2021-05-06 12:25:02
#materials #iapp #numbers
По какой-то причине пропущенный мной ежегодный отчёт IAPP-FTI Consulting Privacy Governance Report 2020.
Интересности:
для большинства компаний значимость приватности не изменилась во время пандемии, одной из приоритетных задач было обеспечение приватности работников на удаленке
около половины фирм собирали сведения о состоянии работников во время пандемии, и только половина таких фирм провела оценку рисков приватности
71% респондентов работали на полной удаленке
самое распространённое название должности руководителя по приватности - CPO или DPO, а отчитывается главному юристу, CEO или руководителю службы комплаенса; в маленьких фирмах рапортуют напрямую Совету директоров
в половине фирм CISO и рук-ль по приватности на одном уровне или же это одна роль; в другой половине - CISO выше
в 7 из 10 фирм есть DPO, а в 1 из 10 эта роль отдана на аутсорсинг
в ЕС спецы по приватности выполняют функции full-time, а в США - part-time
из очевидного: бо’льший штат спецов по приватности в крупных компаниях с хорошими доходами; преимущественно это фирмы B2B, B2C, а вот в гос компаниях штат небольшой (оно и видно )
более половины фирм притормозили на год найм новых спецов по приватности
удивительно, но факт: траты на приватность выросли по сравнению с предыдущим годом, ну и больше всего тратят фирмы B2B / B2C, выросли и будут расти бюджеты
ожидается рост трат на автоматизацию функции приватности, обучение и зп
функция по приватности чаще всего находится в юр. департаменте, реже в ИБ
решение по бюджету принимает главный юрист или CPO
среди распространённых задач: Политики приватности (что бы это ни значило ), решение вопросов по приватности по продуктам и сервисам, мониторинг з-ва по приватности
CIPP - самый популярный серт
73% рабочего времени уходит у спеца на задачи по приватности
8 из 10 спецов удовлетворены своей работой
среди популярных фреймворков по приватности: NIST Privacy Framework и ISO 27701, а среди топовых метрик: реагирование на инциденты, DPIA, тренинги и DSAR
чаще всего руководству докладывают о нарушениях приватности, ключевых индикаторах приватности и соотв гдпр
запросы на доступ и удаление данных - самые популярные из запросов субъектов, а у 60% фирм есть выделенная команда для обработки запросов
только 3 из 10 фирм успевают ответить на запрос субъектов в течение одного-двух дней
инвентаризацию данных чаще всего делают ручками, а 28% фирм используют софт
3 из 4 фирм используют софт для автоматизации функции приватности, автоматизируют в основном DPIA, инвентаризацию, управление согласиями/ куки на сайтах
8 из 10 фирм привлекают подрядчиков для обработки данных; 35% фирм требуют, чтобы обработчики проходили внутреннюю проверку; 1 из 10 фирм требуют наличие у обработчика ISO 27001, SOC 2 и HIPAA сертов
324 viewsedited 09:25