Privacy Management Systeem - SafeHarbour · Scienta, omdat zij al jaren de trendsetter is op het...
Transcript of Privacy Management Systeem - SafeHarbour · Scienta, omdat zij al jaren de trendsetter is op het...
Privacy Management Systeem Ontzorgt bij de implementatie van de
Algemene Verordening Gegevensbescherming
Implementatie-streams ■
Uitvoer ■
Beheer ■
Per 25 mei 2018 is de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming
(AVG), van toepassing. Vanaf deze dag geldt eenzelfde privacywetgeving in de gehele Europese Unie (EU).
Het implementeren van de AVG kan de nodige
uitdagingen met zich meebrengen voor uw organisatie.
Die uitdagingen zitten niet alleen in de wet zelf,
maar kunnen ook ontstaan door beperkte middelen,
gefragmenteerde beleidsstukken of gedateerde
processen. Ook de omvang en de impact van de
AVG zal veel inspanning vragen van medewerkers,
projectleiders, functionarissen en bestuurders.
Daarnaast kunt u ook tijdens de implementatie
ondervinden dat er nog vragen zijn waar snel actie op
ondernomen moet worden. Wellicht herkent u dan ook
één van de volgende vraagstukken:
■ Hoe vertaal ik de AVG naar mijn organisatie?
■ Hoe houd ik tijdens de implementatie en daarna
overzicht over alle thema’s en procedures?
■ Hoe waarborg ik kwaliteit en blijf ik up-to-date?
Van uitdaging naar oplossing
Door de komst van de AVG wordt u verplicht een
privacybeleid in te voeren waarmee u waarborgt dat
alle persoonsgegevens zorgvuldig en naar behoren
worden verwerkt.
Een goed opgezet privacybeleid biedt een oplossing
voor deze uitdagingen en vormt de verbinding tussen
alle beleidsthema’s, processen en procedures die
voortkomen uit de AVG. Door te beschrijven hoe u
met privacy wilt omgaan krijgt u een middel in handen
waarmee u kunt sturen en zich kunt verantwoorden.
Bovendien helpt coherent beleid uw medewerkers bij
de uitvoer van hun taken.
Een privacybeleid is niet in één dag opgezet.
Door het proces te vereenvoudigen kunnen
we u helpen uw beleid praktisch en efficiënt
in te richten. De hoeveelheid wettelijke eisen,
samenhangende processen en het aantal betrokken
organisatieafdelingen en medewerkers vraagt om een
systeem dat de opzet, inrichting en implementatie van
uw privacybeleid ondersteunt. In onze visie moeten
projectleiders en medewerkers hierbij geholpen
worden met content, best practices en een inrichting
die eenvoudig is in gebruik en makkelijk te beheren is.
Vanuit dit gedachtegoed ontwikkelden we het Privacy
Management Systeem (PMS), beschikbaar in een
toegankelijk portal. Als u al gebruiker bent van ons
Handboek Informatieveiligheid (ISMS) dan bent u al
bekend met de opzet en gebruiksvriendelijkheid.
Wat vindt u in deze brochure?
We nemen u stapsgewijs mee in het
implementatieproces dat leidt tot het privacybeleid
zoals de AVG dat van u verlangt. Tevens laten we zien
hoe het Privacy Management Systeem (PMS) helpt bij
het neerzetten van volwaardig proces en een forse
tijdsbesparing kan opleveren. Tot slot laten we zien hoe
u met het PMS niet alleen klaar bent voor mei 2018,
maar ook hoe u in de jaren daarna aan de AVG kunt
voldoen.
Direct aan de slag met het Privacy Management
Systeem? U kunt binnen een dag aan de slag. Ga naar
www.SafeHarbour.nl/producten/privacy-
management-systeem/ of neem contact met ons op
De AVG, een uitdaging voor uw organisatie
Onze expertise, uw kennis
SafeHarbour is een vertrouwde speler op het
gebied van privacy, security en audit in het publieke
domein. Zo bieden we gemeenten het Handboek
Informatieveiligheid (ISMS) aan in samenwerking
met implementatiepartner BMC. Vanuit de input
van onze klanten en onze kennis over het publieke
domein hebben het Privacy Management Systeem
(PMS) ontwikkeld als aanvulling op eerdere
managementsystemen voor FG’s en CISO’s bij
gemeenten en zorg. .
Wat vindt u in het PMS?
Het PMS bevat alle relevante content op gebied van
de AVG en laat u zien hoe en waarom u bepaalde
regels moet toepassen. Tevens bevat het alle
procedures, verplichte documentatie en registers, die
nodig zijn om verantwoording af te leggen. Het zorgt
ervoor dat u zelf geen procedures hoeft te bedenken
en te schrijven en dat zal u derhalve een forse
tijdsbesparing opleveren.
Eenvoudig in gebruik
De interface en functionaliteiten zijn zeer
gebruiksvriendelijk. Net als het Handboek
Informatieveiligheid (ISMS), wordt het PMS
u aangeboden op het platform van Scienta.
SafeHarbour heeft gekozen voor het Nederlandse
Scienta, omdat zij al jaren de trendsetter is op het
gebied van kennisontsluiting en samenwerking.
Scienta biedt de mogelijkheid om eenvoudig beleid,
processen en procedures vast te leggen en te delen.
Door de opzet is alle informatie eenvoudig te vinden,
te relateren en indien gewenst te exporteren.
Binnen een dag aan de slag
Iedere organisatie kan binnen een dag aan de slag
met het PMS. Het PMS is in abonnementsvorm
beschikbaar binnen de Scienta-omgeving. Bent u
een van de ruim 5.000 organisaties die al met Scienta
werken? Dan haalt u uw licentie eenvoudig binnen.
Nog geen Scienta-gebruiker? De SaaS-omgeving kan
binnen één dag beschikbaar gesteld worden. Wilt u
meer weten over het PMS of direct aan de slag dan
kunt u contact met ons opnemen via
Het Privacy Management Systeem van SafeHarbour
Het Privacy Management Systeemis voor beginners én experts
Iedereen kan met het PMS werken
De AVG is geen gemakkelijke wet. Het PMS is zo
opgezet dat iedereen met enige kennis van privacy
en enige projectervaring aan de slag kan. Om u op
weg te helpen, hebben we de tien belangrijkste
thema’s van de AVG voor u uitgewerkt in praktische
stappenplannen en ondersteunende artikelen. Niet
weten welk thema als eerste aan te pakken? Het
PMS bevat hulpmiddelen zoals checklists waarmee u
eenvoudig prioriteiten kunt stellen.
Met het PMS willen we functionarissen en organisaties
maximaal ondersteunen. Dat gaat verder dan
content alleen. Zo bevat de portal van het PMS
praktische handreikingen, webinars en toelichtende
filmpjes. Bovendien kunt u altijd een beroep doen
op SafeHarbour en onze implementatiepartners
om op weg geholpen te worden of voor langere
ondersteuning.
Ondersteuning van de Functionaris
Gegevensbescherming (FG)
Omdat privacywetgeving dynamisch is en regelmatig
verandert, wordt het PMS ondersteund en up-to-
date gehouden door ons team van privacy experts
en implementatiepartners. U wordt automatisch
geïnformeerd over updates en aanpassingen in het
PMS. Bij belangrijke jurisprudentie of onjuistheden
wordt u zo snel mogelijk geïnformeerd. Wanneer
dat mogelijk is wordt de content aangepast of
al voor u ingevuld in het PMS. Als Functionaris
Gegevensbescherming hoeft u wijzigingen dan alleen
nog te accorderen. Het PMS fungeert als extra paar
ogen bij het up-to-date houden van uw organisatie.
Een hele geruststelling.
Ondersteuning van de Chief Information Security
Officer (CISO)
Informatiebeveiliging is cruciaal voor de bescherming
van persoonsgegevens. Op dit onderwerp moeten
de Fuctionaris Gegevensbescherming en de
CISO elkaar kunnen vinden. Het PMS verbindt
de eisen van het privacydomein aan het domein
van informatieveiligheid. Zo bevat het PMS een
overzicht van alle BIG-normen die relevant zijn voor
de bescherming van persoonsgegevens. Als u het
Handboek Informatieveiligheid (ISMS) gebruikt zijn
de uitwerkingen van maatregelen direct oproepbaar.
Meer weten over deze verbinding tussen privacy en
informatieveiligheid? Neem contact op met een van
onze experts.
PMS heeft gebruikerservaring als uitgangspunt
Ook als u geen FG of CISO in huis hebt kunt u met
het PMS aan de slag! Bij het ontwikkelen van het PMS
zijn we ervan uitgegaan dat gebruiksvriendelijkheid
en kennisdeling essentieel zijn voor alle organisaties
die het PMS gebruiken. Alle organisaties die
persoonsgegevens verwerken krijgen met de AVG
te maken en daarom is het niet nodig om elke keer
het wiel opnieuw uit te vinden. Samen met onze
implementatiepartners stellen we onze best practices
beschikbaar voor alle abonnees. Ook u als gebruiker
kunt kennis delen en beschikbaar stellen aan collega’s
buiten uw organisatie. Als afnemer van het PMS bent
u automatisch lid van onze community van gebruikers,
implementatiepartners en vakexperts. Door middel
van bijeenkomsten en webinars delen we kennis en
inzichten en versterken de gebruikerservaring van
het PMS. Voldoen aan de AVG? Een kwestie van
samenwerken.
Volledige ondersteuning van implementatie tot
beheer
Het PMS ondersteunt u van de implementatie van de
AVG tot het beheren van uw privacybeleid en bestaat
uit drie gedeelten:
■ Een implementatiedeel met implementatiestreams
die u door de AVG leiden
■ Een gedeelte waarin uw beleid en onderliggende
documenten ontwikkelt
■ Een gedeelte voor beheer en onderhoud
Het PMS biedt een complete vertaling van de
AVG naar procedures, verplichte documentatie
en registers. Artikelen worden ondersteund met
achtergrondartikelen, die u helpen bij het nemen van
passende beleidskeuzes. Het PMS sluit aan op uw
behoeften in de verschillende stadia van groei.
Bent u klaar voor de implementatie?
U kunt vandaag nog beginnen te onderzoeken
of u uw huidige processen, contracten en beleid
moet aanpassen om te voldoen aan de AVG.
Een functionaris voor gegevensbescherming
of projectgroep kan vaststellen welke thema’s
aangepakt dienen te worden. Als vertrekpunt kunt
u onderstaande vragen stellen om te inventariseren
waar uw organisatie nu staat:
■ Hoe ziet ons huidige beleid eruit?
■ Op welke thema’s moeten we onze organisatie
voorbereiden of aanpassen?
■ Voldoen onze processen en het huidige beleid aan
de strengere eisen van de AVG?
■ Zijn alle contracten met verwerkers voorhanden en
van de juiste kwaliteit?
■ Zijn we verplicht om een Functionaris voor
Gegevensbescherming (FG) aan te stellen en waar
plaatsen we deze persoon in de organisatie?
■ Hoe kan de FG samenwerken met andere
beleidsmedewerkers of de Chief Information and
Security Officer (CISO) en wat zijn de belangrijkste
taken?
Het beantwoorden van deze vragen geeft u een
goede indruk van de omvang en thema’s die centraal
staan in een implementatie. Als u het PMS wilt
benutten voor uw implementatie dan kunt u deze bij
ons aanvragen en activeert u het abonnement.
Hoe ga ik vervolgens aan de slag?
Iedere implementatie start met het op maat maken
van het PMS voor uw organisatie. U geeft uw
projectleden of andere betrokkenen toegang tot het
PMS. Zij kunnen artikelen toevoegen, aanpassen en
samenwerken bij het opstellen van documenten.
Het platform is zo ingericht dat veel-voorkomende
benamingen en termen eenvoudig aan te passen zijn.
Deze benamingen en termen worden vervolgens in
elk document aangepast.
Op naar de 10 thema’s van de AVG
Als u snel aan de slag wilt met de implementatie
kunt u aan de slag met de implementatiestreams.
Hiermee doorloopt u de AVG aan de hand van tien
thema’s. Ieder thema is uitgewerkt in een stappenplan
en is aangevuld met ondersteunende artikelen. Ook
relevante processen en verplichte registers ontbreken
niet. Een overzicht van de inhoud van de tien thema’s
vindt u verderop in deze brochure.
Hoe werkt het Privacy Management Systeem
Uw privacybeleid opzetten
Alle resultaten van de implementatie neemt u op
in uw privacybeleid. Het beleid zal hierna verder
uitgewerkt moeten worden en vraagt veel tijd van
een organisatie. Met het PMS kunt u echter een forse
tijdsbesparing behalen. Het beleid omvat naast het
beleidskader ook uitwerkingen van alle onderliggende
procedures, bijlagen en beleidskeuzes. Dit geeft
u de mogelijkheid om op een eenvoudige manier
procedures aan te passen in plaats van te bedenken
hoe deze geschreven moeten worden. Heeft u al veel
werk verricht en zijn meerdere documenten gereed?
Dan neemt u die processen gewoon op in het PMS
zodat ze eenvoudig beheerd kunnen worden.
Uw gebruikers
Wanneer artikelen, processen of beleid voldoende
ontwikkeld zijn kunnen deze geaccordeerd en
gepubliceerd worden. Gebruikers zien nieuwe of
aangepaste artikelen in de portal. Door de structuur
wordt alle informatie op een toegankelijke wijze
beschikbaar gesteld. Bang voor een informatie-
overload? Met de rechtenstructuur zien gebruikers
alleen een selectie van artikelen die voor hen
relevant zijn.
Uitvoering en continue verbetering
Na de implementatie volgt een periode van uitvoering
en continue verbetering. De implementatie verlaat
de projectfase. De producten kunnen door alle
betrokkenen worden gebruikt. Zorg voor een korte
introductie, zodat iedereen weet van het bestaan
van het PMS en leg relaties met het ISMS of andere
handboeken. Richt het systeem daarnaast zo in
dat u automatisch een reminder ontvangt om de
controletaken uit te voeren. Leg het beheer van
bepaalde procedures bij de relevante afdelingen. Op
die manier kan iedereen samenwerken in dezelfde
omgeving en gebruikt men altijd de laatste versie.
Eenvoudig beheer en onderhoud volgens
internationale normen
De AVG vraagt u aan te tonen dat u de eisen van de
wet naleeft. Dit vraagt om periodiek onderhoud, een
duidelijk overzicht en een manier om de naleving
aan te tonen. Om ervoor te zorgen dat u het beheer
goed kunt uitvoeren hebben we een beheer en
onderhoudsomgeving opgenomen die hier specifiek
voor bedoeld is. Deze is gestructureerd volgens de
ISO19600 norm (compliance managementsystemen).
Wie al werkt met ISO9001 (kwaliteit) of ISO27001
(informatieveiligheid) kent de methodiek van de
PDCA-cyclus. Met deze structurele aanpak is
verantwoording eenvoudig.
Het PMS bevat een volledig uitgewerkte
beheerstructuur. Door middel van automatische
meldingen krijgen beheerders en gebruikers een
seintje wanneer controletaken uitgevoerd moeten
worden. Het (voorbeeld)jaarverslag van de FG
is ook opgenomen en kan snel naar eigen wens
worden opgemaakt. Naast het PMS kunnen we u
ook uitgebreid ondersteunen bij het opzetten en
inrichten van goed beheer volgens een internationale
norm. Neem contact op met SafeHarbour of uw
implementatiepartner voor meer informatie.
Opzetten en uitvoeren van privacybeleid
1. Bewustwording
■ Zijn relevante stakeholders op de hoogte van de
nieuwe privacyregels en hun mogelijke impact?
■ Stellen de verantwoordelijke personen
voldoende middelen beschikbaar voor een
aanpassingstraject?
2. Rechten van betrokkenen
■ Kunnen betrokkenen hun rechten op basis van
de wet uitoefenen?
■ Kunnen betrokkenen hun versterkte rechten op
basis van de AVG uitoefenen?
■ Kunnen betrokkenen hun nieuwe rechten (zoals
dataportabiliteit) uitoefenen?
■ Kunt u per verwerking aantonen dat in
overeenstemming met de AVG wordt gewerkt?
3. Overzicht verwerkingen
■ Zijn alle verwerkingen en hun grondslagen in
kaart gebracht?
■ Kunt u per verwerking aantonen dat in
overeenstemming met de AVG wordt gewerkt?
4. Data protection impact assessment (DPIA)
■ Is in kaart gebracht waar (mogelijk)
verwerkingen met een hoog risico plaatsvinden?
■ Worden indien nodig DPIA’s uitgevoerd?
5. Privacy by design & privacy by default
■ Is duidelijk wat de termen privacy by design en
privacy by default inhouden?
■ Zijn deze termen vertaald naar beleid voor de
organisatie?
■ Wordt privacy by default en privacy by design
toegepast bij alle projecten, veranderingen
en situaties waar deze toegepast behoren te
worden?
6. Functionaris voor de gegevensbescherming
■ Is een functionaris voor de
gegevensbescherming aangesteld?
■ Is de rolverdeling tussen de FG en andere
functionarissen zoals de CISO duidelijk
benoemd?
7. Meldplicht datalekken
■ Zijn maatregelen genomen om te kunnen
voldoen aan de meldplicht datalekken?
■ Is het register datalekken aangepast om te
voldoen aan de uitgebreide eisen van de AVG?
8. Verwerkersovereenkomsten
■ Is duidelijk welke leveranciers tevens
verwerkers zijn?
■ Is met alle verwerkers een overeenkomst
gesloten?
■ Zijn de maatregelen die opgenomen zijn in de
overeenkomsten toereikend om te voldoen aan
de vereisten van de AVG?
9. Leidende toezichthouder
■ Is duidelijk onder welke toezichthouder de
organisatie valt?
10. Toestemming
■ I s bekend voor welke verwerkingen
‘toestemming’ de grondslag vormt?
■ Voldoen alle verzoeken om toestemming aan
de verscherpte eisen van de AVG?
■ Zijn maatregelen getroffen om een gegeven
toestemming in te kunnen trekken?
Het tienpuntenplan AP voor een snelle implementatie van de AVG
Het PMS is een ideale versneller voor de implementatie van de AVG. Aan de hand van tien thema’s doorloopt u de
AVG. Ieder thema bevat een stappenplan, aanvullende documenten en de verplichte documenten en registers.
Met een handige checklist kunt u direct zien welke thema’s meer actie verlangen. De verdere implementatie
en uitwerking van het beleid en processen wordt ondersteund door het privacybeleid en de ondersteunende
artikelen.
Als u met de implementatiestreams werkt krijgt u antwoord op de volgende vragen:
Wat levert het PMS u op?
Het PMS versnelt de implementatie aanzienlijk door
de structuur, processen en templates. Bovendien
vergroot het PMS de kwaliteit van de implementatie.
In plaats van het bedenken en uitschrijven van
procedures past u ze nu eenvoudig aan. De besparing
door het gebruik van PMS is eenmalig minimaal drie
maanden voor de eerste opzet van het privacybeleid
en alle onderliggende stukken. Daarna scheelt het
PMS u per jaar minimaal vier werkweken voor het
bijwerken van aanpassingen in wet- en regelgeving,
de informatie vanuit de Artikel 29-werkgroep of de
VNG. Overweegt u ook om aan de slag te gaan met
het Handboek Informatieveiligheid (ISMS) of andere
producten van SafeHarbour, dan is een gesprek voor
een bundelaankoop wellicht interessant. Wij zijn u
graag van dienst.
PMS aanschaffen zonder beheer
Wilt u het PMS benutten, maar is het inrichten
van beheer voor uw organisatie nog een stap te
ver? Het is altijd mogelijk om delen van het PMS
tijdelijk niet te tonen en later ‘aan te zetten’. De
implementatiestreams helpen u snel op weg met het
stappenplan. Zodra u een goede start hebt gemaakt,
gaat u verder met het beleid en overige processen.
Afhankelijk van welk thema u behandelt publiceert u
dat onderdeel. Bent u zover dat u het privacybeleid
in beheer wilt nemen? Met een druk op de knop
activeert u de betreffende artikelen.
Wilt u direct aan de slag? Neem contact met ons op
via [email protected].
Aan de gang met het PMS
Mei 2018 is nog maar enkele maanden verwijderd. Met het gebruik van het PMS kunt u binnen 2 maanden al
flink op weg, of wellicht zelfs al klaar zijn. U zult merken dat de content en de beheerstructuur ervoor zorgen dat
privacy wordt ingebed in de organisatie. Uw organisatie groeit door naar het gewenste volwassenheidsniveau.
SafeHarbour B.V.
B. Building - B2
John M. Keynesplein 12-46
1066 EP Amsterdam
085 208 208 9