Privacymanagement as-a-service menu

Home/Diensten/Privacymanagement as-a-service/Privacymanagement as-a-service menu
Privacymanagement as-a-service menu2020-04-06T19:30:50+02:00
Privacy Management as a Service voor AVG compliance

Het Privacy Management as-a-service menu

Voorgerechten

Quickscan

De eerste stap in uw AVG compliance, en het enige voorgerecht, is de AVG quickscan. Dit wordt ook wel een nulmeting, gap analyse of risicoanalyse genoemd. Moja Rada helpt bij het verkrijgen van controle over gegevens, processen, infrastructuur, applicaties, datastromen, dataportabiliteit en veiligheid. Hierbij wordt de analyse voornamelijk uitgevoerd door het houden van interviews en workshops. De basis van de quickscan is een 7-stappenplan, waarin de volgende artikelen uit de AVG uitgebreid worden besproken:

  1. Bijhouden van registraties van verwerkingsactiviteiten (artikel 30);
  2. Technische en organisatorische beveiligingsmaatregelen (artikel 32);
  3. De verwerking van speciale categorieën van persoonsgegevens (artikel 9);
  4. De DPIA – Gegevensbeschermingseffectbeoordeling (artikel 9);
  5. Privacy by Design en Privacy by Default (artikel 25);
  6. Benoeming van een Functionaris voor gegevensbescherming (artikel 37);
  7. Melding van datalekken aan autoriteiten (artikel 33) en melden van datalekken voor betrokkenen (artikel 34).

Naast bovengenoemde stappen worden onderwerpen als bekendheid in de organisatie, toestemming en rechten van betrokkenen (personen van wie de gegevens door uw organisatie worden verwerkt of opgeslagen), verwerkingsovereenkomsten met derden en de rol van toezichthoudende toezichthouder ook besproken. Het resultaat van de quickscan wordt uitgewerkt in een managementsamenvatting, waarin een impactanalyse, aanbevolen stappenplan en een overzicht van adviezen en te nemen acties is opgenomen.

Moja Rada - Privacymanagement as-a-service

Hoofdgerechten

Projectmanagement

Hierbij wordt uw AVG project door Moja Rada aangestuurd en uitgevoerd. Projectmanagement is aan te bevelen bij complexere projecten, als er bijvoorbeeld vakinhoudelijke projectmedewerkers moeten worden aangestuurd. Of derde partijen begeleid moeten worden. Kwaliteit, tijd en middelen zijn hierbij kernwoorden.

Bewustwording

Het geven van workshops aan leidinggevenden of afdelingen om dieper in te gaan op de te nemen maatregelen in uw organisatie met betrekking tot de AVG. De deelnemers krijgen een goed inzicht en worden tevens bewust gemaakt van de technische kant van de wet- en regelgeving. Waarom een goed wachtwoord belangrijk is, wat encryptie inhoudt en dat een wachtwoord op een Excelbestand met persoonsgegevens een begin is, maar zeker geen technische beveiliging zoals bedoeld in de wet.

Ontwerpen van processen

Privacybeleid

Moja Rada biedt ondersteuning bij het opstellen van het privacybeleid, waarbij onderwerpen als bewustwording, reikwijdte, governance en juridisch kader aan de orde komen.

Procedures

Niet voor alle processen hoeft een procedure geschreven te worden. Richtlijn is dat zaken die ‘vanzelf’ goed gaan, bijvoorbeeld omdat het automatisch geregeld wordt of omdat er een onderhoudscontract voor is afgesloten, niet uitgeschreven hoeven te worden.

Communiceren en borgen

Van ontwerp tot het opzetten van een project gaat over het algemeen goed. Maar de moeilijkheid zit in de staart, de implementatie en het borgen. Moja Rada communiceert over risico’s en borgen de processen en maatregelen binnen uw organisatie.

Coördineren en faciliteren

Verwerkingsregister

In een verwerkingsregister brengt u uw verwerkingen van persoonsgegevens in kaart, waarbij ook een functionaliteit aanwezig moet zijn om deze beheren en te rapporteren. U kunt zelf een sjabloon maken in bijvoorbeeld Excel, waarin de benodigde gegevens worden vastgelegd, maar er zijn ook slimme tools in de markt die het denkwerk al voor u hebben gedaan. Bespaar tijd – en indirect ook geld – door gebruik te maken van zo’n tool. Voordeel is ook dat u direct aan de slag kunt met het vullen van het register. Voor het opzetten van een verwerkingsregister, maar ook bij een selectieproces en de implementatie van een externe tool, kunt u rekenen op ondersteuning.

Functionaris voor de gegevensbescherming (FG)

Als uw organisatie verplicht is een Functionaris voor de gegevensbescherming (FG), of Data Protection Officer (DPO) in het Engels, aan te stellen, kan Moja Rada helpen bij de positionering van deze functie. Is uw bedrijf van een dusdanige grootte dat niet een volledige functie geboden kan worden, dan kunt er ook voor kiezen deze rol op interimbasis te laten uitvoeren.

Data Protection Impact Assessment (DPIA)

Als verantwoordelijke moet u een Data Protection Impact Assessment (DPIA) uitvoeren wanneer uw gegevensverwerking een hoog privacyrisico oplevert. Verplichting hiertoe wordt beoordeeld tijdens een quickscan. Ook hiervoor geldt, dat u de beoordeling op interimbasis kunt laten uitvoeren.

Meldplicht datalekken

Deze procedure beschrijft hoe te handelen binnen uw organisatie, indien er sprake is van een datalek of wanneer een datalek vermoed wordt. De meldplicht is eveneens van toepassing als het datalek bij een derde is ontstaan, bijvoorbeeld een bewerker van persoonsgegevens. De beschrijving van de procedure is mede gebaseerd op de beleidsregels van de Autoriteit Persoonsgegevens (AP).

Verwerkersovereenkomsten

De verwerkersovereenkomst is de juridische borging tussen de verantwoordelijke en verwerker met betrekking tot het omgaan met persoonsgegevens. Wordt hierbij een standaarddocument gebruikt, dan is het de uitdaging dit te laten aansluiten bij de werkelijke situatie en de daarnaast bestaande documenten, zoals SLA of licentieovereenkomst. Voor het afsluiten en beheren van verwerkersovereenkomsten met derde (externe) partijen kunt u van onze diensten gebruik maken. Indien een verwerkersovereenkomst op maat gemaakt moet worden kan, indien nodig, een jurist of advocaat worden ingeschakeld.

Nagerechten

Budgetcontrole

Wat is budgetcontrole? U maakt vooraf de afspraak over de hoogte van uw te besteden budget: de budgetgrens. In een financieel rapport worden de werkelijke kosten en het budget periodiek – bijvoorbeeld maandelijks vergeleken, zodat verschillen tijdig vastgesteld en geanalyseerd kunnen worden. Het management kan hierna beoordelen, evalueren en sturing geven. Door het management by exception-principe toe te passen, wordt slechts ingegrepen indien er relevante verschillen bestaan tussen gebudgetteerde en werkelijke gegevens. Alleen als de verschillen belangrijk zijn, leidt dit tot bijsturing.

AVG compliance op herhaling

Uw organisatie moest niet alleen op 25 mei 2018 compliant zijn, maar ook de jaren hierna. Daarom is het belangrijk om periodiek de ingevoerde maatregelen te toetsen en uw (nieuwe) personeel te trainen door middel van bijvoorbeeld workshops.

Fastfood is populair omdat het handig is, goedkoop en goed smaakt. Maar de echte kosten van het eten van fast food verschijnen nooit op het menu.

Ik wil meer weten over Privacy Management as-a-service
Home/Diensten/Privacymanagement as-a-service/Privacymanagement as-a-service menu