Privacy Volwassenheidsmeter
Meetbaar Privacy management
‘ De AVG volwassenheidsmeter, een handige tool.’
De uitspraak ‘Wij zijn 100% AVG compliant” klinkt goed en kan in bepaalde situaties gebruikt worden als beeldspraak om aan te geven dat de organisatie goed bezig is met het onderwerp ‘Privacy’.
Die 100% is meestal niet gebaseerd op een werkelijke cijfermatige waardering van het privacy domein, maar wordt er bedoeld dat een lijst van actiepunten is afgehandeld.
Om een cijfermatige uitspraak te kunnen doen over de status van het privacy management en de implementatie van de AVG in een organisatie heeft AVG Compleet een ‘Privacy Volwassenheidsmeter’ ontwikkeld. Met deze meter wordt in één cijfer uitgedrukt hoe ver de organisatie is met het eigen maken van het onderwerp.
Vijf niveaus van volwassenheid
De meter geeft met een getal van 0 tot 5 aan op welk volwassenheidsniveau de organisatie zit. Hierbij worden de volgende niveaus gehanteerd:
Niveau | Score | Uitleg |
1 “Event driven” | 0 tot 1 | De organisatie neemt pas maatregelen als er zich een probleem of dringende aanleiding voordoet. Er is geen samenhang tussen de maatregelen.
|
2 “Herhaalbaar” | 1 tot 2 | Er zijn diverse beheersmaatregelen ingesteld, en er is enige mate van samenhang tussen de maatregelen. Hoewel er wel al herhaling optreedt van processen is het management van de maatregelen nauwelijks aanwezig, en ontbreekt een duidelijke controlestructuur.
|
3 “Afgebakend” | 2 tot 3 | Het privacy management is al gebaseerd op risico analyses. Alleen de meest risicovolle processen worden actief gemanaged. De veiligheid van gegevens valt nog steeds niet te garanderen.
|
4 “Beheerst” | 3 tot 4 | Vanaf niveau 3 begint de organisatie goed te presteren. Er is steeds meer awareness (bewustzijn) van het onderwerp privacy en informatiebeveiliging. De beheersmaatregelen worden werkelijk gemanaged en geëvalueerd. Het bestuur van de organisatie is goed betrokken. Toch worden procedures nog af en toe vergeten of gepasseerd, of wordt beleid niet helemaal volledig opgevolgd.
|
5 “Optimaal” | 4 tot 5 | Privacy management wordt organisatiebreed en vanzelfsprekend uitgevoerd. Het bestuur heeft de touwtjes goed in handen, en zorgt voor een continue verbetering van privacy en informatiebeveiliging.
|
Meerdere dimensies
De Privacy Volwassenheidsmeter bestaat uit ruim 120 meetpunten. Deze zijn verdeeld in verschillende dimensies. Hierdoor is het mogelijk om niet alleen een cijfer te geven voor het gehele privacy management, maar ook cijfermatig te kijken naar factoren waarop de organisatie goed of juist minder presteert.
De volgende dimensies zijn verwerkt:
- Categorie
- Fase
- Onderwerp
- Privacy by Design
- Betrokkenheid van de Directie
Hieronder worden de verschillende dimensies apart toegelicht.
Categorie
De belangrijkste indeling is die van de Categorieën: Mensen, Middelen en Management. Een goed opgezet en beheerd privacy management staat op deze drie pijlers.
Zijn degenen die beleid opstellen, uitvoeren, controleren en evalueren. Mensen bekijken en verwerken persoonsgegevens, bijvoorbeeld door het versturen van mails of het inloggen op systemen. Het is belangrijk dat de mensen te vertrouwen zijn, dat er goede afspraken zijn gemaakt, dat iedereen weet wat zijn eigen taken en verantwoordelijkheden zijn, etc.
- Middelen zijn de gereedschappen van de organisatie voor het uitvoeren van het privacy management. Het gaat hierbij om geld en tijd die beschikbaar is, maar ook over beleid, apparatuur, registraties en inventarisaties, en de wettelijk vereiste papierwinkel.
- Management is de pijler die alles verbindt, controleert en evalueert. In het onderwerp Management wordt gekeken naar de inrichting van het privacy management. Ook de inbreng van de top van de organisatie wordt gemeten; als een directie of bestuur niet of nauwelijks het privacy management steunt, dan komt de organisatie nooit boven niveau 3 uit.
Fase
Een goed privacy management is opgezet volgens het principe van kwaliteitscirkel van Deming, de PDCA-cyclus. Deze cyclus zorgt er voor dat de verbetering van de processen en de kwaliteit voortdurend onder de aandacht is. De vier activiteiten die bij deze cirkel horen zijn:
– Kijk naar de huidige situatie en ontwerp een plan voor actie of verbetering. Stel concrete doelstellingen vast.
- Do – Voer de geplande acties en verbeteringen uit.
- Check – Meet de resultaten van de acties en verbeteringen en toets deze aan de doelstellingen.
- Act – Stel de doelstellingen en acties bij aan de hand van de resultaten van de Check-fase.
Onderwerp
Deze dimensie in de volwassenheidscheck kijkt naar verschillende onderwerpen. Met de meetpunten wordt antwoord gezocht voor de volgende vragen:
– Hoe goed is het controleren en verifiëren onderdeel van de organisatie?
- Techniek – Hoe goed zijn de technische aspecten van informatiebeveiliging onder controle?
- Contracten – Zijn eisen met betrekking tot privacybescherming en informatiebeveiliging in contracten opgenomen?
- Awareness – In welke mate leeft het onderwerp privacy en veiligheid bij de mensen in de organisatie? Wordt er voldoende energie gestoken in het bewust krijgen en houden van dit onderwerp?
- Organisatie – Hoe is het privacy management georganiseerd? Is het in verhouding tot de organisatie en de gegevens die worden verwerkt?
- Fysiek – Hoe is de fysieke beveiliging geregeld?
Privacy by Design
Een organisatie die voldoende volwassen is op het onderwerp Privacy zorgt er voor dat er aandacht aan dit onderwerp wordt besteed voordat er daadwerkelijk persoonsgegevens worden verwerkt. In de ontwerp- of opstartfase van een project moet de bescherming van persoonsgegevens al onderdeel uitmaken van de plannen.
In de Privacy Volwassenheidsmeter wordt er over een groot aantal meetpunten gecontroleerd in welke mate dit in de organisatie al een automatisme is. Hoe meer er aan Privacy by Design wordt gedaan, des te kleiner de kans dat er gaten in de beveiliging komen, of dat rechten van betrokkenen niet worden gerespecteerd.
Betrokkenheid van de Directie of het Bestuur
Betrokkenheid van de top van de organisatie is bepalend of de volwassenheid van het privacy management boven niveau 3 uit kan groeien. Alleen wanneer de directie privacy bescherming tot belangrijk agendapunt maakt, en voldoende ruimte en middelen (in tijd en geld) beschikbaar stelt voor het onderwerp, kan de organisatie optimaal gaan functioneren.
In de Privacy Volwassenheidsmeter komt de inbreng van de directie regelmatig terug. Als de gemeten waarde voor ‘directie betrokkenheid’ hoger is dan de gemeten Privacy volwassenheid, dan is de kans groot dat de organisatie nog verder zal verbeteren op dit onderwerp. Is omgekeerd het niveau van de directie betrokkenheid significant lager, dan is de kans dat binnen één à twee jaar het niveau voor de gehele organisatie gevoelig gedaald zal zijn.
Meer weten over de AVG Volwassenheidsmeter?
Vul hieronder in ieder geval jouw naam en emailadres in, zodat we je vraag kunnen antwoorden.
Wil je liever gebeld worden? Vul dan je telefoonnummer in. Wij gebruiken jouw gegevens alleen maar om jouw vraag te kunnen beantwoorden. Kijk voor meer informatie naar ons privacy statement.