Privacywet- en regelgeving wordt vaak ervaren als een complex geheel dat een organisatie remt in de vooruitgang. Echter organisatie die goed om weten te gaan met deze regelgeving kunnen zien privacy als een onderscheidende factor richting hun klanten. Samen met u nemen we concrete acties om privacy een integraal onderdeel van uw huidige en toekomstige bedrijfsprocessen te maken en verantwoord om te gaan met persoonsgegevens. Zo kunt u trends ontdekken, klanten beter leren kennen, nieuwe diensten ontwikkelen en tegelijkertijd voldoen aan de privacyregelgeving.
Hoe privacyvolwassen is mijn organisatie?
U besteedt aandacht aan privacy binnen uw organisatie. Is dit voor uw klanten óók voldoende? De maatschappij is bijzonder kritisch geworden op de omgang met persoonsgegevens. Een goed privacybeleid is nu een licence to operate. Uw klant verwacht dat u zich privacyvolwassen gedraagt. Maar wat is dat? Hoe meet u het én hoe groeit u in volwassenheid? Wij bieden inzicht.
In onze visie op privacyvolwassenheid zijn er vijf niveaus waarop een organisatie zich kan bevinden. Het ideaalbeeld is dat uw organisatie doorgroeit naar het vijfde niveau. Daar liggen de grootste kansen voor het versterken van uw reputatie. Of u dit echt wilt, bepaalt u aan de hand van de benodigde investeringen, ingeschatte risico’s en verwachte opbrengsten. Privacyvolwassenheid is geen natuurlijk proces, maar een bewuste keuze waarbij de nodige stappen genomen dienen te worden. Het moet passen bij uw organisatie en omgeving.
Meer zorgen over privacy
Het jaarlijkse privacy-onderzoek van KPMG.
Welk niveau past bij uw ambitie?
Is uw huidige volwassenheidsniveau passend, of ligt uw ambitie hoger? Indien dit laatste het geval is, dan is het tijd om te bepalen welke stappen nodig zijn om door te groeien. Wij kunnen u hierin begeleiden. Zo hebben we in veel sectoren best practices, die u concreet inzicht geven in de mogelijkheden.
KPMG adviseert ook over tools die u helpen grip te krijgen op privacy. Bijvoorbeeld door meer inzicht in de persoonsgegevens die verwerkt worden. En door het automatiseren van het beheer van privacymaatregelen en ondersteunen van de workflow van medewerkers op het vlak van privacy. Met name deze tooling helpt organisaties om met relatief weinig capaciteit grote stappen te zetten naar een hoger volwassenheidsniveau.
Hoe het privacybewustzijn van medewerkers te vergroten
Wilt u maximaal rendement halen uit uw investering in het privacybeleid? Besteed dan veel aandacht aan privacybewuste medewerkers. Zij moeten uw privacybeleid in de praktijk toepassen. Privacybewustzijn is dan ook de cruciale schakel tussen theorie en praktijk. Als die er is, vermijdt u grote privacyrisico’s. Maar hoe verhoogt u het privacybewustzijn? Wij helpen u met een aanpak in vijf stappen.
Vaak is één medewerker of een kleine afdeling verantwoordelijk voor het privacybeleid. Terwijl iedere medewerker in meer of mindere mate invloed heeft op privacy, met een eigen rol en verantwoordelijkheid. Daarom is een bedrijfscultuur nodig, waarin iedereen zich bewust is van het belang van privacy en weet hoe je privacyregels in de praktijk goed toepast. Dit verkleint de kans op (onbewust) menselijk falen.
Stap 1: Meet
U stelt in lijn met uw visie op privacy de uitvoerbaarheid vast. Willen en kunnen medewerkers uw visie en ambitie waarmaken?
Stap 2: Motiveer
Zorg ervoor dat medewerkers de visie en ambitie onderschrijven en dat er betrokkenheid is. Voorbeeldgedrag van het management is cruciaal.
Stap 3: Informeer
De basis is er, nu informeert u medewerkers over wat van hen wordt verwacht. Vooral helderheid is belangrijk.
Stap 4: Reflecteer
Er is nu sprake van een nieuwe werkwijze en nieuw gedrag. U daagt iedereen uit tot reflectie: wordt het goed opgepakt en is het uitvoerbaar?
Stap 5: Borg
Er moet continue aandacht zijn, bijvoorbeeld ingebed in het performance management. Gedrag en effecten moeten zichtbaar zijn (transparantie).
KPMG begeleidt u bij het opzetten van de verandercyclus specifiek voor uw organisatie. Wij bieden ook per stap interventies, afgestemd op uw organisatie.
Hoe integreer ik privacy in mijn processen en diensten?
Overal in uw organisatie, tot diep in de werkprocessen, vindt u persoonsgegevens. Wilt u niet voor onverwachte verrassingen komen te staan, zoals een datalek of een compliancerisico, dan is een goed verankerd en geïntegreerd privacybeleid noodzakelijk. En het compliant zijn aan de Algemene Verordening Gegevensbescherming (AVG) verplichte uitgangspunten van privacy by design en privacy by default.
Privacy by design betekent dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd.
Privacy by default houdt in dat u technische en organisatorische maatregelen neemt om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
Van meet af aan zorgt u ervoor dat uw organisatie vertrouwd is met deze principes en uw medewerkers privacybewuste keuzes maken. Zo voorkomt u dat u achteraf pleisters moet plakken.
Data privacy als logisch onderdeel van ontwerpfase
Het principe van privacy by design is niet nieuw. Het blijft alleen vaak bij een lijstje basisprincipes voor de projectmanager. Zoals het vragen van toestemming voor het gebruik van persoonsgegevens of het tijdig verwijderen van deze gegevens. Dat maakt het voor veel medewerkers abstract, waardoor het privacybeleid niet goed van de grond komt. Met een paar stappen zorgt u ervoor dat privacy by design een logisch onderdeel wordt van élke ontwerp- of ontwikkelingsfase.
De 7 basisprincipes van privacy by design
1. Dataminimalisatie. Wees vooraf kritisch over welke data u in uw nieuwe product of dienst gaat verwerken. Hoe minder, hoe veiliger.
2. Pseudonimiseren en/of anonimiseren. Koppel waar mogelijk persoonsidentificerende data los van andere data, tijdelijk (‘pseudonimiseren’) of voor altijd (‘anonimiseren’).
3. Versleutelen. Zorg voor goed beschermde data aan de bron en kies de versleuteling die past bij uw product of soort project.
4. Toegangscontrole. Beperk vooraf wie bij welke data kan en investeer in goede tooling voor autorisatie en toegang.
5. Privacy by default. Zorg dat applicatie- en systeeminstellingen standaard op het hoogste privacyniveau staan. Bewust afwijken kan altijd nog.
6. Retentie en verwijderen. Weet welke data hoe lang u mag bewaren, leg dat vast en zorg voor slim geautomatiseerde verwijdering.
7. Rechten van betrokkenen. Onder de AVG hebben personen van wie u persoonsgegevens verwerkt (betrokkenen) meer en verbeterde privacyrechten. Denk daarbij aan het verzoek tot inzage, correctie, verwijdering of overdracht van de eigen persoonsgegevens. Zorg vooraf dat u zo’n verzoek makkelijk kunt beantwoorden.
Ervaren specialisten voor uw data privacy vraagstukken
KPMG biedt u een multidisciplinair team bestaande uit gecertificeerde Data Privacy, Data Management en Cyber Security professionals. Wij helpen u bij het implementeren van privacy op wetmatig, organisatorisch en technisch gebied. Aansluitend bij uw wensen en behoefte bieden we zowel praktische diensten die u meteen verder op weg helpen als strategische oplossingen voor uw organisatie.
Nieuws & Insights
Gerelateerde service
Neem contact op met onze specialisten
Koos Wolters
Lead Partner Cyber Security
KPMG Nederland
wolters.koos@kpmg.nl
Kim van Assendelft
Senior Consultant Data Privacy
KPMG Nederland
vanassendelft.kim@kpmg.nl
Stephan Idema
Senior Manager Data Privacy
KPMG Nederland
Idema.Stephan@kpmg.nl
