Privacy Management Systeem. Ontzorgt bij de implementatie van de Algemene Verordening Gegevensbescherming Implementatie-streams Uitvoer Beheer

Transcriptie

1 Privacy Management Systeem Ontzorgt bij de implementatie van de Algemene Verordening Gegevensbescherming Implementatie-streams Uitvoer Beheer

2

3 De AVG, een uitdaging voor uw organisatie Per 25 mei 2018 is de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), van toepassing. Vanaf deze dag geldt eenzelfde privacywetgeving in de gehele Europese Unie (EU). Het implementeren van de AVG kan de nodige uitdagingen met zich meebrengen voor uw organisatie. Die uitdagingen zitten niet alleen in de wet zelf, maar kunnen ook ontstaan door beperkte middelen, gefragmenteerde beleidsstukken of gedateerde processen. Ook de omvang en de impact van de AVG zal veel inspanning vragen van medewerkers, projectleiders, functionarissen en bestuurders. Daarnaast kunt u ook tijdens de implementatie ondervinden dat er nog vragen zijn waar snel actie op ondernomen moet worden. Wellicht herkent u dan ook één van de volgende vraagstukken: Hoe vertaal ik de AVG naar mijn organisatie? Hoe houd ik tijdens de implementatie en daarna overzicht over alle thema s en procedures? Hoe waarborg ik kwaliteit en blijf ik up-to-date? Van uitdaging naar oplossing Door de komst van de AVG wordt u verplicht een privacybeleid in te voeren waarmee u waarborgt dat alle persoonsgegevens zorgvuldig en naar behoren worden verwerkt. Een goed opgezet privacybeleid biedt een oplossing voor deze uitdagingen en vormt de verbinding tussen alle beleidsthema s, processen en procedures die voortkomen uit de AVG. Door te beschrijven hoe u met privacy wilt omgaan krijgt u een middel in handen waarmee u kunt sturen en zich kunt verantwoorden. Bovendien helpt coherent beleid uw medewerkers bij de uitvoer van hun taken. Een privacybeleid is niet in één dag opgezet. Door het proces te vereenvoudigen kunnen we u helpen uw beleid praktisch en efficiënt in te richten. De hoeveelheid wettelijke eisen, samenhangende processen en het aantal betrokken organisatieafdelingen en medewerkers vraagt om een systeem dat de opzet, inrichting en implementatie van uw privacybeleid ondersteunt. In onze visie moeten projectleiders en medewerkers hierbij geholpen worden met content, best practices en een inrichting die eenvoudig is in gebruik en makkelijk te beheren is. Vanuit dit gedachtegoed ontwikkelden we het Privacy Management Systeem (PMS), beschikbaar in een toegankelijk portal. Als u al gebruiker bent van ons Handboek Informatieveiligheid (ISMS) dan bent u al bekend met de opzet en gebruiksvriendelijkheid. Wat vindt u in deze brochure? We nemen u stapsgewijs mee in het implementatieproces dat leidt tot het privacybeleid zoals de AVG dat van u verlangt. Tevens laten we zien hoe het Privacy Management Systeem (PMS) helpt bij het neerzetten van volwaardig proces en een forse tijdsbesparing kan opleveren. Tot slot laten we zien hoe u met het PMS niet alleen klaar bent voor mei 2018, maar ook hoe u in de jaren daarna aan de AVG kunt voldoen. Direct aan de slag met het Privacy Management Systeem? U kunt binnen een dag aan de slag. Ga naar of neem contact met ons op via info@safeharbour.nl

4 Het Privacy Management Systeem van SafeHarbour Onze expertise, uw kennis SafeHarbour is een vertrouwde speler op het gebied van privacy, security en audit in het publieke domein. Zo bieden we gemeenten het Handboek Informatieveiligheid (ISMS) aan in samenwerking met implementatiepartner BMC. Vanuit de input van onze klanten en onze kennis over het publieke domein hebben het Privacy Management Systeem (PMS) ontwikkeld als aanvulling op eerdere managementsystemen voor FG s en CISO s bij gemeenten en zorg.. Wat vindt u in het PMS? Het PMS bevat alle relevante content op gebied van de AVG en laat u zien hoe en waarom u bepaalde regels moet toepassen. Tevens bevat het alle procedures, verplichte documentatie en registers, die nodig zijn om verantwoording af te leggen. Het zorgt ervoor dat u zelf geen procedures hoeft te bedenken en te schrijven en dat zal u derhalve een forse tijdsbesparing opleveren. Eenvoudig in gebruik De interface en functionaliteiten zijn zeer gebruiksvriendelijk. Net als het Handboek Informatieveiligheid (ISMS), wordt het PMS u aangeboden op het platform van Scienta. SafeHarbour heeft gekozen voor het Nederlandse Scienta, omdat zij al jaren de trendsetter is op het gebied van kennisontsluiting en samenwerking. Scienta biedt de mogelijkheid om eenvoudig beleid, processen en procedures vast te leggen en te delen. Door de opzet is alle informatie eenvoudig te vinden, te relateren en indien gewenst te exporteren. Binnen een dag aan de slag Iedere organisatie kan binnen een dag aan de slag met het PMS. Het PMS is in abonnementsvorm beschikbaar binnen de Scienta-omgeving. Bent u een van de ruim organisaties die al met Scienta werken? Dan haalt u uw licentie eenvoudig binnen. Nog geen Scienta-gebruiker? De SaaS-omgeving kan binnen één dag beschikbaar gesteld worden. Wilt u meer weten over het PMS of direct aan de slag dan kunt u contact met ons opnemen via info@safeharbour.nl

5

6

7 Het Privacy Management Systeem is voor beginners én experts Iedereen kan met het PMS werken De AVG is geen gemakkelijke wet. Het PMS is zo opgezet dat iedereen met enige kennis van privacy en enige projectervaring aan de slag kan. Om u op weg te helpen, hebben we de tien belangrijkste thema s van de AVG voor u uitgewerkt in praktische stappenplannen en ondersteunende artikelen. Niet weten welk thema als eerste aan te pakken? Het PMS bevat hulpmiddelen zoals checklists waarmee u eenvoudig prioriteiten kunt stellen. Met het PMS willen we functionarissen en organisaties maximaal ondersteunen. Dat gaat verder dan content alleen. Zo bevat de portal van het PMS praktische handreikingen, webinars en toelichtende filmpjes. Bovendien kunt u altijd een beroep doen op SafeHarbour en onze implementatiepartners om op weg geholpen te worden of voor langere ondersteuning. Ondersteuning van de Functionaris Gegevensbescherming (FG) Omdat privacywetgeving dynamisch is en regelmatig verandert, wordt het PMS ondersteund en up-todate gehouden door ons team van privacy experts en implementatiepartners. U wordt automatisch geïnformeerd over updates en aanpassingen in het PMS. Bij belangrijke jurisprudentie of onjuistheden wordt u zo snel mogelijk geïnformeerd. Wanneer dat mogelijk is wordt de content aangepast of al voor u ingevuld in het PMS. Als Functionaris Gegevensbescherming hoeft u wijzigingen dan alleen nog te accorderen. Het PMS fungeert als extra paar ogen bij het up-to-date houden van uw organisatie. Een hele geruststelling. Ondersteuning van de Chief Information Security Officer (CISO) Informatiebeveiliging is cruciaal voor de bescherming van persoonsgegevens. Op dit onderwerp moeten de Fuctionaris Gegevensbescherming en de CISO elkaar kunnen vinden. Het PMS verbindt de eisen van het privacydomein aan het domein van informatieveiligheid. Zo bevat het PMS een overzicht van alle BIG-normen die relevant zijn voor de bescherming van persoonsgegevens. Als u het Handboek Informatieveiligheid (ISMS) gebruikt zijn de uitwerkingen van maatregelen direct oproepbaar. Meer weten over deze verbinding tussen privacy en informatieveiligheid? Neem contact op met een van onze experts. PMS heeft gebruikerservaring als uitgangspunt Ook als u geen FG of CISO in huis hebt kunt u met het PMS aan de slag! Bij het ontwikkelen van het PMS zijn we ervan uitgegaan dat gebruiksvriendelijkheid en kennisdeling essentieel zijn voor alle organisaties die het PMS gebruiken. Alle organisaties die persoonsgegevens verwerken krijgen met de AVG te maken en daarom is het niet nodig om elke keer het wiel opnieuw uit te vinden. Samen met onze implementatiepartners stellen we onze best practices beschikbaar voor alle abonnees. Ook u als gebruiker kunt kennis delen en beschikbaar stellen aan collega s buiten uw organisatie. Als afnemer van het PMS bent u automatisch lid van onze community van gebruikers, implementatiepartners en vakexperts. Door middel van bijeenkomsten en webinars delen we kennis en inzichten en versterken de gebruikerservaring van het PMS. Voldoen aan de AVG? Een kwestie van samenwerken.

8 Hoe werkt het Privacy Management Systeem Volledige ondersteuning van implementatie tot beheer Het PMS ondersteunt u van de implementatie van de AVG tot het beheren van uw privacybeleid en bestaat uit drie gedeelten: Een implementatiedeel met implementatiestreams die u door de AVG leiden Een gedeelte waarin uw beleid en onderliggende documenten ontwikkelt Een gedeelte voor beheer en onderhoud Het PMS biedt een complete vertaling van de AVG naar procedures, verplichte documentatie en registers. Artikelen worden ondersteund met achtergrondartikelen, die u helpen bij het nemen van passende beleidskeuzes. Het PMS sluit aan op uw behoeften in de verschillende stadia van groei. Bent u klaar voor de implementatie? U kunt vandaag nog beginnen te onderzoeken of u uw huidige processen, contracten en beleid moet aanpassen om te voldoen aan de AVG. Een functionaris voor gegevensbescherming of projectgroep kan vaststellen welke thema s aangepakt dienen te worden. Als vertrekpunt kunt u onderstaande vragen stellen om te inventariseren waar uw organisatie nu staat: Hoe ziet ons huidige beleid eruit? Op welke thema s moeten we onze organisatie voorbereiden of aanpassen? Voldoen onze processen en het huidige beleid aan de strengere eisen van de AVG? Zijn alle contracten met verwerkers voorhanden en van de juiste kwaliteit? Zijn we verplicht om een Functionaris voor Gegevensbescherming (FG) aan te stellen en waar plaatsen we deze persoon in de organisatie? Hoe kan de FG samenwerken met andere beleidsmedewerkers of de Chief Information and Security Officer (CISO) en wat zijn de belangrijkste taken? Het beantwoorden van deze vragen geeft u een goede indruk van de omvang en thema s die centraal staan in een implementatie. Als u het PMS wilt benutten voor uw implementatie dan kunt u deze bij ons aanvragen en activeert u het abonnement. Hoe ga ik vervolgens aan de slag? Iedere implementatie start met het op maat maken van het PMS voor uw organisatie. U geeft uw projectleden of andere betrokkenen toegang tot het PMS. Zij kunnen artikelen toevoegen, aanpassen en samenwerken bij het opstellen van documenten. Het platform is zo ingericht dat veel-voorkomende benamingen en termen eenvoudig aan te passen zijn. Deze benamingen en termen worden vervolgens in elk document aangepast. Op naar de 10 thema s van de AVG Als u snel aan de slag wilt met de implementatie kunt u aan de slag met de implementatiestreams. Hiermee doorloopt u de AVG aan de hand van tien thema s. Ieder thema is uitgewerkt in een stappenplan en is aangevuld met ondersteunende artikelen. Ook relevante processen en verplichte registers ontbreken niet. Een overzicht van de inhoud van de tien thema s vindt u verderop in deze brochure.

9 Opzetten en uitvoeren van privacybeleid Uw privacybeleid opzetten Alle resultaten van de implementatie neemt u op in uw privacybeleid. Het beleid zal hierna verder uitgewerkt moeten worden en vraagt veel tijd van een organisatie. Met het PMS kunt u echter een forse tijdsbesparing behalen. Het beleid omvat naast het beleidskader ook uitwerkingen van alle onderliggende procedures, bijlagen en beleidskeuzes. Dit geeft u de mogelijkheid om op een eenvoudige manier procedures aan te passen in plaats van te bedenken hoe deze geschreven moeten worden. Heeft u al veel werk verricht en zijn meerdere documenten gereed? Dan neemt u die processen gewoon op in het PMS zodat ze eenvoudig beheerd kunnen worden. Uw gebruikers Wanneer artikelen, processen of beleid voldoende ontwikkeld zijn kunnen deze geaccordeerd en gepubliceerd worden. Gebruikers zien nieuwe of aangepaste artikelen in de portal. Door de structuur wordt alle informatie op een toegankelijke wijze beschikbaar gesteld. Bang voor een informatieoverload? Met de rechtenstructuur zien gebruikers alleen een selectie van artikelen die voor hen relevant zijn. Uitvoering en continue verbetering Na de implementatie volgt een periode van uitvoering en continue verbetering. De implementatie verlaat de projectfase. De producten kunnen door alle betrokkenen worden gebruikt. Zorg voor een korte introductie, zodat iedereen weet van het bestaan van het PMS en leg relaties met het ISMS of andere handboeken. Richt het systeem daarnaast zo in dat u automatisch een reminder ontvangt om de controletaken uit te voeren. Leg het beheer van bepaalde procedures bij de relevante afdelingen. Op die manier kan iedereen samenwerken in dezelfde omgeving en gebruikt men altijd de laatste versie. Eenvoudig beheer en onderhoud volgens internationale normen De AVG vraagt u aan te tonen dat u de eisen van de wet naleeft. Dit vraagt om periodiek onderhoud, een duidelijk overzicht en een manier om de naleving aan te tonen. Om ervoor te zorgen dat u het beheer goed kunt uitvoeren hebben we een beheer en onderhoudsomgeving opgenomen die hier specifiek voor bedoeld is. Deze is gestructureerd volgens de ISO19600 norm (compliance managementsystemen). Wie al werkt met ISO9001 (kwaliteit) of ISO27001 (informatieveiligheid) kent de methodiek van de PDCA-cyclus. Met deze structurele aanpak is verantwoording eenvoudig. Het PMS bevat een volledig uitgewerkte beheerstructuur. Door middel van automatische meldingen krijgen beheerders en gebruikers een seintje wanneer controletaken uitgevoerd moeten worden. Het (voorbeeld)jaarverslag van de FG is ook opgenomen en kan snel naar eigen wens worden opgemaakt. Naast het PMS kunnen we u ook uitgebreid ondersteunen bij het opzetten en inrichten van goed beheer volgens een internationale norm. Neem contact op met SafeHarbour of uw implementatiepartner voor meer informatie.

10 Het tienpuntenplan AP voor een snelle implementatie van de AVG Het PMS is een ideale versneller voor de implementatie van de AVG. Aan de hand van tien thema s doorloopt u de AVG. Ieder thema bevat een stappenplan, aanvullende documenten en de verplichte documenten en registers. Met een handige checklist kunt u direct zien welke thema s meer actie verlangen. De verdere implementatie en uitwerking van het beleid en processen wordt ondersteund door het privacybeleid en de ondersteunende artikelen. Als u met de implementatiestreams werkt krijgt u antwoord op de volgende vragen: 1. Bewustwording Zijn relevante stakeholders op de hoogte van de nieuwe privacyregels en hun mogelijke impact? Stellen de verantwoordelijke personen voldoende middelen beschikbaar voor een aanpassingstraject? 6. Functionaris voor de gegevensbescherming Is een functionaris voor de gegevensbescherming aangesteld? Is de rolverdeling tussen de FG en andere functionarissen zoals de CISO duidelijk benoemd? 2. Rechten van betrokkenen Kunnen betrokkenen hun rechten op basis van de wet uitoefenen? Kunnen betrokkenen hun versterkte rechten op basis van de AVG uitoefenen? Kunnen betrokkenen hun nieuwe rechten (zoals dataportabiliteit) uitoefenen? Kunt u per verwerking aantonen dat in overeenstemming met de AVG wordt gewerkt? 3. Overzicht verwerkingen Zijn alle verwerkingen en hun grondslagen in kaart gebracht? Kunt u per verwerking aantonen dat in overeenstemming met de AVG wordt gewerkt? 4. Data protection impact assessment (DPIA) Is in kaart gebracht waar (mogelijk) verwerkingen met een hoog risico plaatsvinden? Worden indien nodig DPIA s uitgevoerd? 5. Privacy by design & privacy by default Is duidelijk wat de termen privacy by design en privacy by default inhouden? Zijn deze termen vertaald naar beleid voor de organisatie? Wordt privacy by default en privacy by design toegepast bij alle projecten, veranderingen en situaties waar deze toegepast behoren te worden? 7. Meldplicht datalekken Zijn maatregelen genomen om te kunnen voldoen aan de meldplicht datalekken? Is het register datalekken aangepast om te voldoen aan de uitgebreide eisen van de AVG? 8. Verwerkersovereenkomsten Is duidelijk welke leveranciers tevens verwerkers zijn? Is met alle verwerkers een overeenkomst gesloten? Zijn de maatregelen die opgenomen zijn in de overeenkomsten toereikend om te voldoen aan de vereisten van de AVG? 9. Leidende toezichthouder Is duidelijk onder welke toezichthouder de organisatie valt? 10. Toestemming I s bekend voor welke verwerkingen toestemming de grondslag vormt? Voldoen alle verzoeken om toestemming aan de verscherpte eisen van de AVG? Zijn maatregelen getroffen om een gegeven toestemming in te kunnen trekken?

11 Aan de gang met het PMS Mei 2018 is nog maar enkele maanden verwijderd. Met het gebruik van het PMS kunt u binnen 2 maanden al flink op weg, of wellicht zelfs al klaar zijn. U zult merken dat de content en de beheerstructuur ervoor zorgen dat privacy wordt ingebed in de organisatie. Uw organisatie groeit door naar het gewenste volwassenheidsniveau. Wat levert het PMS u op? Het PMS versnelt de implementatie aanzienlijk door de structuur, processen en templates. Bovendien vergroot het PMS de kwaliteit van de implementatie. In plaats van het bedenken en uitschrijven van procedures past u ze nu eenvoudig aan. De besparing door het gebruik van PMS is eenmalig minimaal drie maanden voor de eerste opzet van het privacybeleid en alle onderliggende stukken. Daarna scheelt het PMS u per jaar minimaal vier werkweken voor het bijwerken van aanpassingen in weten regelgeving, de informatie vanuit de Artikel 29-werkgroep of de VNG. Overweegt u ook om aan de slag te gaan met het Handboek Informatieveiligheid (ISMS) of andere producten van SafeHarbour, dan is een gesprek voor een bundelaankoop wellicht interessant. Wij zijn u graag van dienst. PMS aanschaffen zonder beheer Wilt u het PMS benutten, maar is het inrichten van beheer voor uw organisatie nog een stap te ver? Het is altijd mogelijk om delen van het PMS tijdelijk niet te tonen en later aan te zetten. De implementatiestreams helpen u snel op weg met het stappenplan. Zodra u een goede start hebt gemaakt, gaat u verder met het beleid en overige processen. Afhankelijk van welk thema u behandelt publiceert u dat onderdeel. Bent u zover dat u het privacybeleid in beheer wilt nemen? Met een druk op de knop activeert u de betreffende artikelen. Wilt u direct aan de slag? Neem contact met ons op via info@safeharbour.nl.

12 SafeHarbour B.V. B. Building - B2 John M. Keynesplein EP Amsterdam info@safeharbour.nl