IPM-Scoremodel

Geeft inzage in het compliance niveau van een organisatie.
De IPM-score is onderverdeeld in de scores 1 tot en met 5. De IPM-score 0 is het startniveau van de meeste organisaties die nog niets gedaan hebben aan het naleven van de privacywetgeving, maar dit kan ook hoger liggen in bepaalde gevallen wanneer een organisatie reeds initiatieven heeft ontplooid.
Zo zal een grote organisatie per definitie meer tijd hebben geïnvesteerd in het formaliseren van processen, het opstellen van privacyregels en het doorvoeren van een proces gestuurde werkwijze voor het naleven van de privacywetgeving.
De IPM-score verschaft dus een gestructureerd inzicht in het compliance niveau van een organisatie, en worden aangeduid als de “IPM-score van de organisatie". Hoe hoger de score, des te beter de privacywetgeving is geborgd. Deze score geeft daarmee ook aan of een organisatie bijvoorbeeld correct omgaat met het verstrekken van autorisaties, het registreren van datalekken, het houden van steekproeven en het beleid omtrent privacy als geheel.
Wanneer een organisatie een hoge IPM-score heeft, betekent dit feitelijk dat de wettelijk verplichte privacyrichtlijnen correct zijn geborgd. Zo kan eenvoudig worden bepaald of een organisatie op een verantwoorde wijze omgaat met persoonsgegevens, en dat op een correcte wijze aan de informatie- en verantwoordingsplicht wordt voldaan.

CONTACT

Initiële beheerniveaus

Uw organisatie loopt onnodige risico's

Optimale beheerniveaus

De verwerkingen van persoonsgegevens zijn geborgd

Niveau 0: Correctief Privacybeheer

Bij het correctieve privacybeheer ontbreekt een systematische en organisatiebrede methode voor het borging van privacy. Vaak is een (ICT) manager verantwoordelijk voor privacy gerelateerde zaken, maar beseft dit onvoldoende. Verantwoordelijkheden worden maar incidenteel vastgelegd. Procesmatige relaties en afhankelijkheden zijn niet te herkennen. De mate van privacyborging is een optelsom van de prestaties van de afdelingen. Er zijn geen of onvoldoende maatregelen getroffen om datalekken en incidenten te voorkomen en hiervoor zijn geen procedures gedefinieerd. Er is geen overzicht van Verwerkingen van persoonsgegevens.

Niveau 1: Actief Verwerkingenbeheer

Binnen dit eerste beheerniveau is urgentiebesef omtrent het onderwerp privacybescherming. Er heeft een onderzoek plaatsgevonden waarbij het huidige niveau van privacyborging in kaart is gebracht. Op hoofdlijnen is een plan van aanpak gedefinieerd voor de privacyborging. De procesactiviteiten, doelstellingen en de resultaten voor het beheren van Verwerkingen zijn duidelijk omschreven. Op systematische wijze is een statische inventarisatie gemaakt van de belangrijkste Verwerkingen. De mogelijkheid tot het opbouwen van een kennisdatabase is aanwezig. Ook heeft de organisatie een Functionaris Gegevensbescherming aangesteld.

Niveau 2: Proactief Risicobeheer

Het proces en de benodigde procedures voor het gestructureerd kunnen afhandelen van privacy risico’s zijn gedefinieerd en worden toegepast. De wettelijk verplichte gegevensbeschermingseffectbeoordeling worden procesmatig gepland en uitgevoerd. Ook zijn de benodigde afspraken omtrent Registerbeheer opgesteld. Er is een procedure opgesteld om aan de eisen vanuit de meldplicht Datalekken te voldoen. De organisatie heeft een procedure voor het uitvoeren van steekproeven op autorisatielogboeken. Er is een meldpunt ingericht waar privacygerelateerde vragen, risico’s en klachten kunnen worden afgehandeld.

Niveau 3: Reactief Wijzigingenbeheer

Voor het gestructureerd kunnen afhandelen van wijzigingen op de Verwerkingen is een proces opgesteld en de benodigde procedures zijn gedefinieerd. Wijzigingenbeheer is geïmplementeerd binnen de organisatie en dit kan aangetoond worden; zowel binnen een privacy beheersysteem alsmede binnen het werkproces en het handelen van medewerkers, leveranciers en klanten. Verzoeken voor “vernietiging van” of “inzage in” persoonsgegevens en wijzigingen in autorisaties en de toegang tot bijzondere persoonsgegevens zijn geborgd middels procedures. Verwerkers zijn geborgd d.m.v. een overeenkomst.

Niveau 4: Adaptief Compliancebeheer

Bij het bereiken van dit beheerniveau zijn de actieve en passieve rechten van betrokkenen gewaarborgd. De organisatie kan zich hierover maatschappelijk verantwoorden. De in beheer zijnde Verwerkingen blijven compliant aan veranderende privacy Wet- en regelgeving en hierover wordt jaarlijks gerapporteerd. Er is een Privacyreglement, Autorisatiebeleid en Informatiebeveiligingsbeleid. De wettelijke bewaartermijnen zijn geïnventariseerd en hierop wordt actief beheer gevoerd binnen de geregistreerde Verwerkingen. Er vinden jaarlijkse evaluaties plaats over de Verwerkingen. Er wordt actief toezicht gehouden op informatie-uitwisselingen.

Niveau 5: Perfectief Privacybeheer

In dit laatste en tevens hoogste beheerniveau vindt perfectief privacybeheer plaats door het verbeteren van de prestaties en de kwaliteit. Alle Verwerkingen binnen de organisatie zijn geregistreerd en de cyclus van de jaarlijkse evaluaties hebben tenminste éénmaal plaatsgevonden. De integrale werking en de effecten van de getroffen maatregelen kunnen aangetoond worden. De organisatie is accountable voor de privacybescherming. De organisatie heeft privacybescherming zodanig verankerd in de bedrijfsvoering dat dit onderdeel is geworden van het risicomanagement dat een verplicht onderdeel is van de jaarrekening.