Categorie: Tips & tricks

Blogserie Wat maakt een goede FG? – Risicosturing

Deze tweede blog in de reeks ‘Wat maakt een goede FG?’ gaat over risicosturing. Dat klinkt paniekerig, maar juist een goede FG weet risico om te keren in rust en houvast. We zien hoe onmisbaar de objectieve beoordeling is die in de AVG wordt voorgeschreven – om er ver­volgens achter te komen dat je zonder de Schaal van Erg nooit objectief genoeg kunt zijn. Dus: hoe erg is bijvoorbeeld een smoelenboek? En hoeveel prioriteit verdient zoiets? Gelukkig is er altijd nog de PIA om dat grondig uit te zoeken. En lang leve de Schaal van Erg als je de FG van een verwerker bent.

Deze blog voor functionarissen voor gegevensbescherming (data protection officers) is de tweede in een korte reeks.

Benieuwd naar het hele artikel, inclusief een praktische Schaal van Erg? Lees hier de blog als PDF.

Heeft u nog vragen over het FG-schap? U kunt in het onderstaande formulier uw reactie achterlaten. Wilt u geen blog meer missen? Abonneer u dan op de PMP-nieuwsbrief of volg Privacy Management Partners op Twitter of LinkedIn.

To notify or not to notify: Wanneer moet een datalek gemeld worden aan de Autoriteit Persoonsgegevens?

Met ingang van de nieuwe privacywet de Algemene Verordening Gegevensbescherming (hierna AVG) komt er heel veel op organisaties af. De AVG bevat nieuwe eisen en een aantal aangescherpte eisen omtrent de verwerking van persoonsgegevens. Eén van die eisen is de meldplicht datalekken[1]. Organisaties die een datalek hebben die persoonsgegevens bevat, moeten deze melden bij het meldloket van de Autoriteit Persoonsgegevens (hierna AP) en soms ook aan de betrokkenen van wie de persoonsgegevens zijn gelekt. Het doel van de meldingsplicht is o.a. de algemene verhoging van het beveiligingsniveau van informatiedragers, verhoging van de interne bewustwording bij organisaties en het zelfredzamer maken van mensen door hen in staat te stellen om maatregelen te kunnen nemen om de negatieve impact van een datalek te beperken. In deze blog zal ik inzoomen op de te treffen maatregelen voor, tijdens en na een datalek.

Lees verder

Blogserie Wat maakt een goede FG? – De juiste persoon in de juiste setting

FG’s spelen een belangrijke rol bij de bescherming van persoonsgegevens. Essentieel is dat die rol goed wordt ingevuld. Maar wat maakt een goede FG? In deze blog wordt ingegaan op de functie van de FG, zijn profiel en zijn missie. Tien praktische vragen helpen bepalen of de setting waarbinnen een FG moet werken klopt. FG-schap mag best een uitdaging zijn, maar nooit een onmogelijke opdracht.

Een functionaris voor gegevensbescherming (data protection officer) is wettelijk toezichthouder. Je meerwaarde is dat je jouw organisatie als geen ander weet te helpen om privacywetgeving na te leven, vanwege je wetsexpertise en kennis van de praktijk en omdat je het dichtst bij het vuur zit. Dit is sinds de jaren ’90 de kerngedachte achter de FG. Vandaar dat de FG-functie in de Wet Bescherming Persoonsgegevens was opgenomen en nu ook in de Algemene Verordening Gegevensbescherming is teruggekeerd.

Benieuwd naar het hele artikel, inclusief een praktische setting-check? Lees hier de blog als PDF.

Heeft u nog vragen over het FG-schap? U kunt in het onderstaande formulier uw reactie achterlaten. Wilt u geen blog meer missen? Abonneer u dan op de PMP-nieuwsbrief of volg Privacy Management Partners op Twitter of LinkedIn.

Tooling voor de Privacy Professional

De Algemene Verordening Gegevensbescherming (hierna: AVG) is sinds 25 mei 2018 een feit. Organisaties in Europa, en in sommige gevallen ook daarbuiten[1], moeten bij het verwerken van persoonsgegevens zich aan strengere privacywet- en regelgeving houden. Niet alleen dat, organisaties moeten ook aantoonbaar aan de AVG voldoen,[2] de zogenaamde verantwoordingsplicht[3]. Onderdeel van de verantwoordingsplicht zijn:  

  • het vastleggen van een verwerkingsregister[4]; en
  • het documenteren van datalekken[5].

Lees verder

Privacyverklaring: guidelines on transparency

De informatieplicht is waarschijnlijk niet het eerste waar u in de aanloop naar 25 mei mee aan de slag gaat. Hoewel de inhoud van een privacyverklaring vaak tijdens DPIA’s, inventarisaties voor het verwerkeringsregister, en het opstellen van reglementen naar boven komt, kan de vertaling naar informatie voor de betrokkenen nog veel denkwerk kosten. Traditionele ‘disclaimers’ en algemene voorwaarden zijn duidelijk niet meer genoeg, maar wanneer is een privacyverklaring dan wel goed? De guidelines van de Europese werkgroep van toezichthouders staan vol met concrete tips voor de verschillende vormen waarin de communicatie kan plaatsvinden. Soms vergen die wat meer nadenkwerk, maar ze laten u ook de vrijheid om een voor u werkende vorm te vinden. Wij hebben tussen alle DPIA’s door de tekst uitgeplozen en zetten in deze blog de belangrijkste punten op een rij. Kort samengevat, voor de transparantie-eis geldt hetzelfde als voor alle maatregelen uit de AVG: het aflopen van de checklist van artikel 12, 13 en 14 is niet voldoende, u moet bij de risico’s en uw organisatie passende keuzes maken, en ze kunnen uitleggen.

Lees verder

BYOD: hoe beschermt u de privacy?

BYOD valt niet meer weg te denken uit het hedendaagse bedrijfsleven. Steeds meer organisaties stellen hun medewerkers in staat om voor zakelijke doeleinden te werken met hun eigen privéapparaten . Bring Your Own Device (BYOD), biedt voordelen als gebruiksvriendelijkheid en keuze voor de medewerker. Hiernaast zien werkgevers als voornaamste voordelen een toename in de productiviteit en kostenbesparing betreffende hardware investeringen. BYOD brengt echter ook de nodige uitdagingen met zich mee op het gebied van security, maar zeer zeker ook op het gebied van privacy van de medewerkers. De AVG eist van organisaties dat zij gepaste technische en organisatorische maatregelen treffen om de verwerking van persoonsgegevens, dus ook door en van medewerkers, in overeenstemming met de AVG uit te voeren. Dit moet onder de AVG ook kunnen worden aangetoond. Hier valt het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevensverwerkende processen ook onder. De volgende vraag luidt dan: wat zijn de specifieke BYOD-uitdagingen en wélke maatregelen moeten er vervolgens worden genomen?

Twee van de voornaamste uitdagingen zijn:

  1. Het zorgdragen voor een juiste omgang en het beschermen van de privacy.
  2. Beveiliging van het apparaat tegen malware, verlies of diefstal.
Lees verder

Privacy awareness in organisaties: de missende schakel tussen papier en praktijk

Informatiebeveiliging staat bij veel organisaties hoog in het vaandel.privacy awareness Zeker nu de ransomware WannaCry diep in de portemonnee van een aantal grote namen heeft gegrepen. Er zijn CISO-opleidingen te over en veel organisaties waarin teamleden nog steeds inloggegevens met elkaar uitwisselen. We gaan er echter vanuit dat het laatste steeds meer uitzondering dan regel wordt. De meesten draaien op zijn minst regelmatig een back-up en werken met up-to-date software. Maar wat als een collega achter die goed beveiligde computer geen bezwaar voelt om wat series op de werklaptop online te streamen? Of een collega besluit een eigen map op de privélaptop bij te houden met de personeelsadministratie, omdat dat nu eenmaal makkelijker werkt dan inloggen via Citrix? Tegen een ongeïnformeerd of ongeïnteresseerd persoon kan geen informatiebeveiliger op.

 

Niet alleen informatiebeveiligers moeten met deze problemen omgaan. Het beleid van privacy officers kan als een kaartenhuis in elkaar vallen zonder bewustzijn bij de medewerkers. En dan heeft privacy ook nog te maken met een onderwerp dat minder leeft of tastbaar is, ondanks de groeiende aandacht.

 

Hoe creëert u privacy awareness?

Privacy moet niet alleen in het beleid en de functieprofielen staan. Het moet terug te vinden zijn in de cultuur, in de dagelijkse gedachten van werknemers. Wat zorgt ervoor dat privacy niet doordringt, en wat is eraan te doen? Wij stellen voor dat u begint met twee belangrijke stappen.

Lees verder

Privacy en Public Relations: 6 tips voor het communiceren met betrokkenen

Hoe vaak denkt u aan de mensen van wie gegevens verwerkt? De AVG zorgt er in ieder geval voor dat u vanaf volgend jaar niet meer om de deze belangrijke, misschien wel belangrijkste, groep stakeholders heen kunt. Niet alleen worden de rechten van de betrokkenen aangescherpt en uitgebreid, ook de verplichting om helder voor te lichten wordt onderstreept.

Met deze blog maken we het u makkelijk om aan de wet voldoen en laten we u zien hoe u deze verplichtingen in uw voordeel kunt laten werken. Door deze tips te volgen volgt u namelijk niet alleen de wet, maar haalt u ook meer uit uw privacybeleid.

Public Relations

Lees verder

De ins en outs van het verwerkingsregister (artikel 30 AVG)

blogger: Wendy Tran

Per 25 mei 2018 moet uw organisatie compliant zijn met de Algemene Verordening Gegevensbescherming (hierna: AVG). Het is dan ook raadzaam om tijdig te beginnen met maatregelen om “AVG-proof” te worden en een verwerkingsregister op te zetten. In de blog Tips & Tricks: maak uw organisatie tijdig AVG-proof introduceerden we al eerder de register- en documentatieplicht die u heeft onder de AVG. Het opzetten en bijhouden van het verwerkingsregister maakt onderdeel uit van deze register- en documentatieplicht.

 

verwerkingsregister

Waarom een verwerkingsregister?

Op 25 mei 2018 wordt de Wet bescherming persoonsgegevens vervangen door de AVG. Vanaf dat moment hoeven gegevensverwerkingen niet meer aan de Autoriteit Persoonsgegevens gemeld te worden. In plaats daarvan zal uw organisatie vanuit het accountability principe (artikel 5 lid 2 AVG) naleving van de AVG aantoonbaar moeten maken. Het verwerkingsregister draagt hieraan bij. Ook verwerkingsactiviteiten die op dit moment onder het Vrijstellingsbesluit vallen, moeten een plek krijgen in het register. [1]

 

Lees verder

Tips & tricks: maak uw organisatie tijdig AVG-proof

Blogger: Brigitte Beunders

Het zal de meeste organisaties niet zijn ontgaan dat op 25 mei jl. de Algemene Verordening Gegevensbescherming (hierna ‘AVG’) in werking is getreden. Organisaties hebben tot 25 mei 2018 de tijd om aantoonbaar compliant te worden met de Europese verordening. Deze tijd zullen organisaties dan ook hard nodig hebben om hun bedrijfsvoering op orde te brengen. In deze blog zullen daarom enkele praktische tips & tricks worden gedeeld. Wacht niet te lang om uw bedrijfsvoering in overeenstemming te brengen met de regels die de AVG stelt. Zo voorkomt u fikse boetes en reputatieschade.

 

Lees verder