RIE-Privacy
“Aantoonbaar voldoen aan de AVG
De Europese privacy wetgeving (AVG, GDPR) stelt eisen aan organisaties als het gaat om verwerking van persoonsgegevens. Hierbij zal de autoriteit kijken naar de mogelijke privacy risico’s die er gelopen wordt en de genomen organisatorische en technische maatregel. De RIE-privacy biedt u hulp en concrete oplossingen voor de wettelijk gestelde eisen:
- Verschaft inzicht in de eisen die de wetgeving aan uw bedrijf stelt door onze FG (functionaris gegevensbescherming / data protection officer).
- Het opstellen van de verplichte documentatie, de PIA (Privacy Impact Assessment).
- Het controleren van bestaande of maken van nieuwe verwerkingsovereenkomsten met uw ketenpartners.
- Opleiden van medewerkers op het gebied van privacy en security awareness.
- Concrete adviezen met betrekking tot het nemen van organisatorische en technische maatregelen.
- Het inrichten en bijhouden van een verplichte persoonsgegevens administratie, o.a. een toestemmingenregister.
- Hoe en wanneer melden we een data lek.
- … etc.
Structuur in uw aanpak
De RIE-Privacy richt zich op de privacy-risico’s die binnen een organisatie aanwezig zijn. Het programma is een onmisbaar hulpmiddel voor organisaties om de privacy-impact van hun projecten en gebruikte systemen te evalueren.
0. Nulmeting – Hoe staat u er voor?
Aan de hand van de ingevulde checklist heeft u een goed idee van het risicoprofiel, de grootte en complexiteit van uw organisatie in relatie tot de AVG.
U ontvangt een uitgebreid rapport met uw situatie, een overzicht met bevindingen en hoe deze met maatregelen en vervolgstappen aan te pakken.
1. Overzicht – Hoe staat u er voor?
De eerste stap is het creëren van overzicht van de verwerkingen, van uw organisatie, de informatiesystemen, kennis van uw personeel. Tijdens deze stap wordt de volgende informatie boven water gehaald:
- Hoe staat het met de kennis van uw medewerkers?
- Welke persoonsgegevens worden er in uw organisatie verwerkt?
- Hoe is de privacy organisatie opgebouwd?
- Aan welke wettelijke eisen moeten deze verwerkingen voldoen?
- Wat zijn de betrokken netwerken, systemen en applicaties?
- Welke afdelingen zijn er betrokken bij het verwerken van persoonsgegevens?
- Welke verwerkingen zijn er?
- Welk security- en privacy- beleid is er al geïmplementeerd?
- …
De praktische uitvoering van deze stap bestaat uit 1 of meerdere gesprekken met of vragenlijsten voor de betrokken personen / afdelingen om de benodigde informatie te verkrijgen.
Resultaat: Een bruikbare privacy administratie!
2. Inzicht – Waar liggen de risico’s?
De verkregen informatie uit stap 1 wordt beoordeeld door security en privacy experts. We bepalen waar de grootste risico’s liggen en of verdere acties vereist zijn. Behalve organisatorisch en technisch zal ook de kennis en het bewustzijn van uw medewerkers en de organisatie meegenomen.
- Zijn de medewerkers bewust van de gevaren en dreigingen waaraan ze blootstaan?
- Hoe alert en bewust zijn uw medewerkers ten aanzien van phishing?
- Loopt u juridische risico’s?
- Is een PIA noodzakelijk?
- In hoeverre is security en privacy “embedded” in de bedrijfsprocessen?
- Welke procedures zijn er ingevoerd op het gebied van de security en privacy?
- In hoeverre weet u van kwetsbaarheden van uw netwerk en systemen?
- Hoe gevoelig zijn netwerk en systemen voor uitval?
- …
Resultaat: Inzicht in de risico’s
3. Plan – Wat gaan we doen?
Samen met u bepalen welke maatregelen er kunnen/moeten worden genomen om compliant te zijn aan de wet- en regelgeving en om het risico op cybercriminaliteit en datalekken te minimaliseren. Deze maatregelen zullen worden ingedeeld in de drie belangrijke categorieën:
- Mens (trainen op veilig en privacy bewust gedrag van uw medewerkers)
- Organisatie (juridische afspraken, security beleid, privacy administratie, procedures)
- Techniek (technische security maatregelen in netwerken, systemen en applicaties)
- …
Resultaat: Een plan met maatregelen.
4. Aanpak – Aan de slag!
Het plan van aanpak, van stap 3, wordt uitgevoerd met al zijn maatregelen.
- Trainingen worden gegeven.
- Het privacy beleid wordt opgesteld.
- De privacy organisatie wordt ingericht.
- Bewerkers overeenkomsten worden gemaakt.
- Eeen FG wordt aangesteld.
- Kwestbaarheids scans worden uitgevoerd.
- …
Resultaat: Uw bent passend beveiligd.
5. Evaluatie – Is de aanpak succesvol!
Om de privacybescherming binnen uw organisatie op het zelfde hoge niveau te houden is het nodig om deze regelmatig onder de loep te nemen. U meet en controleert de status van uw organisatie, de kennis van uw medewerkers en de beveiligingsmaatregelen.
- Het plan van aanpak wordt ge-evalueerd.
- Verbeterpunten worden aangebracht.
- Inrichten privacy organisatie.
- Borgen van privacy compliance
- …
Resultaat: U voert regie en bent in controle.