Implementatie van de Algemene Verordening Gegevensbescherming / GDPR
Werkwijze van De Privacy Adviseur.
De Privacy Adviseur geeft eerst een algemene workshop aan de directie van uw bedrijf, zodat deze geïnformeerd is en bewust is van wat er vanuit de Algemene Verordening Gegevensbescherming wordt verwacht. Bewustwording is stap één in het stappenplan van de Autoriteit persoonsgegevens. Tijdens de workshop krijgt De Privacy Adviseur een beeld op welke wijze er gewerkt wordt, hoe persoonsgegevens binnen het bedrijf verwerkt worden, welke beleidsstukken er al zijn en welke beleidsstukken ontbreken. Op basis van een quickscan wordt er na afloop van de workshop geïnventariseerd zodat de bedrijfsrisico’s zowel organisatorisch, technisch als procedureel in kaart worden gebracht. Daarnaast wordt er vastgesteld aan welke verplichte maatregelen vanuit de Algemene Verordening Gegevensbescherming uw bedrijf moet voldoen. De quickscan is een eerste inventarisatie waaruit een inventarisatierapport opgemaakt wordt. Aan de hand van de rapportage wordt er in overleg met de klant een plan van aanpak besproken en opgemaakt zodat de organisatorische, technische als procedurele maatregelen vast worden gelegd. Het plan van aanpak is leidend om de werkzaamheden te implementeren. De klant kan kiezen om de werkzaamheden zelf te implementeren, of onder begeleiding te implementeren, of deze gedeeltelijk of waar mogelijk geheel uit te besteden aan De Privacy Adviseur. Door deze werkwijze worden er organisatorische-, procedurele en technische maatregelen specifiek voor uw bedrijf opgesteld zodat er een gefundeerde basis niveau informatiebeveiliging, privacy en datelekken ontstaat die voldoen aan de Algemene Verordening gegevensbescherming. Hierna kan er een gedegen PDCA traject worden opgestart in combinatie met ISO 27001 en ISO 27002 normeringen.
De werkwijze samengevat:
AVG workshop
De directie wordt geïnformeerd en wordt bewust van wat er vanuit de Algemene Verordening Gegevensbescherming wordt verwacht. Bewustwording is stap één in het stappenplan van de Autoriteit persoonsgegevens.
Quickscan
Aan de hand van een quickscan wordt er na afloop van de workshop geïnventariseerd zodat de bedrijfsrisico’s zowel organisatorisch, technisch als procedureel in kaart worden gebracht. Daarnaast wordt er vastgesteld aan welke verplichte maatregelen vanuit de Algemene Verordening Gegevensbescherming uw bedrijf moet voldoen.
Quickscan rapportage AVG
Aan de hand van de quickscan inventarisatie wordt er een eerste inventarisatierapport opgemaakt zodat inzichtelijk wordt op welke wijze uw bedrijf nog behoort te voldoen. Aan de hand van de rapportage wordt er in overleg met de klant een plan van aanpak besproken en opgemaakt zodat de organisatorische, technische als procedurele maatregelen vastgelegd worden.
Implementatie plan van aanpak
De klant kan kiezen de werkzaamheden zelf uit te voeren, of onder begeleiding uit te voeren, of deze gedeeltelijk of waar mogelijk geheel uit te besteden aan De Privacy Adviseur. Door deze werkwijze worden er organisatorische-, procedurele en technische maatregelen specifiek voor uw bedrijf geïmplementeerd, zodat er een gefundeerde basis niveau informatiebeveiliging, privacy en datalekken ontstaat die voldoen aan de Algemene Verordening Gegevensbescherming.
PDCA
PDCA staat voor Plan, Do, Check, Act. PDCA komt van de kwaliteitscirkel van Deming en beschrijft vier activiteiten die zijn toegespitst om verbeteringen in organisaties toe te passen.
Bij Plan wordt er gekeken naar de huidige processen, procedures, maatregelen, risico’s en ontwerp een plan voor verbeteringen en doelstellingen aan deze processen, procedures, maatregelen en risico’s.
Bij Do worden de maatregelen geselecteerd, geïmplementeerd en bewaakt. Kort gezegd wordt het plan uitgevoerd.
Bij Check wordt de effectiviteit van het plan geëvalueerd. Als er bij Check tekortkomingen worden geconstateerd, dan worden die in Act uitgevoerd.
Bij Plan wordt er gekeken naar de huidige processen, procedures, maatregelen, risico’s en ontwerp een plan voor verbeteringen en doelstellingen aan deze processen, procedures, maatregelen en risico’s.
Bij Do worden de maatregelen geselecteerd, geïmplementeerd en bewaakt. Kort gezegd wordt het plan uitgevoerd.
Bij Check wordt de effectiviteit van het plan geëvalueerd. Als er bij Check tekortkomingen worden geconstateerd, dan worden die in Act uitgevoerd.
ISO standaarden
De normen uit de ISO 27000-serie helpen bij het beheren van de beveiliging van bijvoorbeeld financiële informatie, intellectueel eigendom, werknemersgegevens of informatie die door derden wordt toevertrouwd. Hierin zijn bijvoorbeeld ook implementatie richtlijnen opgenomen (ISO 27002) en het uitvoeren van een audit (ISO 27007).*
Door de PDCA cyclus in combinatie met ISO 27001 en 27002 standaarden kunt u jaarlijks toewerken naar een optimalisatie van de processen in informatiebeveiliging. Door ISO normeringen toe te passen kan er toegewerkt worden naar steeds hogere volwassenheidsniveaus, waardoor de organisatie steeds professioneler de processen onder controle heeft..
*Bron https://www.nen.nl/NEN-Shop/Informatiebeveiliging-1.htm.
Door de PDCA cyclus in combinatie met ISO 27001 en 27002 standaarden kunt u jaarlijks toewerken naar een optimalisatie van de processen in informatiebeveiliging. Door ISO normeringen toe te passen kan er toegewerkt worden naar steeds hogere volwassenheidsniveaus, waardoor de organisatie steeds professioneler de processen onder controle heeft..
*Bron https://www.nen.nl/NEN-Shop/Informatiebeveiliging-1.htm.