Privacy onderzoeken in het kader van de Algemene Verordening Gegevensbescherming (AVG)
Met de introductie van de AVG in 2017 zijn privacy onderzoeken verplicht gesteld. Deze hebben een basisvorm, maar worden onder verschillende namen uitgevoerd. In de Nederlandstalige versie van de AVG heet het onderzoek een Gegevensbeschermingseffectbeoordeling (GEB), terwijl ook de namen Privacy Impact Assessment (PIA) en Data Protection Impact Assessment wordt (DPIA) gebruikt.
Werkprogramma
Er zijn in Nederland verschillende versies van het werkprogramma beschikbaar, namelijk het ‘Model gegevensbeschermingseffectbeoordeling rijksdienst (PIA)’ van het Ministerie van BZK, de ‘NOREA Handreiking Privacy Control Framework’ en de ‘NOREA PIA’.
Noordbeek heeft een eigen werkprogramma en rapportagemethode ontwikkeld, primair gebaseerd op het model van Ministerie van BZK, en waar nodig aangevuld met aandachtspunten vanuit NOREA.
Competentie en ervaring
Noordbeek heeft vele DPIA’s uitgevoerd binnen de (semi)overheid en private organisaties. Dit gebeurt altijd op een pragmatische wijze, waarbij ook concrete adviezen worden gegeven bij eventuele gesignaleerde risico’s. Wij zetten op dit gebied ervaren IT-auditors in, aangevuld met juridische competenties.
ISO 27701 certificering
Onze dienstverlening voor certificering tegen de ISO/IEC 27701:2019 ‘Security techniques – Extension to ISO/IEC 27001 and 27002 for privacy information management – Requirements and guidelines’ is ondergebracht bij Noordbeek Certification.
Data Protection Impact Assessment (DPIA)
Bij een volledige DPIA wordt getoetst of de verwerking van persoonsgegevens voldoet aan de eisen uit de AVG. De scope en het object van onderzoek wordt in overleg met de organisatie bepaald. De analyse kan worden uitgevoerd op de gehele organisatie, een bedrijfsproces, een applicatie of een project. Er wordt onder andere gekeken naar de rechtsgrond voor een verwerking, meldingsplicht, inzagerecht, dataminimalisatie, verwijdertermijnen en afspraken met eventuele bewerkers. Het resultaat van een DPIA is een rapportage van bevindingen in hoeverre de organisatie voldoet aan de vooraf gestelde eisen.
Privacy scan
Een privacy scan heeft een minder formeel karakter. Wanneer een organisatie nog geen duidelijk beeld heeft op welke gebieden er privacyrisico’s zijn en hulp nodig heeft bij de beveiliging van deze gegevens kunt u besluiten een privacy scan te laten uitvoeren. Hiervoor wordt voor de gehele organisatie nagegaan waar persoonsgegevens worden opgeslagen, verwerkt en gedistribueerd, en of aan de wettelijke eisen wordt voldaan. Per verzameling persoonsgegevens wordt inzichtelijk gemaakt wat de risico’s zijn van diefstal, verlies of misbruik en wat de mogelijke impact is voor de organisatie. Tevens wordt onderzocht in hoeverre de risico’s door maatregelen worden gemitigeerd en of sprake is van restrisico’s. Indien dit het geval is, wordt een voorstel gedaan voor mitigerende maatregelen.
