privacy

Inhoud Alle organisaties willen voldoen aan informatiebeveiligings- en privacynormen. Het gebruik van tooling daarbij is anno 2021 essentieel. Audittrail levert samen met Mavim het Compliance Management Framework (CMF). Hoe helpt dit systeem aan deze normen te voldoen, de administratieve last te verminderen én maximaal inzicht te verkrijgen in wat goed of minder goed geregeld is binnen een organisatie? Een gesprek daarover met Ralph Drijver, Business Developer bij Audittrail. Het opzetten van de administratie rondom het voldoen aan informatiebeveiligings- en privacynormen is complex, begint Ralph het gesprek. “Als je naar informatiebeveiliging en privacywetgeving kijkt, zijn er bij alle organisaties extreem veel spreadsheets, Word-documenten en andere informatiebronnen die worden gebruikt en toegepast voor de vastlegging. De administratieve last en druk is hoog maar men moet natuurlijk wel voldoen aan de wet. Dus men moet vastleggen, organiseren en borgen ten behoeve van de verantwoordingsplicht.”   Eenvoudiger en geoptimaliseerd Het is voor beide disciplines essentieel de risico’s te mitigeren en maximaal inzicht te hebben in de staat van compliance, de actualiteit van verplichte en noodzakelijke documenten en de consistentie van de volledige inhoud. Ralph: “Maar kun je dat bereiken door niet de juiste instrumenten toe te passen? In andere woorden: de administratie rond informatiebeveiliging en privacy moet eenvoudiger en geoptimaliseerd worden.”   Tweedimensionaal beeld en drukke officers Door bij informatiebeveiliging en privacy alleen gebruik te maken van bijvoorbeeld Microsoft Office en losse documenten, creëer je volgens Ralph een tweedimensionaal beeld van de staat van compliance. “Dit beschermt de organisatie niet voldoende en levert behoorlijke risico’s op. Daarnaast hebben de privacy- en security officers vaak zo’n administratieve druk en moeten ze zoveel handelingen uitvoeren, dat ze hun adviserende en regievoerende rol amper kunnen oppakken.” “Het is zoals bij een voetbalelftal; iedere speler heeft een of meerdere rollen in het veld. Het schakelen tussen deze rollen levert echter het grootste risico op voor een counter en een tegengoal. En omdat deze officers met zoveel druk te maken hebben en steeds moeten omschakelen, neemt de kans op een fout alleen maar toe.”   Essentiële tooling Gebruikmaken van de juiste tooling is daarom essentieel, gaat Ralph verder. “Dit geeft je organisatie veel meer vrijheid en een hogere mate van control. Informatieonderdelen kunnen eenmalig vastgelegd worden en vervolgens binnen verschillende disciplines worden hergebruikt voor automatische, consistente rapportages en BI-inzichten. Maar ook de verbinding tussen mensen, processen en systemen wordt hierdoor duidelijker. Dat verkrijg je niet wanneer je alleen gebruikmaakt van Excel of Word. Wanneer je vragen kunt beantwoorden zoals ‘wie doet wat en binnen welk proces’, ‘waarom doen we deze handeling’ en ‘welke maatregelen dekken deze risico’s af’, dan heb je een goede tool in huis. De tooling hoort je een driedimensionaal inzicht te bieden zodat je kunt sturen, managen en anticiperen vanuit inzicht en op feiten gebaseerde informatie.”   Verbinding met bredere uitdagingen Daarbij is het belangrijk om met de tooling de verbinding te zoeken met de bredere uitdagingen binnen de organisatie. Ralph: “Heb je deze verbinding niet, dan is een nieuw systeem slechts een pleister op de wond. Stel je voor dat de privacy-afdeling een apart systeem zoekt voor privacymanagement zonder de verbinding te zoeken met de informatiebeveiligingsuitdagingen en het GRC-domein. Dan gaat iedereen zijn eigen systeem hanteren zonder echt de link te leggen naar de organisatiestrategie en het GRC. Het systeem is dan snel niet meer afdoende of te auditen. Het organiseren van de verantwoording of de toetsing hiervan wordt dan wel erg lastig.”   Compliance Management Framework Om organisaties te helpen wél over deze samenhang te beschikken, levert Audittrail het Compliance Management Framework (CMF). Ralph: “Dit is een blauwdruk om vanuit informatiebeveiliging de verbinding te zoeken naar privacymanagement en vice versa. Ook kun je met het CMF de business faciliteren met correcte, overzichtelijke informatie ten behoeve van sturing en besluitvorming. Binnen het systeem wordt de volledige administratieve last van de compliance-administratie afgedekt en verkrijgt de organisatie maximaal inzicht in alle zaken die goed of minder goed geregeld zijn.”   Ondersteuning naar volwassen compliance Voor veel organisaties is nu hét juiste moment om aan de slag te gaan met het CMF, vertelt Ralph: “Men is vaak al druk bezig met alle typen en soorten documenten en spreadsheets, ook al hebben deze als instrument voor informatiebeveiligings- en privacynormen meer nadelen dan voordelen. Vaak zegt men wel eerst ‘de boel op orde’ te willen krijgen voordat een visie wordt gevormd of een serieuze tool wordt aangeschaft. Het tegenargument is: als het in de afgelopen drie jaar – of zelfs langer – niet gelukt is de basis op orde krijgen, waarom zou je dan steeds hetzelfde blijven proberen?” “Ons argument is om het nu andersom te doen en vanuit een vooraf door experts gedefinieerde visie, met een goed instrument te gaan werken aan de volwassenheid van de organisatie. Het CMF neemt organisaties bij de hand en heeft alle inrichtingselementen en inhoudelijke voorwaarden in zich om het project stapsgewijs naar volwassen compliancemanagement te kunnen ondersteunen. Zo investeer je als organisatie juist in een platform wat multidisciplinair kan bijdragen aan deze volwassenheidsreis en de strategische doelstellingen van de organisatie. Dat zal zich dan altijd terugverdienen op meer vlakken dan meetbaar is in droge cijfers.”   Microsoft Office, maar dan geïntegreerd Het CMF is gebouwd op Microsoft-technologie maar maakt gebruik van Mavim. “Dit geeft organisaties bijvoorbeeld de mogelijkheid om processen uit te tekenen in Microsoft Visio, Word of Excel, waarna de processen kunnen worden hergebruikt in andere documentatie. Omdat namelijk alles wordt vastgelegd in een database, is het mogelijk om veel zaken als informatie-element vast te leggen waarna je vanuit één waarheid die informatie kunt toepassen. Bijvoorbeeld in rapportages of in BI-dashboards. Daarnaast is het grote voordeel van Mavim-technologie dat veel zaken heel logisch en begrijpelijk zijn. Het is Microsoft Office, maar dan geïntegreerd in een database. Die herkenning maakt het ook in gebruik een stuk eenvoudiger voor medewerkers.”   Integraal werken aan GRC Op donderdag 8 juli geeft Audittrail tussen 09:00 en 10:30 een webinar over het gebruik van het CMF. “Hierin gaat het met name over integraal werken aan GRC,” sluit Ralph af. “Want alleen als een team win je deze wedstrijd. Naast een visiepresentatie zullen wij ook een demo geven van het platform en de inhoud van onze oplossing. Zo kunnen bezoekers de meerwaarde van het CMF voor de organisatie ervaren, zien hoe je de verplichtingen rondom vastlegging, verantwoording en rapportage afdekt én ervaren hoe het systeem het management faciliteert.”   Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy en GRC. Audittrail ondersteunt organisatie met het opzetten van bewustwordingsprogramma’s en biedt organisatie inzicht in het bewustwordingsniveau van haar medewerker. Ben je geïnteresseerd in hoe jouw organisatie reageert op een phishingmail of heb je vragen naar aanleiding van dit artikel? laat het ons weten via mail@audittrail.nl of via 071 – 747 17 17.     Deze blogpost is geschreven door onze partner Audittrail. Wil je meer weten over het Compliance Management Framework? Bezoek dan deze pagina of download de factsheet.    

Inhoud Privacy is in aanloop van 25 mei 2018 door veel organisaties opgepakt als project waar de nieuwe wetgeving de trigger heeft gegeven om privacy in te gaan richten. Overal werden projectteams samengesteld en er werd gewerkt aan een opzet van privacy met een beleid, procedures, een verwerkingsregister en het organiseren van rechten voor betrokkenen. Vanuit dit projectteam is ook nagedacht over privacy verantwoordelijken en een al dan niet verplichte Functionaris gegevensbescherming (FG). Alle verplichte documenten zijn destijds opgeleverd en privacy is in opzet aanwezig in de organisatie. Het projectteam heeft decharge gekregen en de aangewezen Privacy Officer (PO) is zelf aan de slag gegaan. Inmiddels zijn we een paar jaar verder. De projectgroep was natuurlijk een veilige omgeving waar meerdere mensen bezig waren en het belang ervan ook hebben ingezien. Eenmaal uit de projectgroep en terug in het hart van de organisatie razen alle andere prioriteiten en continue veranderingen als een straaljager langs de PO heen. Privacy compliance is ineens één van de vele onderwerpen op de prioriteitenlijst en bovendien een onderwerp wat toch al geregeld was? Dus nu is een ander onderwerp aan de beurt, ook binnen de budgettering.   Situatie Helaas! Privacy gaat niet weg, plichten verminderen niet maar worden alleen maar groter, risico’s bij het niet aantonen van een bepaalde mate van control zijn nog steeds aanwezig. Documenten verouderen en Excel spreadsheets worden niet of nauwelijks bijgehouden of zijn veel te complex geworden. Verantwoordelijkheden liggen nog (steeds) niet in de organisatie maar bij enkele individuen in plaats van bij de proceseigenaren. De vragen die nu gesteld kunnen worden zijn: Waar en hoe dient privacy nu eigenlijk ondergebracht te worden? Hoe kan privacy onderdeel worden van het grotere geheel, het organisatie brede compliance vraagstuk? Hoe kan de afdeling control een grotere rol gaan spelen bij toetsing en implementatie? Steeds vaker zijn organisaties bezig met het zoeken naar softwareoplossingen die ervoor kunnen zorgen dat “het allemaal gemakkelijker” kan worden gemaakt of geautomatiseerd kan worden. Slim om dat te doen! Daar kan ik het niet oneens mee zijn. Alleen, is er ook een strategie geformuleerd die hieraan ten grondslag ligt? Heeft het management en de organisatie uitgesproken aan welke doelstellingen de keus voor een instrument moet gaan bijdragen? En is dit een korte of lange termijnstrategie?   Impact In deze bijzondere tijden is investeren en de juiste keuze maken niet eenvoudig. Nú investeren in een point solution, een goedkoop en klein instrument wat één specifiek vraagstuk, of erger nog, een deel daarvan voor nu even oplost, is dat wel of geen passende oplossing? Misschien wél voor nu, maar dit zal uiteindelijk een desinvestering blijken te zijn, áls deze niet volledig aansluit bij de toekomstvisie en compliance strategie van de organisatie. Alle kosten, duidelijk en verborgen, tijd, verspilling van draagvlak, energie, uren die erin gestoken worden om er later achter te komen (bij een basis audit of assessment) dat het instrument niet volledig voldoet aan de vereisten van informatievoorziening en de verschillende disciplines niet met elkaar verbindt of laat samenwerken. Een investering in een instrument dient altijd bij te dragen aan de duidelijke doelstellingen van de organisatie en dient ook een duurzaam karakter te hebben. Selecteer dus verstandig en laat je helpen bij het maken van de juiste keuze voor jouw organisatie. De afgelopen maanden hebben wij vele organisaties gesproken over de meest logische vervolgstappen om compliance, risicomanagement, informatiebeveiliging en privacy management beter in de organisatie te gaan beleggen. Veel organisaties zijn actief op zoek naar tooling op het gebied van P(I)MS Privacy (Informatie) Management Systeem en/of een ISMS, Information Security Management Systeem. Dit komt met name door nieuwe richtlijnen en eisen vanuit de overheid voor zorginstellingen, GGD en GGZ-organisaties, Lokale en regionale overheden, etc. Met de introductie van de Baseline Informatiebeveiliging Overheid (BIO) is ineens ook ISMS bezig met een hernieuwde opleving. Vanuit de IT-afdelingen worden initiatieven opgetuigd om dit vorm te gaan geven, projecten worden gestart en investeringen in software en/of dure consultants gedaan. Zelfs aanbestedingen worden uitgeschreven met alle kosten die daarbij komen kijken. De keuze waar je ongetwijfeld ook mee geconfronteerd gaat worden als organisatie: Investeren wij in diverse losse software-instrumenten voor deze vraagstukken of kiezen wij ervoor om gebruik te gaan maken van een multifunctioneel en integraal in te zetten platform? Wat is nu de juiste keus? Wat levert uiteindelijk de meeste waarde op of kost op lange termijn het minste geld en kan het meest bijdragen aan de organisatiedoelstellingen? Dé vraag voor 2021 is voor ons dan ook: “Zet de transitie naar integraal, gecontroleerd (GRC) compliance management door?”. Het magische woord in deze vraag is, wat ons betreft, integraal. De behoefte die uitgesproken wordt bij veel onderzoeken is dat zij de organisatie naar een hoger volwassenheidsniveau willen brengen, vooral als het gaat om risicomanagement en compliance. Hier hoort echter altijd een goede governance bij, ofwel, zonder processen en control ben je aan de leeuwen overgeleverd! De enige oplossing die wij kunnen verzinnen is er één die al vele jaren door de experts geuit wordt, niet eenvoudig, wel noodzakelijk.   “Door de verbinding te zoeken binnen de organisatie tussen processen, (mensen) rollen en verantwoordelijkheden, (systemen) IT-applicatielandschap en datamodellen, (compliance) wet- en regelgeving, normeringen, risico’s, beheersmaatregelen, de audit en control cycli, krijg je als organisatie écht grip op alle verplichtingen die jouw organisatie al heeft en die nog op jouw organisatie afkomen”.    Compliance Management Framework (CMF) Een manier om hiermee te starten is door gebruik te maken van een Compliance Management Framework (CMF) en de verbinding te gaan zoeken tussen de kernafdelingen die hier een belang bij hebben. Het CMF is een vertaling van 20 jaar praktijkervaring door diverse professionals die werken in de vakgebieden Informatiebeveiliging, Privacy, Risicomanagement, Legal en Governance. Het CMF zorgt ervoor dat je in control komt, bent en blijft over je compliance vraagstukken.   Webinar Van onbewust onbekwaam naar onbewust bekwaam Compliance Management De kernvraag voor iedere organisatie is: ga je als organisatie investeren in diverse losse software-instrumenten voor compliance vraagstukken of kies je ervoor om gebruik te gaan maken van een multifunctioneel en compleet platform? Wat is nu de juiste keus? Wat levert uiteindelijk de meeste waarde op of kost op lange termijn het minste geld? Klik hier voor meer informatie en aanmelding.   Wil je geïnspireerd worden, feedback geven, de dialoog aangaan? Neem dan contact op! Ook wij leren, zoals iedereen, iedere dag! Ralph Drijver | Telefoon: +31 6 13 84 77 44 | rdrijver@audittrail.nl | www.compliancemanagementframework.nl     Deze blogpost is geschreven door onze partner Audittrail. Wil je meer weten over het Compliance Management Framework? Bezoek dan deze pagina of download de factsheet. Of meld je aan voor het Webinar Compliance in control in de publieke sector.  

Inhoud De rol van software in het consulting vak De bewezen waarde van het Compliance Management Framework Zoals je wellicht weet maakt Audittrail al vele jaren gebruik van software om de klanten duurzaam te faciliteren. Audittrail heeft dan ook het Compliance Management Framework (CMF) gebouwd in een op Microsoft gebaseerd software platform, een best practice gebaseerd op basis van 20 jaar ervaring. Dit artikel is bedoeld om duidelijk te maken; Waarom Audittrail als organisatie ervoor kiest om klanten te faciliteren met software Hoe wij dit doen Wat de meerwaarde hiervan is voor jouw organisatie De “oude” manier van werken, continue verandering Verandering wordt steeds meer gezien als een constante en daarmee als een normaal onderdeel van de bedrijfsvoering. Steeds meer organisaties streven echter naar continu verbeteren in plaats van veranderen puur gebaseerd op ingevingen. De ‘zachte’ kant van organisaties krijgt meer en meer aandacht. Gedrag en interactie tussen (groepen) mensen tot en met klant of leverancier bepalen in grote mate het succes van een verandering. De gewenste verandering motiveert zich dan zelf. Er is sturing, een richting, de lijn en de gebruikers gaan aan de slag. Het is de filosofie van scrum en agile. Met eenvoudige hulpmiddelen, een LEAN- mentaliteit en afspraken over de besluitvorming houdt men de vaart erin. Steeds vaker begint men op deze manier ook te werken ook bij projectmanagement en bij innovaties. Consultancybedrijven die hierbij ondersteunen zijn vaak een beetje “vastgeroest” in hun manier van werken. Anticiperen op alle snelle veranderingen die bij klanten vormgegeven worden, is iets wat een soort allergische reactie kan veroorzaken bij consultants. Hoewel consultants vaak graag faciliterend willen zijn aan de klanten en de scope van de opdracht, is de ervaring van klanten ook dat consultants vaak moeite hebben zich aan te passen als de scope van de opdracht flexibel is of aan de cultuur en dynamische werkwijze van de organisatie. Audittrail doet dit anders! Veel bedrijven verwachten van een consultant dat er uiteindelijk een oplevering plaatsvindt en het resultaat van het project wordt gepresenteerd (PowerPoint), berekend wordt (Excel) en beschreven wordt in een document (Word). De consultancybedrijven en consultants voldoen vaak prima aan de opdracht en laten uiteindelijk een USB-stick, folder op OneDrive en drie ordners met papier achter voor de klant om hiermee verder te gaan. Naar onze (bescheiden) mening is deze manier van werken niet meer van deze tijd of duurzaam genoeg. Klanten verwachten meer van een consultant en dit merken ook wij meer en meer. Over een aantal jaren zal de consultancymarkt volgens onderzoeksbureaus, zoals Gartner en Forrester, zich moeten gaan aanpassen aan deze nieuwe realiteit, zich moeten onderscheiden door het toepassen van duurzame en toekomstbestendige levering bij de klanten. Wij zien deze trend al enige jaren bewegen. Audittrail heeft dan ook mét haar experts al vele jaren geïnvesteerd in het borgen van kennis en kunde in softwareproducten zoals onder andere het CMF.   Onze manier van werken Door kennis, kunde en software te combineren en een oplossing te bouwen die écht van waarde is voor een organisatie in diverse domeinen van compliance, is Audittrail in een unieke positie om van meerwaarde te kunnen zijn. Ons team kan naast het “normale” inhoudelijke advieswerk de uitkomsten en resultaten voor jou borgen in het CMF en dus in de software. Door het kernprincipe van voordoen, samendoen en zelf doen te hanteren leveren wij een toekomstbestendige en duurzame oplossing op waar jij als klant de toekomstige veranderingen en vraagstukken zelf kunt borgen. Naast deze manier van werken, dichtbij onze kernwaarden, hebben wij inmiddels op verzoek van klanten ook een servicemodel ontwikkeld waarmee klanten volledig worden ontzorgd; de managed service. Binnen dit bedieningsmodel neemt Audittrail de functionele, technische en inhoudelijke leiding én eigenaarschap over het CMF voor jouw organisatie: een verlengstuk voor jouw compliance organisatie!   De meerwaarde van het CMF Het Compliance Management Framework (CMF) is een vertaling van 20 jaar praktijkervaring door diverse professionals die werken in de vakgebieden informatiebeveiliging, risicomanagement, privacy, legal en governance. Alles wat software in de ogen van deze professionals miste, hebben wij er wél in gebouwd! Daarom is de privacy- en security compliance software van het CMF een echte best practice. Met het CMF ben je in control over je privacy- en securityprogramma. De volledige PDCA- cyclus wordt ondersteund; van het vastleggen en laten redigeren van beleid tot het uitvoeren van assessments en van het afleggen van verantwoording tot het registeren van incidenten en datalekken. Het CMF creëert de mogelijkheid om eigenaarschap in de lijnorganisatie te gaan beleggen. Dit kan bijdragen aan een organisatiecultuur en gedragsverandering waarbij men bewust is van governance en compliance en de mogelijke risico’s en maatregelen die hiermee gepaard gaan. In één tool leg je de verbinding tussen privacy- en informatiebeveiligingsvraagstukken en pas je eenvoudig aanvullende normenkaders toe zoals BIC, BIO, ISO27001/2, NEN7510, NIST, ISAE3402, KWH, of HKZ en wetgeving zoals AVG en CCPA. Het zorgt niet alleen voor de verplichte vastlegging, maar maakt ook alle “blinde vlekken” binnen de organisatie zichtbaar. Kortom, het biedt vanuit de procesinrichting inzicht, overzicht en een handvat om in control te raken en blijven van de huidige status en alle mogelijke of noodzakelijke verbeterpunten. Verder faciliteert het CMF je om beter en effectiever samen te werken. Hierdoor worden rollen met elkaar verbonden op strategisch, tactisch en operationeel niveau. Ook het management wordt hierdoor betrokken bij het formuleren en nog beter begrijpen van doelstellingen, de impact van te maken keuzes en men zal steeds meer een “gevoel” kunnen krijgen bij het vakgebied. En…, de informatie is eenvoudig te delen met collega’s!   Wil je meer informatie over hét ideale instrument voor compliance management? Ga dan naar deze pagina. Of kijk op www.compliancemanagementframework.nl     Auteur: Ralph Drijver, Audittrail  

Inhoud Tijd te kort? Het takenpakket van een Privacy Officer (PO), functionaris gegevensbescherming (FG), Security Officer (SO) of CISO is uitgebreid. Een hoop losse compliance onderdelen komen samen binnen deze ene rol of rollen. In veel gevallen is de rol van Privacy of Security Officer een kwestie van “tikkie, jij bent ‘m” geweest, waarbij een van de bestaande collega’s deze rol erbij heeft gekregen voor 8 uur in de week. Dat leek genoeg in de opzet of projectfase, maar nu compliance meer en meer een vaste plek in de organisatie krijgt, blijkt deze 8 uur bij lange na niet genoeg te zijn. Wanneer wij bij opdrachtgevers vragen wat het grootste struikelblok is om compliance goed voor elkaar te krijgen is tijdsgebrek een veelgehoord antwoord. Zonde, vinden wij! Want compliance is een belangrijk onderdeel van de bedrijfsvoering waar genoeg aandacht aan besteedt moet worden om dit levend en geborgd te houden. Keuzes maken Door chronisch gebrek aan tijd moeten SO’s en PO’s een keuze maken. Wat doen we wel in de 8 uur die we voor compliance hebben, en wat laten we liggen of negeren we? Binnen deze tijd moeten alle datalekken en beveiligingsincidenten conform proces worden gemeld en opgelost. Daarbij moeten DPIA’s worden uitgevoerd, moet dataminimalisatie worden toegepast, naast het toepassen van dataclassificatie en bewaartermijnen. Veel te veel taken voor één dag in de week. Deze opzet beperkt compliance tot een ad-hoc project. Terwijl het doel juist is om compliance uit te laten groeien tot een volwaardig, langetermijnprogramma. Verantwoordelijkheid verschuiven Om weer grip te krijgen op compliance is een verschuiving van de verantwoordelijkheid nodig. Door deze voorzichtig richting proceseigenaren te verschuiven, kunnen zij verantwoordelijk worden voor hun eigen compliance vraagstukken binnen de eigen processen. De PO/SO wordt in dit scenario meer en meer een sparringpartner en adviseur. Proceseigenaren kunnen eigenaarschap en de verantwoordelijkheid krijgen voor het up-to-date houden van het verwerkingsregister voor hun proces, initiëren van DPIA’s bij wijzigingen, implementeren dataminimalisatie, houden bewaartermijnen in het oog en classificeren data aangezien zij het beste zicht hebben op risico’s binnen hun proces. Terug in de regie Door de verantwoordelijkheid voor compliance terug in de organisatie te leggen krijgt de CISO/FG/PO/SO meer ruimte om de rol als adviseur en sparringpartner aan te nemen, zoals het ook hoort. Daarbij komen ook nog overkoepelende taken zoals het onderhouden van bewustwording in de organisatie. Het verschuiven van verantwoordelijkheden naar de proceseigenaren geeft de PO/SO ruimte om de regie te nemen over het compliance programma. Wanneer we de verantwoordelijkheid voor compliance naar proceseigenaren willen verschuiven, zullen we ze hierin moeten faciliteren.   Bron: Audittrail

Inhoud Compliance zou in 2020 voor iedere organisatie een prioriteit moeten zijn. Eenvoudiger zal het zeker niet gaan worden en de impact van komende aanvullingen op de wetgeving voor de zorg en publieke sectoren zal gemanaged moeten worden. Als je budget wilt aanvragen bij jouw manager dan krijg je ongetwijfeld deze vragen; Waarvoor? Wat gaat dit opleveren? Wat is het verbeterplan en de waarde van het resultaat? Wat gaat dit kosten? Het is lastig om een pragmatisch plan te ontwikkelen met meetbare doelstellingen. Dit is nu juist waarom wij de Audittrail AVG- en IB-audit hebben ontwikkeld. Geen systematische één-op-één toetsing van praktijk aan een kader, maar een meting van de volwassenheid van jouw organisatie.   Hoe werkt een AVG “Audit”? Wij controleren de opzet, bestaan en – tot op zekere hoogte – de werking van jouw AVG-compliance en bepalen een volwassenheidsniveau (1-5) per genomen maatregel. Dit geeft een helder inzicht in het algemene volwassenheidsniveau van de organisatie. Aan de hand hiervan bepalen we samen het ambitieniveau van de organisatie én verkrijgen we input voor een jaarplan. Per maatregel zetten we uiteen hoe te komen tot het ambitieniveau. Pragmatisch en laagdrempelig. Ons advies aan eenieder is om een plan van aanpak te maken gebaseerd op feiten waardoor je kunt gaan toewerken naar een continu verbeterprogramma. Spreadsheets alleen gaan hierbij niet helpen, verbeteren doe je samen!   Rendement op jouw AVG-investering In 2017 wisten we niet hoe snel we geld moesten reserveren voor de implementatie van de AVG met als streefdatum om op 25 mei 2018 “klaar” te zijn. De investeringen zijn groot geweest, maar wat heeft het nu opgeleverd? Na 25 mei 2018 is geconstateerd dat vele managers een beetje AVG-moe zijn en men niet echt weet waarom er in dit vraagstuk verder geïnvesteerd moet worden. Waarom zoveel tijd, geld en resources investeren terwijl er zo weinig rendement te behalen valt? Op zich (deels) een valide standpunt. Ongetwijfeld zijn er ook in jouw organisatie weer vele zaken veranderd het afgelopen jaar. Nieuwe werknemers, nieuwe systemen, nieuwe processen. Allemaal onderdeel van jouw organisatie en stuk voor stuk onderdelen waarin (meestal) persoonsgegevens worden verwerkt. Privacy compliance is echter geen eenmalig ding, maar hoort vast en continu onderdeel uit te maken van de strategie en de organisatiedoelstellingen. Daarbij komt dat de ontwikkelingen binnen IT zo snel gaan dat ze bijna niet meer te volgen zijn. Als het werk uit 2018 niet goed is onderhouden, loop je het risico dat je al het eerder uitgegeven geld dus weggegooid heeft. AVG-moe of niet.   Grijp daarom nu in! Goed en gecontroleerd compliance management is een kans om de cultuur van de organisatie te professionaliseren en tevens een mogelijkheid om risico’s te herkennen en te mitigeren. Goed en volwassen compliance management vraagt een kritische blik op processen en welke informatie hierin rondgaat. Door processen goed in te richten en te managen sla je een optimalisatieslag. Bovendien vraagt informatieveilig werken een risicoanalyse om zo tot passende beveiligingsmaatregelen te komen. Combineer dan ook informatiebeveiliging met risicomanagement voor efficiënt compliance management. Wanneer de processen helder in kaart zijn is het ook makkelijker om proceseigenaren te ondersteunen bij het naleven van de AVG. Beleg verantwoordelijkheden bij de juiste personen en geef de Privacy Officer de regie terug. Zorg dat verplichte documentatie zoals het verwerkingsregister en datalekkenregister dynamische documenten worden, die inzicht bieden in de organisatie en haal daar jouw voordeel uit. Wij begrijpen dat dit allemaal klinkt als een fikse opgave maar juist daarom heeft Audittrail het Compliance Management Framework gebouwd in het Mavim Platform. Hiermee kun je in één keer al bovengenoemde onderdelen duurzaam inregelen. En speciaal voor de AVG-moeie manager: het jaarplan zoals beschreven, is geborgd in het systeem en geeft inzicht in de behaalde resultaten en geeft je handvatten voor de komende jaren als er wederom budget noodzakelijk is voor continue verbetering.   Bron: Audittrail   > Meer weten over informatiebeveiliging, de privacy audit en het Compliance Management Framework? Download hier de Productsheet

Inhoud Sinds de inwerkingtreding van de AVG lijken veel organisaties informatiebeveiliging voornamelijk als het stukje ‘passend beveiligen’ uit de AVG te behandelen. Maar, informatiebeveiliging is zo veel meer en belangrijker dan alleen het beschermen van persoonsgegevens. Wanneer informatie niet goed beveiligd is, kan dit grote, impactvolle risico’s met zich meebrengen.   Meer dan persoonsgegevens Wanneer alleen op het stukje beveiligen van persoonsgegevens wordt gelet, wordt een groot deel aan informatie dat jouw bedrijf bezit (die mogelijk kritisch is voor het bestaan van de organisatie) vergeten. Denk bijvoorbeeld aan het geheime recept van frisdrank of blauwdrukken van een beveiligingssysteem. Of nog erger, toegang tot de schakelaars van een stedelijk energienetwerk. Dit zijn belangrijke stukken informatie, maar geen persoonsgegevens. Het is daarom belangrijk de hele organisatie goed te beveiligen, zowel fysiek als digitaal. Kijk daarom verder dan alleen artikel 39 van de AVG.   Beschikbaarheid, integriteit, vertrouwelijkheid Bekende vormen van gegevensroof zijn ransomware of hacks. Maar risico’s voor jouw bedrijfsgegevens komen niet alleen in de vorm van diefstal. De aantasting van de beschikbaarheid, integriteit of vertrouwelijkheid (BIV) van informatie kan een organisatie enorme financiële schade en/of reputatieschade toebrengen. Door vanuit de BIV-classificatie alle informatie binnen de organisatie te beveiligen zorg je ervoor dat deze risico’s worden gemanaged. Naast potentiële aanvallen van buitenaf is het belangrijk om ook de interne risico’s te overwegen. Een gepikeerde medewerker met ongeoorloofde toegang tot bepaalde gegevens kan ook flinke schade aanrichten.   Awareness Er gaat geen week voorbij zonder bericht over een grote hack, ransomware of ander soort datalek. Om jouw organisatie op een hoger volwassenheidsniveau te krijgen is het van essentieel belang om voldoende inzicht te krijgen in de verbinding van jouw Informatiebeveiliging en privacy naar jouw mensen, processen en IT-systemen.   Ook is awareness, het bewustmaken van medewerkers, een belangrijk onderdeel van het informatiebeveiligingsbeleid. Het juist beveiligen van informatie is enorm belangrijk. Door de invoering van de AVG, maar zeker ook door de recente groei van cybercriminaliteit. Bewustwording van medewerkers is dan ook cruciaal in het mitigeren van risico’s voor jouw informatiebeveiliging en privacy. Social engineering tests zijn bewezen instrumenten om organisaties bewust te maken van de risico’s die zij bewust en onbewust lopen.   Normenkaders echt toepassen Zonder gegarandeerde BIV van belangrijke informatie kan de bedrijfscontinuïteit onder druk komen te staan. Implementeer maatregelen uit de ISO27000-serie, of een branche-specifieke informatiebeveiligingsnorm zoals de NEN 75-serie, BIO of BIC om jouw informatievoorziening zo veilig mogelijk te managen. Informatiebeveiliging is erg omvangrijk. Er zijn veel verschillende onderdelen die allemaal regelmatig aandacht vragen. Een oplossing om informatiebeveiliging eenvoudig te onderhouden is het Compliance Management Framework (CMF) van Audittrail. Dit is gebouwd in het Mavim Platform en zorgt ervoor dat jouw informatiebeveiligingsprogramma continu wordt onderhouden. Daarnaast kun je in het CMF jouw informatiebeveiliging eenvoudig koppelen aan jouw privacy programma.   Bron: Audittrail   > Meer weten over Informatiebeveiliging en het Compliance Management Framework? Download hier de Productsheet

Inhoud Privacy is in aanloop van 25 mei 2018 door veel organisaties opgepakt als project. De nieuwe privacywetgeving (AVG) gaf de mogelijkheid om privacy nu eens goed in te richten. Een projectteam werd samengesteld en samen werd gewerkt aan een gedegen opzet van privacy met een beleid, procedures, een verwerkingsregister en het organiseren van rechten voor betrokkenen. Ook werd vanuit dit projectteam gedacht over privacy verantwoordelijken en een al dan niet verplichte Functionaris gegevensbescherming (FG).   Enige tijd later Alle verplichte documenten zijn opgeleverd en privacy is in opzet aanwezig in de organisatie. Het projectteam krijgt decharge en de aangewezen Privacy Officer (PO) gaat zelf aan de slag. De projectgroep was een veilige omgeving, los van de rest van de organisatie waar alle aandacht vol op privacy lag en meerdere mensen ermee bezig waren. Eenmaal in de organisatie razen alle andere prioriteiten en veranderingen als snelverkeer langs de PO heen. Compliance is ineens een van de vele onderwerpen op de lijst en bovendien eentje die net al het projectbudget had gekregen, dus nu is een ander onderwerp aan de beurt.   Van opzetten naar onderhouden In plaats van het opzetten hebben we het nu over het onderhouden van een privacy programma. Dit brengt andere vragen met zich mee voor de Privacy Officer: “Voldoe ik wel voldoende aan de AVG? Hoe houd ik mijn verwerkingsregister bij? Waarover moet ik precies rapporteren en aan wie? Moet ik niet budget aanvragen voor komend jaar? Wat heeft de meeste prioriteit? Hoe los is drie incidenten en een datalek op in de acht uur die ik deze week aan privacy mag besteden?”. Eigenlijk zijn al deze vragen samen te vatten in: “Lukt het één Privacy Officer om de hele organisatie compliant te houden?”. Audittrail en Mavim zijn samen op zoek gegaan naar een oplossing om de Privacy Officer te ondersteunen in de transitie van project naar programma. Dit heeft als resultaat opgeleverd dat wij een op expertise gebaseerd product hebben gebouwd dat een combinatie bevat van onder andere een digitaal verwerkingsregister, risicoanalyse, awareness rapporten, procesvisualisaties en verplichte documentatiestukken is. We noemen dit het Compliance Management Framework (CMF). Naast een compleet privacy programma kun je hierin ook een volledig Informatiebeveiligingsprogramma opzetten en onderhouden. Vooral het stukje onderhouden is hier cruciaal: in veel organisaties verslapt de aandacht voor Security en Privacy na verloop van tijd. Dankzij de communicatiefunctie van het CMF kan de PO de juiste personen verantwoordelijk houden voor de eigen processen. Met het Mavim Platform als software achter onze kennis en expertise creëer je jouw eigen ideale control omgeving, één centrale bron van waarheid en krijgt de Privacy Officer de regie terug in handen.    Bron: Audittrail   > Meer weten over het Privacy en het Compliance Management Framework? Download hier de Productsheet

Inhoud De uitdaging Veel organisaties zijn verplicht compliance management goed te organiseren. Compliance in control houden is geen eenvoudige opgave. Bovendien blijkt het lastig om compliance een vast onderdeel van de organisatiecultuur te maken. Vaak krijgt één collega privacy ‘erbij’ en belandt informatiebeveiliging al snel bij de ICT-afdeling. Wet- en regelgeving en normenkaders zijn uitvoerig en complex. Veel compliance projecten typeren zich dan ook door losse spreadsheets en acties waarmee aan de belangrijkste hoofdstukken wordt voldaan. Denk bijvoorbeeld aan het verwerkingsregister vanuit de AVG of een ISO27002 auditrapportage. Het doel van compliance management is zorgdragen voor het mitigeren en verminderen van risico’s voor de organisatie. Hiervoor is het noodzakelijk om compliance daar te beleggen waar het echt hoort. Om de Privacy- of Security Officer meer een regierol te geven en compliance ook bij proceseigenaren en verantwoordelijke medewerkers te beleggen, is meer nodig dan men nu gewend is. Dit soort zaken zijn vaak in losse documenten of zogenaamde “point solutions” vastgelegd. Omdat deze niet met elkaar communiceren is het lastig om één centraal compliance managementsysteem op te zetten als ware het één bron van waarheid.   Het Audittrail CMF is de oplossing voor al deze zaken! Ons team van gecertificeerde Mavim consultants heeft, samen met onze Privacy en Informatiebeveiligingsexperts, een volledig nieuwe oplossing gebouwd (in het Mavim Platform) op basis van problematiek die we bij grote én kleine klanten in diverse branches hebben kunnen identificeren. Door gebruik te maken van het Audittrail Compliance Management Framework (CMF) voorkom je zaken als verschuiving van focus, verval in de waan van de dag, en het managen van losse documenten en spreadsheets. Het CMF is één platform waar verschillende compliance-gebieden samenkomen: privacy, informatiebeveiliging en risicomanagement. Beleg taken bij proceseigenaren en houd hen verantwoordelijk. Zo maak je compliance onderdeel van het DNA van de organisatie. In het CMF vind je templates voor verschillende informatiebeveiligingsnormen (zoals BIC, BIG, ISO, KWH, of HKZ), maar ook middelen om de AVG passend in te regelen binnen jouw organisatie. Leg de verbinding tussen privacy- en informatiebeveiligingsvraagstukken. Zo kun je overzichtelijk vele uitdagingen managen, eenvoudig rapporteren aan het management, en bij audits bewijzen aan externe partijen dat de mate van control hoog genoeg is om risico’s significant te verminderen.   Voordelen Het CMF is gebaseerd op ervaring van onze professionals binnen honderden projecten Privacy & Informatiebeveiliging borgen zonder veel tijd te investeren Compliance onderdeel van de hele organisatie maken Te allen tijde in control (geen vertraging of verslapping) Lage investeringskosten Duidelijke afspraken met één betrouwbare partner Te koppelen met andere systemen zoals Microsoft Power BI, Compliance manager, Naris, Topdesk etc. Inclusief software voor interne communicatie en verantwoording aan derden (Audit)   Bron: Audittrail   > Meer weten over het Compliance Management Framework? Download hier de Productsheet

Inhoud De Meldplicht Datalekken, die per 1 januari 2016 inging, is voor veel Nederlandse organisaties een moeilijk dossier. Een privacy officer kan helpen orde op zaken te stellen. De komst van de Meldplicht Datalekken was al lang duidelijk. Toch werden pas begin december de puntjes op de i gezet, toen het College Bescherming Persoonsgegevens (CBP) zijn richtsnoeren na een consultatieronde formaliseerde tot het Beleidskader Meldplicht Datalekken. Enkele weken daarvoor gaf Udo Oelen, hoofd toezicht private sector van het CBP, al tips over maatregelen die organisaties moeten nemen om te voldoen aan hun meldplicht.   Beveilig de persoonsgegevens binnen de organisatie. Zog voor goed incidentenbeheer. Bepaal duidelijk wie in de organisatie datalekken zal beoordelen en eventueel melden bij het CBP. Dat voorkomt dat men “als een kip zonder kop” gaat rondrennen als de nood aan de man is. Denk na over hoe betrokkenen geïnformeerd moeten worden bij een lek. Wat moeten ze weten? Hoe minimaliseert het bedrijf de gevolgen? Denk na over hoe om te gaan met signalen van de buitenwereld over mogelijke datalekken. Hoe reageert het bedrijf in de media? Hoe zorgt het bedrijf voor responsible disclosure? Maak en controleer afspraken met de partijen die voor de organisatie gegevens bewerken. Wees er zeker van dat deze partijen tijdig laten weten dat er een lek bij hen is en controleer of zij dat melden bij het CBP. In die afspraken moet follow-up na het afhandelen van het lek geregeld zijn.   Privacy officer aanstellen De persoon uit de derde tip van Oelen die beoordeelt of sprake is van een datalek en dat dan meldt, is in steeds meer organisaties de privacy officer. Vooral grote organisaties hebben al privacy officers in dienst, met de komst van de meldplicht stellen steeds meer bedrijven iemand met deze functie aan. Rachel Marbus vervult die rol bij de NS. Zij gaf tijdens het Privacy Congres praktische aanwijzingen voor het privacyproof maken van een organisatie. "Voordat een bedrijf bekijkt of het kan voldoen aan de wet, moet het bepalen welk bedrijf het wil zijn; wat zijn de privacywaarden? Het zou zo kunnen zijn dat het bedrijf makkelijk kan voldoen aan de wet, maar dat dit tegen de eigen waarden in gaat." NS heeft het al snel zwaar in de publieke opinie, vindt Marbus. Als er maar iets misgaat, wordt dat snel breed uitgemeten in de media. "De koppen zijn heel snel negatief over de NS. Positieve zaken als een prijs die we wonnen voor ons privacybeleid zijn vervolgens bijna nergens te lezen." Waarmee ze maar wil zeggen dat een bedrijf goed moet realiseren hoe het publiek denkt over het bedrijf in combinatie met privacy. "Houd de eigen waarden op het gebied van ethiek en privacy goed in het oog. NS is in dit opzicht zeer risicomijdend. We blijven ruim binnen de regels van de wet. En na de problemen rond de aanbesteding in Limburg is zelfs sprake van een zerotolerancebeleid. Voor mij is dat makkelijk. Nee zeggen, is nu geen enkel probleem. Al mist NS daardoor wel kansen en innovaties." De NS bestaat uit verschillende zelfstandig opererende bedrijfsonderdelen. De directie van de NS Groep NV is de verantwoordelijke voor de Wet bescherming persoonsgegevens. Elk bedrijfsonderdeel heeft één of meer information security officers (ISO's). Er is bovendien een chief information security officer (CISO). Marbus is de privacy officer die namens de directie zorgt voor privacy compliancy en werkt daarbij nauw samen met de CISO. Zij is bovendien het enige aanspreekpunt voor het CBP. Dat voorkomt misverstanden. "Er wordt vanuit de NS 'maar met één stem met het CBP gesproken. Daarnaast is het voor mij erg makkelijk dat privacy compliancy bij de directie is ondergebracht. Mijn adviezen zijn bindend."   Voorwaarden voor goed beleid Marbus heeft een duidelijk beeld van wat belangrijk is voor een privacy officer om goed te kunnen functioneren. Een privacy officer moet: Het lef én het mandaat hebben om nee te zeggen "Dat mandaat is essentieel. De privacy officer kan een olifantshuid hebben en een rechte rug, maar zonder dat mandaat is deze functie een farce. Dan is jouw nee geen nee en betekent Jouw stem níets." Creativiteit en flexibiliteit hebben "Nadat de privacy officer nee heeft gezegd moet de privacy officer in staat zijn alsnog mee te denken naar een ja als iets op een andere manier gedaan kan worden." Ogen en oren in het bedrijf hebben "De privacy officer kan dit niet alleen doen. Zorg voor privacy ambassadeurs in de organisatie. Dat zijn de ISO's, maar weet ook wie de mensen zijn op de werkvloer die hierbij goed kunnen helpen." Regelmatig audits doen 'Audits leggen bloot wat mis kan gaan en ze bieden een goedkeurend stempel dat de privacy officer bij onderhandelingen een sterkere positie geeft." Een privacy spreekuur houden  "Een keer per maand mag iedereen bij mij binnenlopen met een vraag over prívacy. Ik krijg machinisten binnen, mensen met heel wilde plannen die nog niet op papier staan. Daardoor kan ik al vroeg met ze meedenken. Dat helpt nieuwe producten privacy vriendelijk te maken." Marbus waarschuwt dat ondernemingen binnen de grenzen van de wet moeten blijven. "Want het CBP zit er bovenop, zeker bij grote organisaties." Toch is het CBP geen boeman, zegt ze. “Ze consulteren betrokken partijen, organiseren rondetafelgesprekken, schuiven aan bij expertgroepen. Ze willen horen welke problemen wij als grote bedrijven hebben en ze willen horen wat wij van het CBP vinden. Ze denken mee na incidenten zodat het probleem goed opgelost kan worden."Auteur: Tanja de Vrede, Automatiseringsgids

Inhoud Vaak wordt een privacy statement pas achteraf toegevoegd aan een nieuw IT-systeem of een beoogde verwerking van persoonsgegevens. Regelgeving en actievere toezichtsorganen vereisen een proactieve aanpak van privacy compliance: privacy by design.   De regelgeving rond persoonsgegevens beschermt de rechten van individuele personen ten aanzien van het verzamelen, gebruiken en verstrekken van persoonsgegevens. Dit valt allemaal onder de noemer ‘verwerking van persoonsgegevens’. In de praktijk wordt dit vaak gezien als het sluitstuk van een proces waarbij persoonsgegevens worden verwerkt. Dat kan van alles zijn: een nieuwe commerciële actie, het aanbieden van een klanten- of voordeelkaart of het centraliseren van werknemersgegevens binnen een multinational. Vaak wordt pas achteraf een privacystatement opgesteld, waarin wordt opgenomen voor welke doeleinden persoonsgegevens worden verwerkt, welke gegevens het betreft en aan wie die gegevens ter beschikking worden gesteld. Daarin wordt vaak (en logischerwijs) alleen de verwerking van persoonsgegevens beschreven zoals die in het proces is geïmplementeerd. Er is weinig ruimte voor aanpassing van dat proces om beter aansluiting te vinden bij (de geest van) de regelgeving rond bescherming van persoonsgegevens. Bovendien heeft de betrokkene (degene van wie de persoonsgegevens worden verwerkt) vaak geen keuze: hij of zij moet instemmen met de voorwaarden, anders kan geen gebruikgemaakt worden van bijvoorbeeld de klantenkaart.   Toekomstige regelgeving Toekomstige privacyregelgeving vereist echter een geheel andere aanpak. De voorgestelde nieuwe EU-privacyverordening gaat uit van het principe van privacy by design. De bescherming van persoonsgegevens moet daarbij al bij het ontwikkelen van een nieuw IT-systeem of een nieuw product waarbij persoonsgegevens worden verwerkt, in ogenschouw worden genomen. Dit dwingt organisaties (bedrijven, overheden en andere instellingen) om privacystandaarden en controlemechanismen voor betrokkenen in te bouwen in de kern van het nieuwe systeem of proces. Al bij de analyse van de wijze waarop een nieuw systeem wordt opgezet en ingericht, moet de bescherming van persoonsgegevens een belangrijke rol spelen. Daarbij kan worden gedacht aan dataminimalisatie (zo min mogelijk persoonsgegevens verzamelen), pseudonimisering of anonimisering van persoonsgegevens, het scheiden van persoonsgegevens in verschillende bestanden en het sneller verwijderen van (delen van) verzamelde persoonsgegevens gedurende het verwerkingsproces.   Hoe privacy by design implementeren? Het implementeren van privacy by design begint bij het creëren van bewustwording en kennis van privacyregelgeving bij IT-ontwikkelaars en marketing- en business development-teams binnen organisaties. Op die manier kan de bescherming van persoonsgegevens vanaf de start worden meegenomen bij het opzetten van het systeem of product. Dataminimalisatie en bescherming van verzamelde persoonsgegevens vormen dan een integraal onderdeel van het systeem of product en zijn standaard ingeschakeld. Betrokkenen hoeven geen actie te ondernemen om de bescherming van persoonsgegevens te activeren.   Voordelen van privacy by design De voordelen van privacy by design worden in toenemende mate erkend. Recentelijk hebben privacytoezichthouders van over de hele wereld opgeroepen om privacy by design toe te passen bij big data-verwerkingen. Privacy by design kan daarnaast kostenvoordelen meebrengen, doordat minder gegevens worden verwerkt en niet achteraf aanpassingen hoeven te worden gedaan aan een al ontwikkeld systeem of product. Ook vermindert privacy by design het risico op datalekken (verlies of ongeautoriseerde toegang tot persoonsgegevens). Dat levert ook voordelen op vanuit het oogpunt van reputatiemanagement. Een organisatie die robuuste privacycompliance-processen implementeert, zal waarschijnlijk het vertrouwen in de organisatie en producten bij zowel toezichthouders als het publiek zien groeien.   Waarom privacy by design omarmen? Overheden en privacytoezichthouders van over de hele wereld hebben steeds meer aandacht voor de bescherming van persoonsgegevens. Dit is vaak gedreven door de wens om consumenten beter te beschermen. Ook de opkomst van big data en het internet der dingenleveren een bijdrage. Zeker binnen de EU is er grote aandacht voor de versterking van de bescherming van persoonsgegevens. Het huidige concept van de EU-privacyverordening benoemt expliciet privacy by design als een van de belangrijkste manieren om persoonsgegevens te beschermen en daarbij te voldoen aan de eisen van de verordening.   Dreigende reputatieschade De beoogde sanctie op niet-nakoming van de verordening zijn fors: een boete bedraagt maximaal honderd miljoen euro, of vijf procent van de wereldwijde omzet (de hoogste van beide). Daarnaast kan een onderzoek (al dan niet gevolgd door een boete) leiden tot reputatieschade. Privacytoezichthouders worden steeds actiever en werken bovendien steeds meer samen. Recentelijk hebben toezichthouders uit de EU bijvoorbeeld een gecoördineerde cookie sweep gehouden, waarbij websites zijn gecontroleerd op compliance met de cookiewetgeving. Ook vanuit de politiek is er meer aandacht voor de bescherming van persoonsgegevens.   Vertrouwen consument vergroten Organisaties doen er goed aan om te anticiperen op de aanstaande wijzigingen in de regelgeving op het gebied van de bescherming van persoonsgegevens. Door privacy by design te omarmen, kunnen bedrijven niet alleen sancties voorkomen, zij kunnen ook het vertrouwen van de consument vergroten door hier open en transparant over te communiceren.Auteurs: Marc Elshof & Barry BreedijkHoe goed zijn uw persoonsgegevens beschermd? En wat zijn volgens u de belangrijkste risico's en grootste gevaren van een gebrekkige persoonsbescherming?