VOORWOORD 15 LIJST VAN AFKORTINGEN 21

Transcriptie

1 INHOUD VOORWOORD 15 LIJST VAN AFKORTINGEN 21 1 ALGEMENE INLEIDING Inleiding Erkenning van de FG in de AVG Aanstellen van een FG Historische ervaringen met de FG Facultatieve benoeming conform de Wbp Verplichte aanwijzing conform de AVG Overheidsinstantie of overheidsorgaan Hoofdzakelijk belast met (kerntaken) Op grote schaal Regelmatige en stelselmatige observatie Speciale gegevenscategorieën: strafrechtelijke gegevens FG van de verwerker Een FG voor meerdere organisaties Ondersteuning door een FG-team Een FG voor verschillende overheidsinstanties of overheidsorganen Operationele aspecten vanwege de FG aanwijzing Eisen aan de FG onder de AVG Professionele kwaliteiten Deskundigheid op het gebied van de wetgeving Deskundigheid van de praktijk inzake gegevensbescherming Het vermogen om de volgende (in artikel 39 AVG genoemde) taken te vervullen FG op basis van een dienstverleningsovereenkomst (externe FG) Facultatieve (vrijwillige) aanwijzing conform de AVG Taken van de FG onder de Wbp 39 2 TAKEN, POSITIONERING EN FUNCTIEPROFIEL VAN DE FG Wettelijke taken (AVG) Optionele taken Taakgerichte bevoegdheden Positionering Wettelijke eisen aan de positionering, WBP Wettelijke eisen aan de positionering, AVG Positionering van de FG als line of defense Taakgerichte (operationele) positionering Functieprofiel van de FG Functieanalyse van de FG Functieprofiel: positionering van de FG 55 5

2 PRAKTIJKBOEK FG - LEIDRAAD VOOR EEN PROFESSIONEEL WERKPROGRAMMA Functieprofiel: competentieprofiel Integriteit en geloofwaardigheid van de FG Emotionele competentie van de FG Leiderschap van de FG Rollenmatrix competenties van de FG Andere manieren van het profileren van de functie van FG Biografische vragenlijsten Recruitment (werving en selectie) van de geschikte FG Oriëntatietabel FG-functiemodel 63 3 FG-WERKPROGRAMMA: OPZET EN STRUCTUUR Inleiding Werkprogramma van de FG Drivers voor een FG-werkprogramma Business case voor een professioneel FG-werkprogramma Baten (rechtvaardiging) Kosten Behandelplan Vertrekpunten voor de opzet en structuur van een FG-werkprogramma AVG-opdracht aan de FG AVG-conforme positionering Multidisciplinaire perspectieven AVG-kernthema s van het FG-werkprogramma Ontologie van het FG-werkprogramma Ondersteuning met benodigde middelen Planning Korte termijn (prioriteitenmatrix van Eisenhower) Lange termijn (maturiteitsmodel) Opzet van een FG-werkprogramma Basisopzet van een FG-werkprogramma Inhoudelijke eisen aan een FG-werkprogramma AVG Andere Unierechtelijke gegevensbeschermingsbepalingen Nederlandsrechtelijke gegevensbeschermingsbepalingen Organisatiespecifieke (interne) regelingen Risico-oriëntatie in het FG-werkprogramma COSO-ERM risicomanagement model Elementen van risicobeheersing FG PRISC-model Reikwijdte van het FG-werkprogramma Succesfactoren voor een professioneel FG-werkprogramma Structuur van een professioneel FG-werkprogramma Basisstructuur van een FG-werkprogramma Zes strategische pijlers van het FG-werkprogramma Pijler 1: informeren en adviseren Pijler 2: toezien op de naleving Pijler 3: samenwerken met de AP 96 6

3 Inhoud Pijler 4: contactpunt voor de Autoriteit Persoonsgegevens Pijler 5: contactpunt voor betrokkenen Pijler 6: andere (optionele) taken Stappenplan voor FG-toezien op AVG-compliance Roadmap opzet en structuur FG-werkprogramma VISIE, MISSIE EN STRATEGIE Inleiding Visie, missie en strategie van een professioneel werkprogramma van de FG Bepalen van de visie van het FG-werkprogramma De missie van het FG-werkprogramma Strategie van het FG-werkprogramma VMS calibratie van het FG-werkprogramma Plan van behandeling van dit hoofdstuk Stakeholders VMS van het FG-werkprogramma De Europese wetgever en VMS van het FG-werkprogramma Europese Commissie en VMS van het FG-werkprogramma De European Data Protection Supervisor (EDPS) De Nederlandse wetgever en VMS van het FG-werkprogramma Europees Comité en VMS van het FG-werkprogramma Autoriteit Persoonsgegevens en VMS van het FG-werkprogramma Beroepsgroep FG S en VMS van het FG-werkprogramma Verwerkingsverantwoordelijke en VMS van het FG-werkprogramma FG ex professio en VMS van het FG-werkprogramma Interne stakeholders en VMS van het FG-werkprogramma Oriëntatietabel FG-werkprogramma: visie, missie en strategie FG-WERKPROGRAMMA: INVENTARISATIE VAN VERWERKINGEN Inleiding Definitie van inventariseren Ratio en doel van inventarisatie Persoonsgegevens behoren tot de DNA van de organisatie Persoonsgegevens en business intelligence Inventariseren van persoonsgegevens in de AVG Algemene AVG-privacy zorgplicht van de verwerkingsverantwoordelijke FG-belang bij het inventariseren van persoonsgegevens Effectueren rechten van betrokkenen Fuik van de privacyabstractie Behandelplan Inventarisatie van persoonsgegevens: doelen en neveneffecten Algemene doelen van een AVG-inventarisatie Compliance (art. 30 lid 1 AVG) Compliance (art. 35 AVG) Nakomen AVG-privacy zorgplicht (art. 5 lid 1 AVG) Effectueren rechten van betrokkenen (hoofdstuk III AVG) Neveneffecten van een AVG-inventarisatie Bevordert privacy awareness (art. 39 lid 1 onder b AVG) 153 7

4 PRAKTIJKBOEK FG - LEIDRAAD VOOR EEN PROFESSIONEEL WERKPROGRAMMA Uitvoeren passende en effectieve maatregelen Verminderen van de kans op een klacht Beperken aansprakelijkheid (art. 82 AVG) Inventarisatie van persoonsgegevens processtappen Stap 1: stel het doel van de inventarisatie vast Stap 2: bepaal de scope van de inventarisatie Stap 3: maak een Data Inventarisatie Template (DIT) Stap 4: identificeer bronnen van persoonsgegevens Stap 5: vul DIT in Personal Data Process Flow (PDPF) Data kwaliteitsmanagement Ondersteuning door IT Inventarisatie van persoonsgegevens Waarom een inventarisatieplan Roadmap van een inventarisatieplan Inventarisatiemandaat Inventarisatieteam Uitvoeren inventarisatieproject Stakeholdersmanagement Evaluatie- en actualisatieplan Eindrapportage (art. 5 lid 2 AVG) Succesfactoren voor een goed inventarisatieplan Rol van de FG bij inventarisatie van persoonsgegevens Oriëntatietabel FG-werkprogramma: AVG-inventarisatie FG-WERKPROGRAMMA: AVG-NULMETING EN AVG-GAP-ANALYSE Inleiding Definities van een AVG-nulmeting en AVG-gap-analyse Ratio van een AVG-nulmeting en AVG-gap-analyse Doelen en neveneffecten van een AVG-nulmeting en AVG-gap-analyse Algemene doelen van een AVG-nulmeting en AVG-gap-analyse Input passend gegevensbeschermingsbeleid (art. 24 lid 2 AVG) Input voor passende en effectieve maatregelen Controle doelbinding (art. 5 lid 1 onder b AVG) Concretiseren AVG-privacy zorgplicht compliance Registerplicht (art. 30 AVG) Beheersen van processen (requirements en controls) Risk management en control Issue management Data Protection Impact Assessment Verantwoordingsplicht (art. 5 lid 2 AVG) Neveneffecten van een AVG-nulmeting en AVG-gap-analyse Bevorderen privacy awareness (art. 39 lid 1 onder b AVG) Bevorderen inzicht in aantal verwerkingen en verwerkingsprocessen Bevorderen inzicht in het belang van verwerkingen voor kernprocessen Bevorderen effectiever toezien door de FG (art. 39 lid 2 AVG) Bevorderen inzicht in benodigde middelen voor de FG (art. 38 lid 2 AVG) 193 8

5 Inhoud Ideaal team voor een AVG-nulmeting en AVG-gap-analyse Managementwaarde van een AVG-nulmeting en AVG-gap-analyse Parameters van de AVG-nulmeting en de AVG-gap-analyse Verschillen tussen een AVG-nulmeting en AVG-gap-analyse Taxonomie van verplichtingen uit hoofde van de AVG Grondrechten en fundamentele vrijheden Definitie van persoonsgegevens AVG-compliance pyramide Belang van de FG bij een AVG-nulmeting en AVG-gap-analyse Behandelplan AVG-nulmeting: processtappen Stap 1: bepaal de doelen van de AVG-nulmeting Stap 2: bepaal de scope van de AVG-nulmeting Stap 3: benoem de bestanddelen van de desbetreffende AVGverplichting(en) Stap 4: stel per bestanddeel de relevante parameters vast (maak een map) Stap 5: stel per parameter vast de actie wel of niet is uitgevoerd Stap 6: bereken de totale compliancewaarden en stel de compliancestatus vast van de AVG-verplichting Leg alle stappen vast in een overzichtelijk verantwoordingsmodel (ABC-model) Maak gebruik van in de organisatie aanwezige kennis en (IT-)expertise Kwaliteitsvraagstukken AVG-nulmeting in perspectief AVG-gap-analyse: processtappen Logische processtappen van een AVG-gap-analyse Vaststellen van het AVG-compliance ambitieniveau (STAP) Per stap aangeguide concrete actie (STIP) STIP AVG-compliance monitor Processtappen van een AVG-gap-analyse Stap 1: bepaal het doel van de AVG-gap-analyse Stap 2: bepaal de scope van de AVG-gap-analyse Stap 3: stel het Gap Analysis Template (GAT) samen Stap 4: vul het AVG-ambitieniveau in het GAT in Stap 5: specificeer de maatregelen in het GAT Stap 6: vul de (uit te voeren) acties in het GAT in Een overzichtelijk AVG-implementatieplan AVG-gap-analyse en data governance Organiseer kennis en (IT) expertise Ratio en geest van AVG-maatregelen en acties AVG-nulmeting en AVG-gap-analyse: roadmap Waarom een roadmap voor de AVG-nulmeting en AVG-gap-analyse? Roadmap van een AVG-nulmeting en AVG-gap-analyse Mandaat voor de AVG-nulmeting en AVG-gap-analyse Samenstellen team voor het uitvoeren van de AVG-nulmeting en AVG-gap-analyse Uitvoeren van de AVG-nulmeting en AVG-gap-analyse 229 9

6 PRAKTIJKBOEK FG - LEIDRAAD VOOR EEN PROFESSIONEEL WERKPROGRAMMA Stakeholdersmanagement Evaluatie en actualisatieplan (EAP) AVG-eindrapportage en AVG-verantwoording (art. 5 lid 2 AVG) Succesfactoren voor een AVG-nulmeting en AVG-gap-analyse Rol van de FG bij een AVG-nulmeting en AVG-gap-analyse Oriëntatietabel FG-werkprogramma: AVG-nulmeting en AVG-gap-analyse FG-WERKPROGRAMMA: AVG-IMPLEMENTATIEPLAN Inleiding AVG-implementatieplan Wat is een AVG-implementatieplan (AIP)? Ratio van een AIP Doelen van een AIP Reikwijdte (scope) van een AIP Logische processtappen van het AIP Ideaal team voor een AIP Managementwaarde van een AIP Belang van de FG bij een goed AIP Behandelplan AIP: doelen en neveneffecten Algemene doelen van een AIP Uitvoeren passend gegevensbeschermingsbeleid (art. 24 lid 2 AVG) Treffen passende en effectieve maatregelen Concretisering en naleving van AVG-beginselen (art. 5 lid 1 AVG) Bewaken van rechtmatige grondslag (art. 6 AVG) Houden van een register van de verwerkingsactiviteiten ex art. 30 AVG Implementeren van AVG-requirements en AVG-controls Realiseren AVG-risk management en control Realiseren AVG-issue management Naleven Data Protection Impact Assessment (DPIA) plicht Naleven AVG-compliance en accountability plicht (art. 5 lid 2 AVG) Neveneffecten van een AIP AIP: processtappen Stap 1: stel een AVG-implementatieteam samen Stap 2: bepaal wat moet worden geïmplementeerd Stap 3: definieer hetgeen moet worden geïmplementeerd Stap 4: ontwerp hetgeen moet worden geïmplementeerd Stap 5: test werking en effectiviteit van de maatregelen Stap 6: bewijsrapportage van de getroffen AVG-maatregelen Een overzichtelijk AIP Organiseer kennis en (IT) expertise AIP: roadmap Waarom een roadmap voor het AIP? Roadmap van een AIP Mandaat en stuurinformatie voor het AIP Operationaliseren van het AIP Managen van verwachtingen van stakeholders Uitvoeren van concrete acties

7 Inhoud Evaluatie en actualisatieplan (EAP) Uitvoeringsrapportage van het AIP (art. 5 lid 2 AVG) Succesfactoren voor een AIP AIP: rol van de FG Oriëntatietabel FG-werkprogramma: AVG-implementatie FG-WERKPROGRAMMA: EVALUATIE EN ACTUALISATIE Inleiding AVG-evaluatie- en actualisatieplan Wat is een AVG-evaluatie- en actualisatieplan (EAP)? Ratio van een EAP Doelen van een EAP Reikwijdte (scope) van een EAP Logische procesfasen EAP Het ideale team voor AVG-evaluatie en -actualisatie Managementwaarde van een EAP Belang van de FG bij een goed EAP Behandelplan EAP: doelen en neveneffecten Algemene doelen van een EAP Realiseren passend en effectief gegevensbeschermingsbeleid (art. 24 leden 1 en 2 AVG) Realiseren passende en effectieve maatregelen Nadere concretisering en naleving van de AVG-privacy zorgplicht (art. 5 lid 1 AVG) Nadere concretisering rechtmatigheid (art. 6 AVG) Realiseren van een actueel register van verwerkingsactiviteiten ex art. 30 AVG Up-to-date beheersen van processen (AVG-requirements en AVG-controls) Realiseren van effectief AVG-risk management en control Realiseren van effectief issue management Effectief naleven Data Protection Impact Assessment (DPIA) verplichting Effectief naleven AVG-compliance en accountability plichten (art. 5 lid 2 AVG) Neveneffecten van een EAP AVG-evaluatieplan (AEP): processtappen Stap 1: stel een AVG-evaluatieteam samen Stap 2: bepaal welke AVG-onderdelen moeten worden geëvalueerd Stap 3: definieer hetgeen moet worden geëvalueerd Stap 4: stel de AVG-evaluatiecriteria vast Stap 5: voer de feitelijke AVG-evaluatie uit Stap 6: rapporteer over de feitelijk uitgevoerde AVG-evaluatie Een overzichtelijk AVG-evaluatieplan (AEP) Organiseer kennis en expertise rondom evaluatie AVG-actualisatieplan (AAP): processtappen Stap 1: stel een AVG-actualisatieteam samen Stap 2: bepaal welke AVG-maatregelen/acties moeten worden geactualiseerd

8 PRAKTIJKBOEK FG - LEIDRAAD VOOR EEN PROFESSIONEEL WERKPROGRAMMA Stap 3: definieer hetgeen moet worden geactualiseerd Stap 4: stel de AVG-actualisatie-eisen vast Stap 5: voer de feitelijke AVG-actualisatie uit Stap 6: rapporteer over de feitelijk uitgevoerde AVG-actualisatie Een overzichtelijk AAP Organiseer kennis en expertise rondom AVG-actualisatie AVG-evaluatie- en actualisatieplan (EAP): roadmap Waarom een roadmap voor het EAP? Roadmap van een EAP Mandaat en stuurinformatie voor het AVG-evaluatie- en actualisatieteam Samenstellen team voor uitvoering van het EAP Inbedden van stakeholdersmanagement Vaststellen risico-oriëntatie in het EAP Tussentijds rapporteren Samenstellen EAP-eindrapportage (art. 5 lid 2 AVG) Succesfactoren voor de goede uitvoering van een EAP AVG-evaluatie- en actualisatieplan (EAP): rol FG Oriëntatietabel FG-werkprogramma: AVG-evaluatie en AVG-actualisatie FG-WERKPROGRAMMA: AVG-ASSURANCE EN AVG-AUDIT Inleiding AVG-assurance en AVG-audit Wat is AVG-assurance en AVG-audit Ratio van AVG-assurance en AVG-audit Doelen van AVG-assurance en AVG-audit Reikwijdte (scope) van AVG-assurance en AVG-audit Logische procesfasen van AVG-assurance en AVG-audit Ideale teams voor AVG-assurance en AVG-audits Managementwaarde van AVG-assurance en AVG-audits Belang van de FG bij AVG-assurance en AVG-audits Behandelplan AVG-assurance en AVG-audits: doelen en neveneffecten Algemene doelen van AVG-assurance en AVG-audits Nalevingscontrole passend en effectief gegevensbeschermingsbeleid (art. 24 leden 1 en 2 AVG) Nalevingscontrole passende en effectieve maatregelen Nalevingscontrole concretisering en naleving algemene AVG-zorgplicht (art. 5 lid 1 AVG) Nalevingscontrole concretisering rechtmatigheid (art. 6 AVG) Nalevingscontrole actueel register ex art. 30 AVG Nalevingscontrole beheersen van processen (AVG-requirements en AVG-controls) Nalevingscontrole effectief AVG-risk management & control Nalevingscontrole effectief AVG-issue management Nalevingscontrole Data Protection Impact Assessment (DPIA) verplichting Nalevingscontrole verantwoordingsplicht (art. 5 lid 2 AVG) Neveneffecten van AVG-assurance en AVG-audit

9 Inhoud 9.3 AVG-assurance: processtappen Stap 1: stel een AVG-assuranceteam samen Stap 2: bepaal het subject van de AVG-assurance Stap 3: stel de scope van de AVG-assurance vast Stap 4: stel de te hanteren AVG-toetsingcriteria vast Stap 5: voer de feitelijke AVG-assurance-activiteiten uit Stap 6: rapporteer over de uitgevoerde AVG-assurance-activiteiten Een overzichtelijk AVG-assuranceplan Organiseer kennis en expertise rondom AVG-assurance AVG-assurance: roadmap Waarom een roadmap voor AVG-assurance? Roadmap AVG-assurance Mandaat voor AVG-assurance Samenstellen AVG-assuranceteam Inbedden van AVG-stakeholdersmanagement Vaststellen risico-oriëntatie AVG-assurance Tussentijds rapporteren over AVG-assurance Samenstellen eindrapportage AVG-assurance (art. 5 lid 2 AVG) Succesfactoren voor de goede uitvoering van AVG-assurance AVG-audit: processtappen Stap 1: stel een AVG-auditteam samen Stap 2: bepaal het subject van de AVG-audit Stap 3: stel de scope van de AVG-audit vast Stap 4: stel de te hanteren AVG-auditcriteria vast Stap 5: voer de feitelijke AVG-auditactiviteiten uit Stap 6: rapporteer over de uitgevoerde AVG-auditactiviteiten Een overzichtelijk AVG-audit(stappen)plan Organiseer kennis en expertise rondom de AVG-audit AVG-audit: roadmap Waarom een roadmap voor AVG-audits? Roadmap van de AVG-audit Mandaat voor het uitvoeren van de AVG-audit Samenstellen AVG-auditteam Inbedden van AVG-stakeholdersmanagement Vaststellen risico-oriëntatie van de AVG-audit Tussentijds rapporteren over de AVG-audit Samenstellen eindrapportage van de AVG-audit (art. 5 lid 2 AVG) Succesfactoren voor de goede uitvoering van AVG-audits AVG-assurance en AVG-audits: rol van de FG (DPO) Oriëntatietabel FG-werkprogramma: AVG-assurance en AVG-audit FG-WERKPROGRAMMA: VERANTWOORDING EN RAPPORTAGE Inleiding verantwoording en rapportage in de AVG Een Verantwoording en Rapportageplan (VRP) Ratio van een VRP Doelen van een VRP Reikwijdte (scope) van een VRP

10 PRAKTIJKBOEK FG - LEIDRAAD VOOR EEN PROFESSIONEEL WERKPROGRAMMA Logische procesfasen van een Verantwoording en Rapportageplan Managementwaarde van een VRP Belang van de FG bij een VRP Behandelplan VRP: doelen en neveneffecten Algemene doelen van een VRP Ex professio rechtstreeks verslag doen Inzicht in FG-verwachting: passend gegevensbeschermingsbeleid Inzicht in FG-verwachting: passende en effectieve maatregelen Inzicht in FG-verwachting: concretisering en naleving van beginselen Inzicht in FG-verwachting: rechtmatigheid van verwerkingen Inzicht in FG-verwachting: register van verwerkingsactiviteiten Inzicht in FG-verwachting: evaluatie en actualisatie Inzicht in FG-verwachting: AVG-risk management en control Inzicht in FG-verwachting: AVG-issue management Inzicht in FG-verwachting: DPIA verplichtingen Neveneffecten van een VRP AVG-verantwoording en rapportage: processtappen Stap 1: Bepaal het subject van de verantwoordingsrapportage Stap 2: Benoem en benader de stakeholders van de FGverantwoordingsrapportage Stap 3: Bepaal de scope van de FG-verantwoordingsrapportage Stap 4: Stel een eerste concept samen van de FGverantwoordingsrapportage Stap 5: Betrek alle AVG-stakeholders Stap 6: Stel de eindversie op van de FG-verantwoordingsrapportage Verantwoording en rapportage: aandachtspunten voor de FG Oriëntatietabel FG-werkprogramma: VRP 402 LITERATUUR 419 TREFWOORDENREGISTER 423 BIJLAGEN Algemene verordening gegevensbescherming (AVG), Officiële Nederlandse vertaling, Publicatieblad van de Europese Unie, L119 ( ) WP 243 rev.01, Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO), 05 April WP 243 rev.01, Guidelines on Data Protection Officers ( DPOS ), 05 April AEPD, DPO CERTIFICATION SCHEME (SPANJE)