"Het privacy8program®, de brug tussen wetgeving en bedrijfsvoering."
Het implementeren van de privacywetgeving binnen grote- en middelgrote organisaties is in veel gevallen een redelijk complexe exercitie. Persoonsgegevens worden vaak op verschillende plaatsen binnen de organisatie verzameld, gebruikt, opgeslagen, verspreid en aangepast.
Maakt een organisatie gebruik van cloud oplossingen of externe datacenters dan zullen deze in het privacy process moeten worden betrokken.
Het landschap van verantwoordelijkheden rondom persoonsgegevens wordt nog uitgebreider als deze gegevens worden gedeeld met andere bedrijven of instellingen.
Ook over het indelen van verantwoordelijkheden zelf zijn specfieke richtlijnen opgesteld.
De wetgever geeft aan waar organisaties aan moeten voldoen met betrekking tot privacy bescherming maar geeft geen oplossing over hoe je tot het gewenste eindresultaat moet komen. Het "hoe" ontbreekt.
Privacy8 heeft de privacywet- en regelgeving vertaald in een aantal tastbare bedrijfs- en integratieprocessen. Hieromheen is een methodiek ontwikkeld waarbij deze processen op structurele wijze binnen organisaties worden geïmplementeerd middels voorgedefinieerde stappen.
Naast een goed doordachte werkwijze om tot privacyborging te komen wordt ook steeds duidelijk inzicht gegeven over voortgang en compliance status.
Dit geheel vormt het privacy8program®.
Het privacy8programma helpt risico's te minimaliseren en geeft grip op de processen rondom privacyborging binnen uw organisatie.
1) Analyse persoonsgegevens
In de analyse fase wordt in kaart gebracht welke persoonsgegevens waarbinnen uw organisatie worden verwerkt.
Hierbij wordt gelijktijdig een eerste risicoclassificatie uitgevoerd.
Ook wordt de legalscope (welke wetten zijn van toepassing) voor uw specifieke organisatie gedefinieerd.
Uitkomst van deze fase:
- Impactanalyse van de privacywetgeving op uw organisatie.
- Risicoanalyse (waar loopt u verhoogd risico).
- Roadmap voor verdere implementatie van de privacywetgeving, inclusief ketenverantwoordelijkheid.
De informatie uit deze fase geeft inzicht over mogelijke omvang van een privacy implementatie traject en biedt voldoende basis om een aanzet tot het privacybeleid te maken (fase 2).
2) Opstellen Privacybeleid
Het privacybeleid vormt de grondslag van ieder privacy programma. Het geeft inzicht over hoe je als organisatie om wenst te gaan met privacy en daarmee met de belangen van je klanten, burgers, patiënten, studenten, leerlingen, leden en medewerkers.
Het privacybeleid wordt gevormd op basis van de risicoanalyse, de legalscope (beiden uit fase 1), het bedrijfsimago en missionstatement.
Het formuleren van het privacybeleid is een belangrijk onderdeel in het privacyprogramma. Een goed doordacht privacy beleid draagt bij aan een positief imago.
Privacy8 helpt organisaties bij het formuleren en opstellen van het privacybeleid door middel van design thinking sessies.
"Het privacy beleid is het privacy kompas binnen onze organisatie."
In deze fase worden dieptemetingen gedaan per deelcomponent van de organisatie. Dit kan een afdeling zijn maar ook een proces of een applicatie.
Elke component wordt hierbij getoetst aan de Fair Information Practices (FIP's). Alle elementen die van invloed zijn op de privacy borging worden middels een privacy impact assessment (PIA) geanalyseerd en in kaart gebracht.
Uitkomst van deze fase:
- Een nauwkeurig overzicht van mogelijke risico's.
- Een gedetaileerd stappenplan van in te richten processen.
- Checks & balances van het privacy dashboard.
Op basis van deze informatie kan worden overgegaan tot een gerichte implementatie van het privacy beleid middels het implementeren van processen (fase 4).
3) Persoonsgegevens FIP-check
4) Implementeren 'steps to compliance'
In de implementatiefase worden processen ingericht die zorgen voor de bescherming van persoonsgegevens. Dit wordt gedaan op basis van het privacy beleid en de wettelijke verplichtingen.
De analyses en bevindingen uit fase 3 worden nu omgezet in acties.
Privacyoplossingen vormen vrijwel altijd onderdeel van bestaande bedrijfsprocessen dus is integratie en samenwerking met de verschillende afdelingen, verantwoordelijken binnen de organisatie en eventuele externe partijen essentieel bij de implementatie. Het implementatieplan geeft doelstellingen en taken weer voor alle betrokken partijen.
In deze fase wordt ook het proces meldplicht datalekken ingericht.
Lopende en geplande projecten met een privacy impact worden in kaart gebracht en gereviewd. Privacy8 brengt hierbij onderbouwd advies uit of een Privacy Impact Assesment en/of een (her)ontwerp op basis van het Privacy by Design principe wenselijk is (zie ook fase 7).
Hierbij worden uw huidige kwaliteits- en risicomanagement methodieken altijd in acht genomen.
Uitkomst van deze fase:
- Proces meldplicht datalekken.
- Overige privacyborgingsprocessen op basis van FIPs.
- Contracten & privacyverklaringen.
- Over de gehele keten.
Wat de wetgever eist is technisch niet altijd mogelijk. Privacy8 helpt organistaties bij het vinden van de balans tussen wetgeving en privacy beschermende oplossingen. Het bedrijfsresultaat staat hierbij voorop.
5) Communicatie & Awareness
6) Privacy Kwaliteitsbewaking
Het inrichten en implementeren van privacyprocessen zorgt ervoor dat privacybescherming op een technnische wijze wordt "afgedwongen" (fase 4).
Toch is het zo dat 36% van alle datalekken ontstaan door mensenlijke fouten. Het versturen van een groepsemail met alle geadresseerden zichtbaar in de header, het gemakshalve dupliceren van data, het onzorgvuldig omgaan met papieren informatie en noem maar op.
Privacy8 geeft cursussen, of kan u helpen bij het opstelllen van leerprogramma's, die kunnen worden ingezet om uw medewerkers te trainen op het gebied van privacy bescherming en gedragsregels hieromtrent.
Op basis van functieprofiel (wat doet een persoon binnen uw organisatie met persoonsgegevens) wordt de intensiteit van de aangeboden kennis en communicatiedrager bepaald.
De privacy gedragsregels worden altijd afgestemd op het in fase 2 geformuleerde privacybeleid
Het opleiden van medewerkers is essentieel om tot een goede privacyborging te kunnen komen.
In deze fase wordt aandacht besteed aan het besturen van het privacy programma. Hoe ga je om met de geimplementeerde privacyprocessen, systemen en kennis.
De vraag die hier beantwoord wordt is wie doet wat en wanneer met betrekking tot privacybescherming.
Hierbij wordt een onderverdeling gemaakt tussen proactief en reactief handelen.
Het privacy dashboard vormt een belangrijk onderdeel binnen deze kwaliteitsprocedures.
Uitkomst van deze fase:
- Privacy Verantwoordelijkheidsmatrix
- Privacy dashboard finetuning & gebruik
- Processen rondom checks & balances
- Benoeming FG (Functionaris Gegevensbescherming, indien nog niet benoemd) en uitvoeren van controlerende taken
7) Privacy Life cycle
In deze fase worden procedures ingericht die de reeds genomen privacy maatregelen laten meebewegen met eventuele veranderingen.
Veranderingen binnen de organisatie (intern) maar ook eventuele veranderingen in de wet- en regelgeving (extern).
Privacy by design vormt een enorm belangrijk onderdeel bij het future proof maken van systemen en processen. Het idee hierbij is dat tijdens de ontwikkeling van producten, diensten en informatiesystemen gelijk ook privacyverhogende maatregelingen worden meegenomen. Op deze wijze wordt privacy bescherming al tijdens de ontwikkeling geborgd . Zo voorkomt u tijdrovende aanpassingen achteraf.
Uitkomst van deze fase:
- Privacy by Design (mbv Privacy Enhancing Technologies)
- Monitor proces organisatorische wijzigingen
- Legal check programma
- Toetsingsschema privacy processen
8) Ad-hoc legal & project service
Het privacy8program® wordt aangeboden in een volgordelijkheid van stappen.
Natuurlijk is het zo dat de privacy puzzel vanuit verschillende invalshoeken kan worden opgelost.
Fase 8 is een dienst die op ieder moment kan worden gebruikt indien u specifieke vragen heeft die per direct, of op korte termijn, moeten worden geadresseerd.
De specialisten van privacy8 hebben ruime ervaring in de expertises die nodig zijn om de privacywet en processen binnen uw organisatie te implementeren en zijn gecertificeerd in verschillende vakgebieden.
