1. Overzicht – Hoe staan we er voor?
De eerste stap is het creëren van overzicht van de verwerkingen, van uw organisatie, de informatiesystemen, kennis van uw personeel. Tijdens deze stap wordt de volgende informatie boven water gehaald:
- Hoe staat het met de kennis van uw medewerkers; Privacy Awareness
- Welke persoonsgegevens worden er in uw organisatie verwerkt?
- Hoe is de organisatie opgebouwd?
- Aan welke wettelijke eisen moeten deze verwerkingen voldoen?
- Wat zijn de betrokken netwerken, systemen en applicaties?
- Welke afdelingen zijn er betrokken bij het verwerken van persoonsgegevens?
- Welke verwerkingen worden er met / op die persoonsgegevens uitgevoerd?
- Welk security- en privacy- beleid is er al geïmplementeerd?
De praktische uitvoering van deze stap bestaat uit 1 of meerdere gesprekken met of vragenlijsten voor de betrokken personen / afdelingen om de benodigde informatie te verkrijgen. Vervolgens wordt de verkregen informatie beoordeeld door een FG (Functionaris Gegevensbescherming).
Resultaat: Een bruikbare privacy administratie
2. Inzicht – Waar liggen de risico’s?
De tweede stap van de RI&E-Privacy is het bepalen aan welke risico’s de verwerkingen blootstaan. Aan de hand van de resultaten van stap 1 maken we samen met u een risicoanalyse. De verkregen informatie wordt beoordeeld door onze FG (Functionaris Gegevensbescherming). We gaan bepalen waar de grootste risico’s liggen en of verdere acties vereist zijn. Behalve organisatorisch en technisch zal ook de kennis en het bewustzijn van uw medewerkers en de organisatie meegenomen.
- Zijn de medewerkers bewust van de gevaren en dreigingen waaraan ze blootstaan?
- Hoe alert en bewust zijn uw medewerkers ten aanzien van phishing?
- Loopt u juridische risico’s?
- Is een DPIA noodzakelijk?
- In hoeverre is security en privacy “embedded” in de bedrijfsprocessen?
- Welke procedures zijn er ingevoerd op het gebied van de security en privacy?
- In hoeverre weet u van kwetsbaarheden van uw netwerk en systemen?
- Hoe gevoelig zijn netwerk en systemen voor uitval?
Resultaat: Een risico analyse met betrekking tot de verwerkingen
3. Plan – Wat gaan we doen?
Bepalen welke maatregelen er kunnen/moeten worden genomen om compliant te zijn aan de wet- en regelgeving en om het risico op cybercriminaliteit en datalekken te minimaliseren. Deze maatregelen zullen worden ingedeeld in de drie belangrijke categorieën:
- Mens (trainen op veilig en privacy bewust gedrag van uw medewerkers)
- Organisatie (juridische afspraken, security beleid, privacy administratie, procedures)
- Techniek (technische security maatregelen in netwerken, systemen en applicaties)
Resultaat: Een plan van aanpak voor de uit te voeren maatregelen.
4. Aanpak – Aan de slag!
Het plan van aanpak, van stap 3, wordt uitgevoerd met al zijn maatregelen.
- Trainingen worden gegeven.
- Het privacy beleid wordt opgesteld.
- De privacy organisatie wordt ingericht.
- Bewerkers overeenkomsten worden gemaakt.
- Een FG wordt aangesteld.
- Kwetsbaarheid scans worden uitgevoerd.
Per verwerking wordt, indien nodig, het PIA rapport aangemaakt met alle bevindingen en aanbevelingen. Het rapport zal opgesteld worden conform de richtlijnen die door de toezichthouder zijn opgesteld.
Resultaat: Uw organisatie heeft gepaste maatregelen genomen.
5. Evaluatie – Is de aanpak succesvol!
Om de privacybescherming binnen uw organisatie op het zelfde hoge niveau te houden is het nodig om deze regelmatig onder de loep te nemen. U meet en controleert de status van uw organisatie, de kennis van uw medewerkers en de beveiligingsmaatregelen.
- Het plan van aanpak wordt geëvalueerd.
- Verbeterpunten worden aangebracht.
- Borgen van privacy compliance
Resultaat: Privacy management is ingericht.
Meer weten, neem met mij contact op!