Compliance
Minor privacy management
Naam: Vincent Huizinga
Studentnummer: 460225
Opleiding: Bedrijfskunde
Onderdeel: Minor privacy management
Datum: 27 december 2024
,Titel: Compliance
Ondertitel: Minor privacy management
Naam: Vincent Huizinga
Studentnummer: 460225
Opleiding: Bedrijfskunde DT
Onderdeel: Minor privacy management
Docenten:
Opdrachtgever: PI Veenhuizen
27 december 2024
De uitgevoerde doorlichting is een studentprestatie. Wij verzoeken u daarom de resultaten
van deze doorlichting in dat licht te bezien en te behandelen. Aan deze
managementrapportage kunnen door u geen rechten worden ontleend. De Hanzehogeschool
Groningen, de begeleidende docent(en) en de auteur van dit rapport aanvaarden geen enkele
aansprakelijkheid voor schade en/of kosten die voortvloeien uit onvolledige en/of foutieve
informatie in deze managementrapportage.
1
, Management summary
Deze opdracht richt zich op de bescherming van persoonsgegevens binnen PI Veenhuizen,
een penitentiaire inrichting onder de verantwoordelijkheid van de Dienst Justitiële
Inrichtingen (DJI). Het zorgvuldig omgaan met gevoelige gegevens, zoals strafrechtelijke en
medische informatie, is essentieel om te voldoen aan wet- en regelgeving zoals de AVG,
UAVG en Wjsg. Tegelijkertijd draagt een sterke focus op privacy bij aan vertrouwen in de
organisatie en een veilige werkomgeving.
De huidige situatie binnen PI Veenhuizen laat zien dat er een basis voor privacybeheer
aanwezig is, maar dat verbeteringen nodig zijn op vier gebieden: beleid, bewustzijn,
technologie en processen. Hoewel er al maatregelen zijn genomen, zoals rolgebaseerde
toegangscontrole en monitoring, zijn er nog risico’s op onbevoegde toegang, datalekken en
inconsistent gebruik van procedures. De belangrijkste kwetsbaarheden liggen bij verouderde
systemen, onvoldoende training van medewerkers en een gebrek aan structurele
risicoanalyses.
De GAP-analyse toont een duidelijke kloof tussen de huidige situatie (IST) en de gewenste
situatie (SOLL). In de gewenste situatie is privacybeheer volledig geïntegreerd in
werkprocessen, zijn systemen up-to-date, en handelen medewerkers consistent en bewust
volgens de regels. Om deze kloof te overbruggen, is een integrale aanpak nodig waarin
techniek, organisatie en cultuur samenkomen.
Om de privacyvolwassenheid te verhogen en risico’s effectief te beheersen, worden de
volgende aanbevelingen gedaan:
Beleid: Werk het privacybeleid bij en zorg dat het breed wordt toegepast in alle
werkprocessen. Stel een Data Protection Officer (DPO) aan voor toezicht en naleving.
Bewustzijn: Introduceer verplichte privacytrainingen en lanceer
bewustwordingscampagnes om medewerkers te informeren over hun
verantwoordelijkheden.
Technologie: Moderniseer IT-systemen met geavanceerde beveiligingsmaatregelen,
zoals encryptie en multi-factor authenticatie, en implementeer een Data Loss
Prevention (DLP)-systeem.
Proces: Voer periodieke risicoanalyses uit en ontwikkel een protocol voor snelle en
effectieve reactie op privacy-incidenten.
De implementatie van deze aanbevelingen wordt geprioriteerd via het Eisenhower-model,
waarbij urgentie en belang worden meegenomen. Directe acties, zoals het upgraden van
systemen en het organiseren van trainingen, krijgen de hoogste prioriteit.
Het beschermen van persoonsgegevens is niet alleen een wettelijke verplichting voor PI
Veenhuizen, maar ook van groot belang voor het vertrouwen in de organisatie. Door de
aanbevelingen in dit rapport op te volgen, kan PI Veenhuizen groeien naar een organisatie
waarin privacybeheer een vanzelfsprekend en effectief onderdeel is van de dagelijkse praktijk.
Dit draagt niet alleen bij aan het voldoen aan wetgeving, maar ook aan een veilige en
respectvolle werkomgeving voor medewerkers en gedetineerden.
2
Minor privacy management
Naam: Vincent Huizinga
Studentnummer: 460225
Opleiding: Bedrijfskunde
Onderdeel: Minor privacy management
Datum: 27 december 2024
,Titel: Compliance
Ondertitel: Minor privacy management
Naam: Vincent Huizinga
Studentnummer: 460225
Opleiding: Bedrijfskunde DT
Onderdeel: Minor privacy management
Docenten:
Opdrachtgever: PI Veenhuizen
27 december 2024
De uitgevoerde doorlichting is een studentprestatie. Wij verzoeken u daarom de resultaten
van deze doorlichting in dat licht te bezien en te behandelen. Aan deze
managementrapportage kunnen door u geen rechten worden ontleend. De Hanzehogeschool
Groningen, de begeleidende docent(en) en de auteur van dit rapport aanvaarden geen enkele
aansprakelijkheid voor schade en/of kosten die voortvloeien uit onvolledige en/of foutieve
informatie in deze managementrapportage.
1
, Management summary
Deze opdracht richt zich op de bescherming van persoonsgegevens binnen PI Veenhuizen,
een penitentiaire inrichting onder de verantwoordelijkheid van de Dienst Justitiële
Inrichtingen (DJI). Het zorgvuldig omgaan met gevoelige gegevens, zoals strafrechtelijke en
medische informatie, is essentieel om te voldoen aan wet- en regelgeving zoals de AVG,
UAVG en Wjsg. Tegelijkertijd draagt een sterke focus op privacy bij aan vertrouwen in de
organisatie en een veilige werkomgeving.
De huidige situatie binnen PI Veenhuizen laat zien dat er een basis voor privacybeheer
aanwezig is, maar dat verbeteringen nodig zijn op vier gebieden: beleid, bewustzijn,
technologie en processen. Hoewel er al maatregelen zijn genomen, zoals rolgebaseerde
toegangscontrole en monitoring, zijn er nog risico’s op onbevoegde toegang, datalekken en
inconsistent gebruik van procedures. De belangrijkste kwetsbaarheden liggen bij verouderde
systemen, onvoldoende training van medewerkers en een gebrek aan structurele
risicoanalyses.
De GAP-analyse toont een duidelijke kloof tussen de huidige situatie (IST) en de gewenste
situatie (SOLL). In de gewenste situatie is privacybeheer volledig geïntegreerd in
werkprocessen, zijn systemen up-to-date, en handelen medewerkers consistent en bewust
volgens de regels. Om deze kloof te overbruggen, is een integrale aanpak nodig waarin
techniek, organisatie en cultuur samenkomen.
Om de privacyvolwassenheid te verhogen en risico’s effectief te beheersen, worden de
volgende aanbevelingen gedaan:
Beleid: Werk het privacybeleid bij en zorg dat het breed wordt toegepast in alle
werkprocessen. Stel een Data Protection Officer (DPO) aan voor toezicht en naleving.
Bewustzijn: Introduceer verplichte privacytrainingen en lanceer
bewustwordingscampagnes om medewerkers te informeren over hun
verantwoordelijkheden.
Technologie: Moderniseer IT-systemen met geavanceerde beveiligingsmaatregelen,
zoals encryptie en multi-factor authenticatie, en implementeer een Data Loss
Prevention (DLP)-systeem.
Proces: Voer periodieke risicoanalyses uit en ontwikkel een protocol voor snelle en
effectieve reactie op privacy-incidenten.
De implementatie van deze aanbevelingen wordt geprioriteerd via het Eisenhower-model,
waarbij urgentie en belang worden meegenomen. Directe acties, zoals het upgraden van
systemen en het organiseren van trainingen, krijgen de hoogste prioriteit.
Het beschermen van persoonsgegevens is niet alleen een wettelijke verplichting voor PI
Veenhuizen, maar ook van groot belang voor het vertrouwen in de organisatie. Door de
aanbevelingen in dit rapport op te volgen, kan PI Veenhuizen groeien naar een organisatie
waarin privacybeheer een vanzelfsprekend en effectief onderdeel is van de dagelijkse praktijk.
Dit draagt niet alleen bij aan het voldoen aan wetgeving, maar ook aan een veilige en
respectvolle werkomgeving voor medewerkers en gedetineerden.
2
