Privacy Management Systeem Ontzorgt bij de implementatie van de

Algemene Verordening Gegevensbescherming

Implementatie-streams ■

Uitvoer ■

Beheer ■

Per 25 mei 2018 is de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming

(AVG), van toepassing. Vanaf deze dag geldt eenzelfde privacywetgeving in de gehele Europese Unie (EU).

Het implementeren van de AVG kan de nodige

uitdagingen met zich meebrengen voor uw organisatie.

Die uitdagingen zitten niet alleen in de wet zelf,

maar kunnen ook ontstaan door beperkte middelen,

gefragmenteerde beleidsstukken of gedateerde

processen. Ook de omvang en de impact van de

AVG zal veel inspanning vragen van medewerkers,

projectleiders, functionarissen en bestuurders.

Daarnaast kunt u ook tijdens de implementatie

ondervinden dat er nog vragen zijn waar snel actie op

ondernomen moet worden. Wellicht herkent u dan ook

één van de volgende vraagstukken:

■ Hoe vertaal ik de AVG naar mijn organisatie?

■ Hoe houd ik tijdens de implementatie en daarna

overzicht over alle thema’s en procedures?

■ Hoe waarborg ik kwaliteit en blijf ik up-to-date?

Van uitdaging naar oplossing

Door de komst van de AVG wordt u verplicht een

privacybeleid in te voeren waarmee u waarborgt dat

alle persoonsgegevens zorgvuldig en naar behoren

worden verwerkt.

Een goed opgezet privacybeleid biedt een oplossing

voor deze uitdagingen en vormt de verbinding tussen

alle beleidsthema’s, processen en procedures die

voortkomen uit de AVG. Door te beschrijven hoe u

met privacy wilt omgaan krijgt u een middel in handen

waarmee u kunt sturen en zich kunt verantwoorden.

Bovendien helpt coherent beleid uw medewerkers bij

de uitvoer van hun taken.

Een privacybeleid is niet in één dag opgezet.

Door het proces te vereenvoudigen kunnen

we u helpen uw beleid praktisch en efficiënt

in te richten. De hoeveelheid wettelijke eisen,

samenhangende processen en het aantal betrokken

organisatieafdelingen en medewerkers vraagt om een

systeem dat de opzet, inrichting en implementatie van

uw privacybeleid ondersteunt. In onze visie moeten

projectleiders en medewerkers hierbij geholpen

worden met content, best practices en een inrichting

die eenvoudig is in gebruik en makkelijk te beheren is.

Vanuit dit gedachtegoed ontwikkelden we het Privacy

Management Systeem (PMS), beschikbaar in een

toegankelijk portal. Als u al gebruiker bent van ons

Handboek Informatieveiligheid (ISMS) dan bent u al

bekend met de opzet en gebruiksvriendelijkheid.

Wat vindt u in deze brochure?

We nemen u stapsgewijs mee in het

implementatieproces dat leidt tot het privacybeleid

zoals de AVG dat van u verlangt. Tevens laten we zien

hoe het Privacy Management Systeem (PMS) helpt bij

het neerzetten van volwaardig proces en een forse

tijdsbesparing kan opleveren. Tot slot laten we zien hoe

u met het PMS niet alleen klaar bent voor mei 2018,

maar ook hoe u in de jaren daarna aan de AVG kunt

voldoen.

Direct aan de slag met het Privacy Management

Systeem? U kunt binnen een dag aan de slag. Ga naar

www.SafeHarbour.nl/producten/privacy-

management-systeem/ of neem contact met ons op

via info@safeharbour.nl

De AVG, een uitdaging voor uw organisatie

Onze expertise, uw kennis

SafeHarbour is een vertrouwde speler op het

gebied van privacy, security en audit in het publieke

domein. Zo bieden we gemeenten het Handboek

Informatieveiligheid (ISMS) aan in samenwerking

met implementatiepartner BMC. Vanuit de input

van onze klanten en onze kennis over het publieke

domein hebben het Privacy Management Systeem

(PMS) ontwikkeld als aanvulling op eerdere

managementsystemen voor FG’s en CISO’s bij

gemeenten en zorg. .

Wat vindt u in het PMS?

Het PMS bevat alle relevante content op gebied van

de AVG en laat u zien hoe en waarom u bepaalde

regels moet toepassen. Tevens bevat het alle

procedures, verplichte documentatie en registers, die

nodig zijn om verantwoording af te leggen. Het zorgt

ervoor dat u zelf geen procedures hoeft te bedenken

en te schrijven en dat zal u derhalve een forse

tijdsbesparing opleveren.

Eenvoudig in gebruik

De interface en functionaliteiten zijn zeer

gebruiksvriendelijk. Net als het Handboek

Informatieveiligheid (ISMS), wordt het PMS

u aangeboden op het platform van Scienta.

SafeHarbour heeft gekozen voor het Nederlandse

Scienta, omdat zij al jaren de trendsetter is op het

gebied van kennisontsluiting en samenwerking.

Scienta biedt de mogelijkheid om eenvoudig beleid,

processen en procedures vast te leggen en te delen.

Door de opzet is alle informatie eenvoudig te vinden,

te relateren en indien gewenst te exporteren.

Binnen een dag aan de slag

Iedere organisatie kan binnen een dag aan de slag

met het PMS. Het PMS is in abonnementsvorm

beschikbaar binnen de Scienta-omgeving. Bent u

een van de ruim 5.000 organisaties die al met Scienta

werken? Dan haalt u uw licentie eenvoudig binnen.

Nog geen Scienta-gebruiker? De SaaS-omgeving kan

binnen één dag beschikbaar gesteld worden. Wilt u

meer weten over het PMS of direct aan de slag dan

kunt u contact met ons opnemen via

info@safeharbour.nl

Het Privacy Management Systeem van SafeHarbour

Het Privacy Management Systeemis voor beginners én experts

Iedereen kan met het PMS werken

De AVG is geen gemakkelijke wet. Het PMS is zo

opgezet dat iedereen met enige kennis van privacy

en enige projectervaring aan de slag kan. Om u op

weg te helpen, hebben we de tien belangrijkste

thema’s van de AVG voor u uitgewerkt in praktische

stappenplannen en ondersteunende artikelen. Niet

weten welk thema als eerste aan te pakken? Het

PMS bevat hulpmiddelen zoals checklists waarmee u

eenvoudig prioriteiten kunt stellen.

Met het PMS willen we functionarissen en organisaties

maximaal ondersteunen. Dat gaat verder dan

content alleen. Zo bevat de portal van het PMS

praktische handreikingen, webinars en toelichtende

filmpjes. Bovendien kunt u altijd een beroep doen

op SafeHarbour en onze implementatiepartners

om op weg geholpen te worden of voor langere

ondersteuning.

Ondersteuning van de Functionaris

Gegevensbescherming (FG)

Omdat privacywetgeving dynamisch is en regelmatig

verandert, wordt het PMS ondersteund en up-to-

date gehouden door ons team van privacy experts

en implementatiepartners. U wordt automatisch

geïnformeerd over updates en aanpassingen in het

PMS. Bij belangrijke jurisprudentie of onjuistheden

wordt u zo snel mogelijk geïnformeerd. Wanneer

dat mogelijk is wordt de content aangepast of

al voor u ingevuld in het PMS. Als Functionaris

Gegevensbescherming hoeft u wijzigingen dan alleen

nog te accorderen. Het PMS fungeert als extra paar

ogen bij het up-to-date houden van uw organisatie.

Een hele geruststelling.

Ondersteuning van de Chief Information Security

Officer (CISO)

Informatiebeveiliging is cruciaal voor de bescherming

van persoonsgegevens. Op dit onderwerp moeten

de Fuctionaris Gegevensbescherming en de

CISO elkaar kunnen vinden. Het PMS verbindt

de eisen van het privacydomein aan het domein

van informatieveiligheid. Zo bevat het PMS een

overzicht van alle BIG-normen die relevant zijn voor

de bescherming van persoonsgegevens. Als u het

Handboek Informatieveiligheid (ISMS) gebruikt zijn

de uitwerkingen van maatregelen direct oproepbaar.

Meer weten over deze verbinding tussen privacy en

informatieveiligheid? Neem contact op met een van

onze experts.

PMS heeft gebruikerservaring als uitgangspunt

Ook als u geen FG of CISO in huis hebt kunt u met

het PMS aan de slag! Bij het ontwikkelen van het PMS

zijn we ervan uitgegaan dat gebruiksvriendelijkheid

en kennisdeling essentieel zijn voor alle organisaties

die het PMS gebruiken. Alle organisaties die

persoonsgegevens verwerken krijgen met de AVG

te maken en daarom is het niet nodig om elke keer

het wiel opnieuw uit te vinden. Samen met onze

implementatiepartners stellen we onze best practices

beschikbaar voor alle abonnees. Ook u als gebruiker

kunt kennis delen en beschikbaar stellen aan collega’s

buiten uw organisatie. Als afnemer van het PMS bent

u automatisch lid van onze community van gebruikers,

implementatiepartners en vakexperts. Door middel

van bijeenkomsten en webinars delen we kennis en

inzichten en versterken de gebruikerservaring van

het PMS. Voldoen aan de AVG? Een kwestie van

samenwerken.

Volledige ondersteuning van implementatie tot

beheer

Het PMS ondersteunt u van de implementatie van de

AVG tot het beheren van uw privacybeleid en bestaat

uit drie gedeelten:

■ Een implementatiedeel met implementatiestreams

die u door de AVG leiden

■ Een gedeelte waarin uw beleid en onderliggende

documenten ontwikkelt

■ Een gedeelte voor beheer en onderhoud

Het PMS biedt een complete vertaling van de

AVG naar procedures, verplichte documentatie

en registers. Artikelen worden ondersteund met

achtergrondartikelen, die u helpen bij het nemen van

passende beleidskeuzes. Het PMS sluit aan op uw

behoeften in de verschillende stadia van groei.

Bent u klaar voor de implementatie?

U kunt vandaag nog beginnen te onderzoeken

of u uw huidige processen, contracten en beleid

moet aanpassen om te voldoen aan de AVG.

Een functionaris voor gegevensbescherming

of projectgroep kan vaststellen welke thema’s

aangepakt dienen te worden. Als vertrekpunt kunt

u onderstaande vragen stellen om te inventariseren

waar uw organisatie nu staat:

■ Hoe ziet ons huidige beleid eruit?

■ Op welke thema’s moeten we onze organisatie

voorbereiden of aanpassen?

■ Voldoen onze processen en het huidige beleid aan

de strengere eisen van de AVG?

■ Zijn alle contracten met verwerkers voorhanden en

van de juiste kwaliteit?

■ Zijn we verplicht om een Functionaris voor

Gegevensbescherming (FG) aan te stellen en waar

plaatsen we deze persoon in de organisatie?

■ Hoe kan de FG samenwerken met andere

beleidsmedewerkers of de Chief Information and

Security Officer (CISO) en wat zijn de belangrijkste

taken?

Het beantwoorden van deze vragen geeft u een

goede indruk van de omvang en thema’s die centraal

staan in een implementatie. Als u het PMS wilt

benutten voor uw implementatie dan kunt u deze bij

ons aanvragen en activeert u het abonnement.

Hoe ga ik vervolgens aan de slag?

Iedere implementatie start met het op maat maken

van het PMS voor uw organisatie. U geeft uw

projectleden of andere betrokkenen toegang tot het

PMS. Zij kunnen artikelen toevoegen, aanpassen en

samenwerken bij het opstellen van documenten.

Het platform is zo ingericht dat veel-voorkomende

benamingen en termen eenvoudig aan te passen zijn.

Deze benamingen en termen worden vervolgens in

elk document aangepast.

Op naar de 10 thema’s van de AVG

Als u snel aan de slag wilt met de implementatie

kunt u aan de slag met de implementatiestreams.

Hiermee doorloopt u de AVG aan de hand van tien

thema’s. Ieder thema is uitgewerkt in een stappenplan

en is aangevuld met ondersteunende artikelen. Ook

relevante processen en verplichte registers ontbreken

niet. Een overzicht van de inhoud van de tien thema’s

vindt u verderop in deze brochure.

Hoe werkt het Privacy Management Systeem

Uw privacybeleid opzetten

Alle resultaten van de implementatie neemt u op

in uw privacybeleid. Het beleid zal hierna verder

uitgewerkt moeten worden en vraagt veel tijd van

een organisatie. Met het PMS kunt u echter een forse

tijdsbesparing behalen. Het beleid omvat naast het

beleidskader ook uitwerkingen van alle onderliggende

procedures, bijlagen en beleidskeuzes. Dit geeft

u de mogelijkheid om op een eenvoudige manier

procedures aan te passen in plaats van te bedenken

hoe deze geschreven moeten worden. Heeft u al veel

werk verricht en zijn meerdere documenten gereed?

Dan neemt u die processen gewoon op in het PMS

zodat ze eenvoudig beheerd kunnen worden.

Uw gebruikers

Wanneer artikelen, processen of beleid voldoende

ontwikkeld zijn kunnen deze geaccordeerd en

gepubliceerd worden. Gebruikers zien nieuwe of

aangepaste artikelen in de portal. Door de structuur

wordt alle informatie op een toegankelijke wijze

beschikbaar gesteld. Bang voor een informatie-

overload? Met de rechtenstructuur zien gebruikers

alleen een selectie van artikelen die voor hen

relevant zijn.

Uitvoering en continue verbetering

Na de implementatie volgt een periode van uitvoering

en continue verbetering. De implementatie verlaat

de projectfase. De producten kunnen door alle

betrokkenen worden gebruikt. Zorg voor een korte

introductie, zodat iedereen weet van het bestaan

van het PMS en leg relaties met het ISMS of andere

handboeken. Richt het systeem daarnaast zo in

dat u automatisch een reminder ontvangt om de

controletaken uit te voeren. Leg het beheer van

bepaalde procedures bij de relevante afdelingen. Op

die manier kan iedereen samenwerken in dezelfde

omgeving en gebruikt men altijd de laatste versie.

Eenvoudig beheer en onderhoud volgens

internationale normen

De AVG vraagt u aan te tonen dat u de eisen van de

wet naleeft. Dit vraagt om periodiek onderhoud, een

duidelijk overzicht en een manier om de naleving

aan te tonen. Om ervoor te zorgen dat u het beheer

goed kunt uitvoeren hebben we een beheer en

onderhoudsomgeving opgenomen die hier specifiek

voor bedoeld is. Deze is gestructureerd volgens de

ISO19600 norm (compliance managementsystemen).

Wie al werkt met ISO9001 (kwaliteit) of ISO27001

(informatieveiligheid) kent de methodiek van de

PDCA-cyclus. Met deze structurele aanpak is

verantwoording eenvoudig.

Het PMS bevat een volledig uitgewerkte

beheerstructuur. Door middel van automatische

meldingen krijgen beheerders en gebruikers een

seintje wanneer controletaken uitgevoerd moeten

worden. Het (voorbeeld)jaarverslag van de FG

is ook opgenomen en kan snel naar eigen wens

worden opgemaakt. Naast het PMS kunnen we u

ook uitgebreid ondersteunen bij het opzetten en

inrichten van goed beheer volgens een internationale

norm. Neem contact op met SafeHarbour of uw

implementatiepartner voor meer informatie.

Opzetten en uitvoeren van privacybeleid

1. Bewustwording

■ Zijn relevante stakeholders op de hoogte van de

nieuwe privacyregels en hun mogelijke impact?

■ Stellen de verantwoordelijke personen

voldoende middelen beschikbaar voor een

aanpassingstraject?

2. Rechten van betrokkenen

■ Kunnen betrokkenen hun rechten op basis van

de wet uitoefenen?

■ Kunnen betrokkenen hun versterkte rechten op

basis van de AVG uitoefenen?

■ Kunnen betrokkenen hun nieuwe rechten (zoals

dataportabiliteit) uitoefenen?

■ Kunt u per verwerking aantonen dat in

overeenstemming met de AVG wordt gewerkt?

3. Overzicht verwerkingen

■ Zijn alle verwerkingen en hun grondslagen in

kaart gebracht?

■ Kunt u per verwerking aantonen dat in

overeenstemming met de AVG wordt gewerkt?

4. Data protection impact assessment (DPIA)

■ Is in kaart gebracht waar (mogelijk)

verwerkingen met een hoog risico plaatsvinden?

■ Worden indien nodig DPIA’s uitgevoerd?

5. Privacy by design & privacy by default

■ Is duidelijk wat de termen privacy by design en

privacy by default inhouden?

■ Zijn deze termen vertaald naar beleid voor de

organisatie?

■ Wordt privacy by default en privacy by design

toegepast bij alle projecten, veranderingen

en situaties waar deze toegepast behoren te

worden?

6. Functionaris voor de gegevensbescherming

■ Is een functionaris voor de

gegevensbescherming aangesteld?

■ Is de rolverdeling tussen de FG en andere

functionarissen zoals de CISO duidelijk

benoemd?

7. Meldplicht datalekken

■ Zijn maatregelen genomen om te kunnen

voldoen aan de meldplicht datalekken?

■ Is het register datalekken aangepast om te

voldoen aan de uitgebreide eisen van de AVG?

8. Verwerkersovereenkomsten

■ Is duidelijk welke leveranciers tevens

verwerkers zijn?

■ Is met alle verwerkers een overeenkomst

gesloten?

■ Zijn de maatregelen die opgenomen zijn in de

overeenkomsten toereikend om te voldoen aan

de vereisten van de AVG?

9. Leidende toezichthouder

■ Is duidelijk onder welke toezichthouder de

organisatie valt?

10. Toestemming

■ I s bekend voor welke verwerkingen

‘toestemming’ de grondslag vormt?

■ Voldoen alle verzoeken om toestemming aan

de verscherpte eisen van de AVG?

■ Zijn maatregelen getroffen om een gegeven

toestemming in te kunnen trekken?

Het tienpuntenplan AP voor een snelle implementatie van de AVG

Het PMS is een ideale versneller voor de implementatie van de AVG. Aan de hand van tien thema’s doorloopt u de

AVG. Ieder thema bevat een stappenplan, aanvullende documenten en de verplichte documenten en registers.

Met een handige checklist kunt u direct zien welke thema’s meer actie verlangen. De verdere implementatie

en uitwerking van het beleid en processen wordt ondersteund door het privacybeleid en de ondersteunende

artikelen.

Als u met de implementatiestreams werkt krijgt u antwoord op de volgende vragen:

Wat levert het PMS u op?

Het PMS versnelt de implementatie aanzienlijk door

de structuur, processen en templates. Bovendien

vergroot het PMS de kwaliteit van de implementatie.

In plaats van het bedenken en uitschrijven van

procedures past u ze nu eenvoudig aan. De besparing

door het gebruik van PMS is eenmalig minimaal drie

maanden voor de eerste opzet van het privacybeleid

en alle onderliggende stukken. Daarna scheelt het

PMS u per jaar minimaal vier werkweken voor het

bijwerken van aanpassingen in wet- en regelgeving,

de informatie vanuit de Artikel 29-werkgroep of de

VNG. Overweegt u ook om aan de slag te gaan met

het Handboek Informatieveiligheid (ISMS) of andere

producten van SafeHarbour, dan is een gesprek voor

een bundelaankoop wellicht interessant. Wij zijn u

graag van dienst.

PMS aanschaffen zonder beheer

Wilt u het PMS benutten, maar is het inrichten

van beheer voor uw organisatie nog een stap te

ver? Het is altijd mogelijk om delen van het PMS

tijdelijk niet te tonen en later ‘aan te zetten’. De

implementatiestreams helpen u snel op weg met het

stappenplan. Zodra u een goede start hebt gemaakt,

gaat u verder met het beleid en overige processen.

Afhankelijk van welk thema u behandelt publiceert u

dat onderdeel. Bent u zover dat u het privacybeleid

in beheer wilt nemen? Met een druk op de knop

activeert u de betreffende artikelen.

Wilt u direct aan de slag? Neem contact met ons op

via info@safeharbour.nl.

Aan de gang met het PMS

Mei 2018 is nog maar enkele maanden verwijderd. Met het gebruik van het PMS kunt u binnen 2 maanden al

flink op weg, of wellicht zelfs al klaar zijn. U zult merken dat de content en de beheerstructuur ervoor zorgen dat

privacy wordt ingebed in de organisatie. Uw organisatie groeit door naar het gewenste volwassenheidsniveau.

SafeHarbour B.V.

B. Building - B2

John M. Keynesplein 12-46

1066 EP Amsterdam

085 208 208 9

info@safeharbour.nl