Vragenlijst voor behoeften in (data)veiligheid

Facility manager / Hoofd facilitaire dienst

Gebouwbeheerder / Property manager

c. Facilitaire dienstverlener (extern)

Leverancier (van facilitaire producten/diensten)

BVA-functionaris / Beveiligingsfunctionaris

Privacy officer / Functionaris Gegevensbescherming

Formeel informatiebeveiligingsbeleid en -procedures

Privacybeleid (AVG) en aanwijzing van een FG (privacy officer)

Aangestelde veiligheidsfunctionaris (bijv. CISO of BVA)

Certificering of naleving van een norm (bijv. ISO 27001, ISO 27701, BIO)

Reguliere training of bewustwording voor medewerkers op het gebied van informatie-/veiligheid

Geen van bovengenoemde / dit is nog niet formeel geregeld

Beleid en governance (bijv. opstellen van beveiligingsbeleid, verantwoordelijkheden)

Privacy en gegevensbescherming (AVG-compliance, datalekken voorkomen)

Kunstmatige intelligentie (AI) en nieuwe AI-wetgeving (AI Act)

Cameratoezicht en toezicht op werknemers/gebouw (incl. privacyaspecten)

Fysieke beveiliging van gebouwen en terreinen (toegangscontrole, alarmsystemen)

Cybersecurity en wetgeving (NIS II-richtlijn, meldplichten bij incidenten)

Leveranciersmanagement en ketenveiligheid (eisen aan externe partners)

Hoog: Veiligheid en data/privacybescherming zijn verankerd in onze cultuur; medewerkers zijn zeer bewust van veiligheidsrichtlijnen.

Redelijk: Er is aandacht voor (data)veiligheid, maar er is ruimte voor meer bewustwording en training.

Matig: Veiligheid krijgt af en toe aandacht, maar er ontbreekt een structurele aanpak of voldoende bewustzijn bij personeel.

Laag: Veiligheid is geen actief onderdeel van de cultuur; medewerkers zijn zich nauwelijks bewust van beveiligingsrichtlijnen

Quick scan / nulmeting: Een kort onderzoek of scan om huidige sterktes/zwaktes in kaart te brengen.

Trainingen voor medewerkers: Gerichte opleidingen of e-learning om kennis en bewustzijn te vergroten.

Workshops / sessies voor management: Interactieve workshops om management en sleutelpersonen bij te scholen (bijv. over nieuwe wetgeving).

Adviestraject / consultancy: Maatwerk advies van experts om beleid en maatregelen op te stellen (bijv. op weg naar een certificering).

e. Tooling / technische audit: Inzet van technische middelen of audits (bijv. pentest, cameracontrole) om beveiligingsniveau te testen.

Goed voorbereid: We zijn goed op de hoogte en treffen al concrete maatregelen ter naleving.

Enigszins op de hoogte: We hebben er van gehoord maar nog geen of beperkte stappen ondernomen.

Niet voorbereid: Deze specifieke nieuwe wetten/regels zijn niet bekend binnen onze organisatie.

Niet van toepassing: Wij verwachten geen impact van AI Act of NIS II op onze organisatie.

Zeer hoog: collega’s zijn goed geïnformeerd en getraind

Redelijk: er is basiskennis aanwezig, maar verdieping is nodig

Laag: weinig kennis of bewustzijn, ad-hoc benadering

Geen idee / onbekend

Ja, formeel beleid is aanwezig en geïmplementeerd

Ja, maar het is verouderd of beperkt

Nee, maar dit is wel gewenst

Nee, en er is op dit moment geen behoefte aan

Ja, een CISO / privacy officer / BVA-functionaris

Ja, maar onduidelijk wie welke rol heeft

Nee, de verantwoordelijkheid is diffuus verdeeld

We weten het eigenlijk niet

E-learning modules (individueel tempo)

Klassikale trainingen (op locatie of online)

Praktijkgerichte workshops

Persoonlijk advies op maat

Templates/toolkits voor beleid en procedures

Scan met praktische aanbevelingen

Ja, we zijn goed geïnformeerd

Ja, maar we weten nog niet wat het betekent

Nee, niet mee bekend

Geen idee of het op ons van toepassing is