Privacy (AVG)

Verschillende Europese verordeningen, zoals de Algemene Verordening Gegevensbescherming (AVG) en de ePrivacyverordening (ePV), stellen eisen aan de wijze waarop organisaties binnen én buiten Europa om dienen te gaan met privacygevoelige gegevens. Organisaties zijn zelf verantwoordelijk om zich aan de geldende regels te houden én moeten ook kunnen aantonen dat ze dat doen.

Dit betekent onder andere dat organisaties verschillende administratieve taken dienen te verrichten, meerdere processen en procedures moeten implementeren, én een passend beveiligingsniveau moeten borgen. Een goede invulling vereist dus niet uitsluitend juridische expertise, maar ook verstand van informatiebeveiliging. Het niet voldoen aan de regels kan resulteren in hoge boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet opgelegd door de Autoriteit Persoonsgegevens.

Privacybeleid

In een privacybeleid legt een organisatie vast op welke wijze zij wil voldoen aan de geldende wet- en regelgeving op het gebied van privacy. Hierbij wordt uitgegaan van het ambitieniveau van een organisatie, zonder de essentie uit het oog te verliezen. Ook zorgt een privacybeleid voor een gemeenschappelijk begrippenkader, waardoor er minder misverstanden ontstaan of deze sneller worden ontdekt.

Nadat een privacybeleid is opgesteld dient dit te worden geïmplementeerd. Het in de praktijk toepassen van het eigen privacybeleid vindt doorgaans gefaseerd en projectmatig plaats. Vergeet niet dat het toepassen van beleid er vaak voor zorgt dat het beleid verder wordt aangescherpt. Mensen hebben namelijk vaak de neiging om pas echt over dingen na te gaan denken wanneer ze er in de praktijk mee worden geconfronteerd.

Net zoals informatiebeveiliging is privacy compliance geen eenmalige inspanning maar een continu proces. Nieuwe of veranderende wetten en regels, maar ook uitspraken van rechters (jurisprudentie) die gevolgen hebben voor eerdere interpretaties, zullen wijzigingen in de privacyaanpak van een organisatie tot gevolg hebben. Beleidsdocumenten en procedures zijn daarom ook onderhevig aan veranderingen.

AVG compliance scan

Met behulp van een AVG compliance scan wordt gecontroleerd in hoeverre een organisatie voldoet aan de eisen die AVG aan organisaties stelt. Bevindingen worden vastgelegd in een rapport en voorzien van een concreet verbeteradvies. Indien wenselijk kan de te hanteren norm worden bijgesteld, zodat deze in lijn is met het ambitieniveau van de organisatie.

ISO 27701

ISO 27701 is een uibreiding op de ISO 27001 waardoor de juiste omgang met persoonsgegevens (Privacy Indentifiable Information – PII) kan worden geborgd vanuit hetzelfde managementsysteem. Het Information Security Management System (ISMS) wordt door deze uitbreiding dus ook een Privacy Information Management System (PMIS). Ook voor de ISO 27002 zijn aanvullende eisen uitgewerkt, waardoor de ISO 27701 best-practices definieert voor een goede omgang met privacygevoelige gegevens in de praktijk. Aangezien veel baselines zijn gebaseerd op de ISO 27002, kunnen deze baseline worden uitgebreid met specifieke privacymaatregelen.