht om bij de ontwikkeling en implementatie van nieuwe systemen rekening te houden met de privacy van betrokkenen en de bescherming van persoonsgegevens. Van alle deelnemende organisaties geeft echter 30% aan hier bij de ontwikkeling van nieuwe systemen niet altijd rekening mee te houden. Bij implementatie van nieuwe systemen houden wij altijd in een vroeg stadium rekening met privacy-aspecten en de bescherming van persoonsgegevens (Privacy by Design principe): Eens Oneens 0% 10% 20% 30% 40% 50% 60% 70% 80% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Stellingen 27

Stellingen In hoeverre wordt de strikte privacywetgeving ervaren als een rem op de innovatiekracht van ondernemingen? 20% van de respondenten ervaart privacyregelgeving als belemmerend voor de innovatiemogelijkheden van de organisatie. 80% ziet privacyregelgeving niet als een belemmering voor innovatie. Privacyregelgeving beperkt onze innovatiemogelijkheden: Eens Oneens 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Stellingen 28

Stellingen De wijze van omgang met persoonsgegevens en privacy van relaties kan door organisaties worden gebruikt om zich te profileren en te onderscheiden van de concurrentie. In hoeverre maken organisaties gebruik van dit onderscheidende vermogen? Slechts minder dan een kwart van de organisaties benut het privacybeleid om zich te onderscheiden in de markt. Wij gebruiken privacy en ons privacybeleid om ons te profileren en te onderscheiden in de markt: Eens Oneens 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Stellingen 29

Over u en uw organisatie De individuele respondenten van de survey zijn werkzaam in een grote verscheidenheid aan functies. De deelnemende organisaties zijn actief in een grote verscheidenheid aan sectoren. Welke van deze functietitels beschrijft uw rol het beste? Welke sectorclassificering is het meest van toepassing op de belangrijkste activiteiten van uw organisatie? Management Board Chief Information Officer IT Manager Privacy Officer Security Officer Compliance Officer Functionaris Gegevensbescherming Risk Manager Hoofd Internal Audit Legal Counsel Controller HR Manager Anders, graag toelichten Industriële sector Detailhandel Financiële sector Energie sector Gezondheidszorg Publieke sector - Regionaal Publieke sector - Nationaal Technologie, Media & Telecom Anders, graag toelichten 0% 5% 10% 15% 20% 0% 5% 10% 15% 20% 25% 30% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Over u en uw organisatie 30

Over u en uw organisatie 46% van de deelnemende organisaties heeft minder dan 500 werknemers. 28% van de organisaties heeft tussen de 1.000 en 5.000 werknemers en 7% heeft meer dan 50.000 werknemers. Hoeveel werknemers heeft uw organisatie wereldwijd? 0-500 500-1.000 1.000-5.000 5.000-20.000 20.000-50.000 >50.000 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Over u en uw organisatie 31

Bijlagen PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Bijlagen 32

Bijlage A: Privacy Portfolio van PwC Strategie Ondersteunen bij ontwikkeling algemeen privacy beleid Vormgeven privacy strategie Opstellen privacy roadmap Verhogen van het privacy bewustzijn Strategie Verkenning Risicoanalyse op privacy gevoelige gegevens Inzichtelijk maken van de mogelijkheden voor gebruik van persoonsgegevens Classificeren van de privacy gevoelige data Uitvoeren van een nulmeting Analyse van contractuele structuren rondom de verwerking van persoonsgegevens Verkenning Assurance Afgeven van Assurance rapporten o.b.v. Richtlijn 3600/ SOC2 Afgeven van privacy certificering Assurance PwC Privacy Portfolio Transformatie management Transformatie Management Opstellen van een privacy programma Inzichtelijk maken van benodigde veranderingen in IT-systemen Uitvoeren GAP-analyses Uitvoeren Privacy Impact Assessment Uitvoeren Contract assessments Nazorg Organiseren van workshops om medewerkers te wijzen op belang van privacy Privacybeleid en de genomen maatregelen publiceren op Intranet Governance beoordelingen Nazorg Implementatie Centraal beleggen van verantwoordelijk heden mb.t. persoonsgegevens Inbedden van privacy maatregelen in het huidige controle raamwerk IT-systemen updaten om maatregelen systeemtechnisch af te dwingen Meldingen en registraties bij College Bescherming Persoonsgegevens Analyse en opstellen van privacy policies Implementatie PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Bijlage A 33

Contactgegevens Meer weten over Privacy Governance onderzoek en wat PwC voor uw organisatie kan doen? Neem contact op met: Erwin de Horde Partner Risk Assurance +31 (0)88 792 51 85 erwin.de.horde@nl.pwc.com Yvette van Gemerden Partner Legal Services +31 (0) 88 792 54 42 yvette.van.gemerden@nl.pwc.com Adri de Bruijn Partner Consulting Technology +31 (0) 88 792 65 87 adri.de.bruijn@nl.pwc.com www.pwc.nl/privacy 2015 PwC. Alle rechten voorbehouden. Niet bestemd voor verdere openbaarmaking zonder toestemming van PwC. PwC is het merk waaronder member firms van PricewaterhouseCoopers International Limited (PwCIL) handelen en diensten verlenen. Samen vormen deze firms het wereldwijde PwC-netwerk. In dit document wordt met PwC gedoeld op het wereldwijde PwC-netwerk of, als dit uit de context voorvloeit, op individuele member firms van het PwC-netwerk. Elke aangesloten firma is een afzonderlijke juridische entiteit. Kijk op www.pwc.com/structure voor meer informatie. PwC Privacy Governance onderzoek Volwassenheid van privacybeheersing binnen Nederlandse organisaties Contactgegevens 34