Nieuwste blogs

Alle blogs

Filter:
Cees Quirijns
8 augustus, 2017

Op welk niveau staat jouw privacybeleid?

Met GDPR in het vooruitzicht is het zinvol om voor jezelf -en voor je klanten- in te schatten op welk niveau het privacybeleid zich bevindt. We gingen te rade bij Gartner voor een framework om daarbij te helpen.

 

In het ITScore-model geeft Gartner vijf niveaus aan waarop je privacybeleid zich kan bevinden. Hoe hoger het niveau, hoe beter.

 

Gartner_Privacy_Maturity.gif(Bron: Gartner, 2016)

Niveaus van privacybeleid

De vijf niveaus van een privacybeleid laten zich als volgt samenvatten:

  1. Startend. Als er al privacyprocessen zijn, dan zijn ze ad hoc en ongeorgansieerd. Er bestaat geen formeel privacyprogramma binnen de organisatie.
  2. Ontwikkelend. Er is een visie geformuleerd voor een formeel privacyprogramma dat gedragen wordt door het management. Er wordt uitgezocht wat nodig is en wie ervoor verantwoordelijk wordt. Hiaten in het privacybeleid zijn duidelijk en er wordt over gecommuniceerd binnen de organisatie.
  3. Gedefinieerd. Doelen, uitgangspunten en KPI's zijn gedefinieerd. Processen zijn gestandaardiseerd, gedocumenteerd en geïmplementeerd. Er is sprake van een formeel privacybeleid.
  4. Gemanaged. Het privacybeleid is ingebed in de bedrijfscultuur en is een integraal, onlosmakelijk onderdeel van operationele processen en beleid. 
  5. Optimaliserend. Privacyprocessen zijn volledig volwasssen. Bedrijfsstrategie is gekoppeld met het privacybeleid. Processen worden continue aangepast naarmate mensen, technologie en bedrijfsdoelstellingen veranderen.

Op het moment van schrijven van dit blog wordt door Gartner ingeschat dat de gemiddelde dienstverlenende organisatie zich op een niveau van 2,4 bevindt. Er is dus nog een (lange) weg te gaan voor de meesten. 

 

Maar waar begin je met verbeteren? Ook daarvoor biedt Gartner een aantal aanbevelingen.

Aanbevelingen voor niveau 1: Startend

Organisaties op dit niveau lopen een groot risico om privacywetten te overtreden en het vertrouwen van klanten en/of medewerkers te verliezen. Daarom is het advies:

 

* Maak iemand binnen de organisatie specifiek verantwoordelijk voor privacy (typisch samen met andere taken). Dit is de persoon die de organisatie gaat helpen om te komen tot een formeel privacybeleid;
* Win juridisch advies in over de wettelijke verplichtingen die gelden en waaraan de organisatie zich dus (minimaal) moet houden;
Identificeer de verschillende vormen van persoonlijke informatie die de organisatie in bezit heeft of verwerkt.

Aanbevelingen voor niveau 2: Ontwikkelend

Er is al iemand specifiek verantwoordelijk voor het privacybeleid, het is duidelijke welke persoonlijke informatie de organsiatie heeft/verwerkt en er is een privacybeleid ontwikkeld. In deze fase is het devies:

 

* Documenteer alle privacygerelateerde informatie (zoals persoonlijke informatie, privacyprocessen en verantwoordelijkheden);
* Zorg dat er in alle omstandigheden een verantwoordelijk persoon voor privacy-issues is;
* Breid privacybeleid uit (bijvoorbeeld buiten de website);
Begin met een communicatiebeleid om de aandacht voor privacy-issues te vergroten.

Aanbevelingen voor niveau 3: Gedefinieerd

Op dit niveau is iemand binnen de directie specifiek verantwoordelijk voor privacy. Privacybeleid is geïmplementeerd, tenminste op het niveau van websites, medewerkers en klanten. Er is een inventarisatie van aanwezige persoonlijke data, maar er kan nog niet (goed) op toegezien worden dat deze niet oneigelijk wordt gebruikt of verloren gaat. Focus in deze fase op:

 

Handhaving van privacybeleid, incidentmanagement en proces voor klachtenafhandeling;
Feedback van medewerkers/afdelingen op het geïmplementeerde privacybeleid;
Afstemming van privacybeleid tussen business units/afdelingen en verschillende stakeholders.

Aanbevelingen voor niveau 4: Gemanaged

Het privacybeleid heeft op dit niveau al aardig handen en voeten gekregen. De volgende stappen:

 

* Stel zeker dat het privacybeleid regelmatig wordt geëvalueerd; 

* Maak een plan om het succes van het privacybeleid te meten;

* Evalueer of mensen (of producten) privacy-gecertificeerd kunnen worden. 

Aanbevelingen voor niveau 5: Optimaliserend

Op dit niveau valt er nog weinig te verbeteren. Hier is het zaak om het proces zo soepel mogelijk te laten verlopen. Stel daarbij zeker dat organisatorische, commerciële, technologische en juridische ontwikkelingen en veranderingen tot de juiste aanpassingen van het privacybeleid leiden.

 

Alle aanbevelingen, per niveau, op een rij? Bekijk de infographic Privacybeleid

Relevantie voor de M(S)SP

Als Managed (Security) Service Provider zul je door organisaties vooral ingeschakeld worden om te helpen bij het beveiligen van privacy-gevoelige data. In de meeste gevallen is het doel om te voorkomen dat deze data niet zomaar op straat komt te liggen met alle vervelende (juridische) consequenties van dien. Daarbij is het natuurlijk goed om een idee te hebben van de bredere privacy-problematiek die speelt bij klanten, zodat je daarbinnen adequaat kunt positioneren.

 

Ook als IT-dienstverlener zelf zul je over een goed privacybeleid moeten beschikken. Zeker wanneer jij degene bent die namens jouw klanten privacygevoelige informatie verwerkt of zelfs beheert, zoals steeds vaker bij clouddiensten het geval is. 

 

Tot slot zien we ook een opportunity. Hoe cool zou het zijn wanneer je als MSSP een technische privacy-assessment of GDPR-scan zou kunnen aanbieden aan je klanten? En daaropvolgend natuurlijk de producten en diensten leveren om grote drama's bij je klanten te voorkomen? Héél erg cool denken wij.

 

Na de zomervakantie vertellen we je graag meer over deze opportunity. Voor een sneakpreview bekijk je alvast onze RapidFireTools-pagina of een vorig blog over hoe je klanten binnenhaalt met een IT-assessment.  

 


Blijf automatisch op de hoogte van onze blogs over de MSP-business. Schrijf je in en ontvang wekelijks een overzicht van gepubliceerde blogs plus exclusieve content, zoals marktonderzoek en andere relevante research.

Blogs per e-mail

Ransomware Whitepaper
Business Booster Map