Met de introductie van de AVG in 2017 zijn privacy onderzoeken verplicht gesteld. Deze hebben een basisvorm, maar worden onder verschillende namen uitgevoerd. In de Nederlandstalige versie van de AVG heet het onderzoek een Gegevensbeschermingseffectbeoordeling (GEB), terwijl ook de namen Privacy Impact Assessment (PIA) en Data Protection Impact Assessment wordt (DPIA) gebruikt.
Er zijn in Nederland verschillende versies van het werkprogramma beschikbaar, namelijk het ‘Model gegevensbeschermingseffectbeoordeling rijksdienst (PIA)’ van het Ministerie van BZK, de ‘NOREA Handreiking Privacy Control Framework’ en de ‘NOREA PIA’.
Noordbeek heeft een eigen werkprogramma en rapportagemethode ontwikkeld, primair gebaseerd op het model van Ministerie van BZK, en waar nodig aangevuld met aandachtspunten vanuit NOREA.
Noordbeek heeft vele DPIA’s uitgevoerd binnen de (semi)overheid en private organisaties. Dit gebeurt altijd op een pragmatische wijze, waarbij ook concrete adviezen worden gegeven bij eventuele gesignaleerde risico’s. Wij zetten op dit gebied ervaren IT-auditors in, aangevuld met juridische competenties.
Onze dienstverlening voor certificering tegen de ISO/IEC 27701:2019 ‘Security techniques – Extension to ISO/IEC 27001 and 27002 for privacy information management – Requirements and guidelines’ is ondergebracht bij Noordbeek Certification.
Bij een volledige DPIA wordt getoetst of de verwerking van persoonsgegevens voldoet aan de eisen uit de AVG. De scope en het object van onderzoek wordt in overleg met de organisatie bepaald. De analyse kan worden uitgevoerd op de gehele organisatie, een bedrijfsproces, een applicatie of een project. Er wordt onder andere gekeken naar de rechtsgrond voor een verwerking, meldingsplicht, inzagerecht, dataminimalisatie, verwijdertermijnen en afspraken met eventuele bewerkers. Het resultaat van een DPIA is een rapportage van bevindingen in hoeverre de organisatie voldoet aan de vooraf gestelde eisen.
Een privacy scan heeft een minder formeel karakter. Wanneer een organisatie nog geen duidelijk beeld heeft op welke gebieden er privacyrisico’s zijn en hulp nodig heeft bij de beveiliging van deze gegevens kunt u besluiten een privacy scan te laten uitvoeren. Hiervoor wordt voor de gehele organisatie nagegaan waar persoonsgegevens worden opgeslagen, verwerkt en gedistribueerd, en of aan de wettelijke eisen wordt voldaan. Per verzameling persoonsgegevens wordt inzichtelijk gemaakt wat de risico’s zijn van diefstal, verlies of misbruik en wat de mogelijke impact is voor de organisatie. Tevens wordt onderzocht in hoeverre de risico’s door maatregelen worden gemitigeerd en of sprake is van restrisico’s. Indien dit het geval is, wordt een voorstel gedaan voor mitigerende maatregelen.
Noordbeek B.V.
Rijndijk 235
2394 CD Hazerswoude
KvK 33265070